UNIDAD VI. CONTROL.

Universidad de El Salvador | Teora Administrativa - TAD115

Definicin de control.
El control es una etapa primordial en la administracin, pues, aunque una empresa cuente con magnficos planes, una
estructura organizacional adecuada y una direccin eficiente, el ejecutivo no podr verificar cul es la situacin real de
la organizacin si no existe un mecanismo que se cerciore e informe si los hechos van de acuerdo con los objetivos. El
concepto de control es muy general y puede ser utilizado en el contexto organizacional para evaluar el desempeo
general frente a un plan estratgico.
A fin de incentivar que cada uno establezca una definicin propia del concepto se revisara algunos planteamientos de
varios autores estudiosos del tema:
Henry Farol: El control consiste en verificar si todo ocurre de conformidad con el PANM adoptado, con las
instrucciones emitidas y con los principios establecidos. Tiene como fin sealar las debilidades y errores a fin de
rectificarlos e impedir que se produzcan nuevamente.
Robert B. Buchele: El proceso de medir los actuales resultados en relacin con los planes, diagnosticando la razn
de las desviaciones y tomando las medidas correctivas necesarias.
George R. Terry: El proceso para determinar lo que se est llevando a cabo, valorizacin y, si es necesario,
aplicando medidas correctivas, de manera que la ejecucin se desarrolle de acuerdo con lo planeado.
Robert C. Appleby: La medicin y correccin de las realizaciones de los subordinados con el fin de asegurar que
tanto los objetivos de la empresa como los planes para alcanzarlos se cumplan econmica y eficazmente.
Harold Koontz y Ciril ODonell: Implica la medicin de lo logrado en relacin con lo estndar y la correccin de las
desviaciones, para asegurar la obtencin de los objetivos de acuerdo con el plan.
Chiavenato: El control es una funcin administrativa: es la fase del proceso administrativo que mide y evala el
desempeo y toma la accin correctiva cuando se necesita. De este modo, el control es un proceso esencialmente
regulador.

Control Interno y Auditoria Informtica.

Similitudes entre Control Interno y Auditora
Informtica:
Lo puede acometer personal interno; conocimientos especializados en
TI; verificacin del cumplimiento de controles internos, normativas, y
procedimientos establecidos por la Direccin de Informtica y la
Direccin General para los sistemas de informacin.

Diferencias
Control Interno Informtico

Auditora Informtica

Anlisis de los controles en el da a da.

Anlisis en un momento determinado.

Informa a la Direccin del Departamento de

Informtica.

Informa a la Direccin General de la Organizacin.

Solo persona interno.

Tanto personal interno como externo.

El alcance de sus funciones es nicamente sobre el

Departamento de Informtica.

El alcance de sus funciones tiene cobertura sobre todos

los componentes de los sistemas de informacin de la
Organizacin.

Sistemas de control interno informtico.

Los controles cuando se diseen, desarrollen e implanten han de ser al menos completos, simples, fiables,
revisables, adecuados y rentables. Normalmente, estos controles son automticos, aunque sus resultados se revisan
de forma manual.

Los objetivos de los controles informticos se han clasificados en las siguientes

categoras:
Controles preventivos: controles para tratar de evitar un hecho, como un software de seguridad que impida los
accesos no autorizados al sistema.
Controles detectivos: controles para cuando fallan los controles preventivos, se de tratar de conocer cuanto
antes el evento.
Controles correctivos: controles que facilitan la vuelta a la normalidad cuando se ha producido incidencias (por
ejemplo copias de seguridad).
Se deben definir objetivos de control y mtodos de control interno.

Ejemplo:

como objetivo tenemos seguridad de acceso y el mtodo de control en este caso ser identificacin
de usuarios. Las relaciones no siempre son uno a uno.

Implantacin de un sistema de controles internos

informticos.
Los controles pueden implantarse a varios niveles diferentes.
Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los
distintos niveles de control y elementos relacionados. Por tanto, se debe conocer a fondo y documentar: Entorno de
red, configuracin del computador/es central/es, entorno de aplicaciones, productos y herramientas de desarrollo
de software, seguridad (en especial del computador central y bases de datos).

Para la implantacin de un sistema de controles internos informticos habr que definir objetivos, mtodos y
poltica de control para:
Gestin de sistemas de informacin: a travs de polticas, pautas y normas tcnicas que sirvan de base para el
diseo y la implantacin de los sistemas de informacin y de los controles correspondientes.
Administracin de sistemas: a travs de controles sobre la actividad de los centros de datos y otras funciones de
apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: debe incluir las tres clases de controles fundamentales implantados en el software del sistema, como
integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestin de cambio: separacin de las pruebas y la produccin a nivel de software y controles de procedimientos,
para la migracin de programas software aprobados y probados.

Implantacin de un sistema de controles internos

informticos.

Direccin de Negocio o Direccin de Sistemas de Informacin: han de

definir la poltica y/o directrices para los sistemas de informacin en base
a las exigencias del negocio, que podrn ser internas o externas.
Direccin de Informtica: ha de definir las normas de funcionamiento del
entorno informtico y de cada una de las funciones de informtica
mediante la creacin y publicacin de procedimientos, estndares,
metodologa y normas, aplicables a todas las reas de informtica,
as como a los usuarios que establezcan el marco de funcionamiento.

Auditora Interna y Externa

La implantacin de una poltica y cultura sobre la seguridad, requiere que sea realizada por fases, como se puede ver
en la figura, y est respaldada por la direccin, donde cada funcin juega un papel importante en las distintas
etapas.

Control Interno Informtico: ha de definir los diferentes

controles peridicos a realizar encada una de las funciones
informticas, de acuerdo al nivel de riesgo de cada una de
ellas, y ser diseados conforme a los objetivos de negocio
y dentro del marco legal aplicable (estos se plasmarn en los
oportunos procedimientos de control interno y podrn ser preventivos
o de deteccin). Realizar peridicamente la revisin de los controles
establecidos de Control Interno Informtico, informando de las desviaciones a la Direccin de Informtica y sugiriendo
cuantos cambios crea convenientes en los controles.

Implantacin de un sistema de controles internos

informticos.
Auditora Informtica Interna y Externa
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informticas
y el cumplimiento de la normativa interna y externa, de acuerdo al nivel de riesgo y conforme a
los objetivos definidos por la Direccin de Negocio y la Direccin de Informtica. Informar
tambin a la Alta Direccin, de los hechos observados y al detectarse deficiencias o ausencias
de controles recomendarn acciones que minimicen los riesgos que pueden originarse.
La creacin de un sistema de control informtico es una responsabilidad de la Gerencia y un punto destacable de la
poltica en el entorno informtico.

Controles internos, agrupados por secciones funcionales:

Son los que Control Interno

Informtico y la Auditora Informtica deberan de verificar para determinar su cumplimiento y validez.
A.

Control generales organizativos.

B.

Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de informacin.

C.

Controles sobre la explotacin de los sistemas de informacin.

D.

Controles sobre las aplicaciones.

E.

Controles especficos de ciertas tecnologas.

F.

Controles de Calidad.

Implantacin de un sistema de controles internos

informticos.
A. Control generales organizativos.
Polticas generales.
Planificacin (plan estratgico de informacin, plan informtico, plan general de seguridad y plan de
emergencia ante desastres).
Estndares de adquisicin.
Procedimientos.
Organizar el departamento de informtica.
Descripcin de las funciones y responsabilidades dentro del departamento.
Polticas de personal.
Asignacin de funciones y responsabilidades.
Asegurar que la direccin revisa todos los informes de control y resuelve las excepciones que ocurran.
Asegurar que existe una poltica de clasificacin de la informacin.
Designar oficialmente la figura del Control Interno Informtico y de la Auditora Informtica.

Implantacin de un sistema de controles internos

informticos.
B. Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de
informacin. Estos controles se utilizan para que se puedan alcanzar la eficacia del sistema, economa y
eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones. Se
compone de:
Metodologa del ciclo de vida del desarrollo de sistemas (como especificaciones, estndares de pruebas,
pases a produccin, roll-back, etc.).
Explotacin y mantenimiento.

C.

Controles sobre la explotacin de los sistemas de informacin.

Planificacin y gestin de recursos.

Presencia de personal en momentos crticos (calendario personal).
Reparto de costes informticos a la organizacin.
Controles propios (por ejemplo, accesos muy restringidos al host).
Revisiones tcnicas preceptivas.
Controles para usar de manera efectiva los recursos en computadoras.
Procedimientos de seleccin del software del sistema, de instalacin, de mantenimiento, de seguridad y
de control de cambios.
Seguridad fsica y lgica.

Implantacin de un sistema de controles internos

informticos.
D. Controles sobre las aplicaciones.
Cada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, y mantenimiento
de los datos:

Control de entrada de datos (validaciones, conversiones, formatos, procedencias, etc.).

Controles de tratamiento de datos (sobre usos no previstos).
Controles de salida de datos (validaciones, conversiones, formatos y procedencias ms seguridad).

E.

Controles especficos de ciertas tecnologas.

Controles en Sistemas de Gestin de Bases de Datos.
Controles en informtica distribuida y redes.
Controles sobre computadoras personales (ofimtica) y redes de rea local.
Controles conexiones OPEN <-> HOST.

Implantacin de un sistema de controles internos

informticos.
F.

Controles de Calidad.
Existencia de un Plan General de Calidad basado en el Plan de la Entidad a Largo Plazo, y el Plan a Largo
Plazo de Tecnologa.
Esquema general de garanta de calidad: debe abordar todos los mbitos empresariales, no slo los de TI.
Compatibilidad de la revisin de garanta de calidad con las normas y procedimientos habituales en las
distintas funciones de Informtica.
Metodologa de desarrollo de sistemas.
Actualizacin de la metodologa de desarrollo de sistemas respecto a cambios en la tecnologa.
Coordinacin y comunicacin.
Relaciones con proveedores que desarrollan sistemas.
Normas de documentacin de programas.
Normas de pruebas de programas.
Normas respecto a la prueba de sistemas.
Pruebas piloto o en paralelo.
Documentacin de las pruebas de sistemas.
Evaluacin del cumplimiento de garanta de calidad de las normas de desarrollo.

Implantacin de un sistema de controles internos

informticos.
Criterios aplicables a un sistema de controles internos informticos.
Polticas de respaldo.
Los respaldos de la informacin deben realizarse mensual, semanal o diario, y se deben observar los siguientes
puntos:
- Contar con polticas formales por escrito para efectuar los respaldos mensuales, semanales y diarios de la
informacin.
- Todos los medios magnticos de respaldo no deben estar almacenados en un mismo lugar en caso de
contingencia.
- Debe tenerse acceso restringido al rea en donde se tienen almacenados los medios magnticos (operacin
y respaldo).
- Identificar las cintas por fechas, concepto y consecutivo.
- Se debe contar con una poltica que indique los procedimientos a seguir en cuanto al almacenamiento de
cintas de respaldo y se pueda tener acceso las 24 horas. Para que el responsable pueda mantener
actualizada la informacin vital de la organizacin. El hecho de no contar con estas polticas de respaldo
puede provocar que no se sigan los procedimientos adecuados para los respaldos, que haya riesgo de
prdida de la informacin y de no tener disponibilidad inmediata a la informacin de respaldo para darle
continuidad.

Implantacin de un sistema de controles internos

informticos.
Criterios aplicables a un sistema de controles internos informticos.
Polticas y procedimientos.
Las polticas existentes debe estar actualizadas en todas las actividades, estar debidamente documentadas y ser
del conocimiento del personal. No contar con polticas y procedimientos actualizados que rijan la administracin
del rea de sistemas podra ocasionar:
- Administracin inadecuada de la operacin.
- Relajamiento en el cumplimiento de las obligaciones del personal.
- Inadecuada divisin de labores.
Las polticas y procedimientos deben incluir los siguientes puntos:
- Seguridad de la informacin (fsica y lgica).
- Adquisicin de hardware y software.
- Operacin de centro de cmputo.
Es recomendable que se documenten todos los procedimientos, las normas y polticas por escrito en manuales
de operacin. Al proceder de esta manera, se obtendrn las siguientes ventajas:
- Se tiene una base uniforme, estable y formal para capacitacin, consulta y supervisin.
- Rotacin del personal.
- Responsabilidad individual de los participantes en una operacin.

Implantacin de un sistema de controles internos

informticos.
Criterios aplicables a un sistema de controles internos informticos.
Polticas de revisin de bitcora (soporte tcnico).
Deben existir bitcoras de operacin en las que se registren los procesos realizados, los resultados de su
ejecucin, la concurrencia de errores, los procesos ejecutados en el equipo y la manera en que concluyeron. No
contar con una poltica de revisin de las bitcoras de operacin de los diferentes procesos pueden ocasionar
problemas como:
- Carecer de bases para el rastreo de errores de procedimiento.
- Falta de parmetros de evaluacin respecto al funcionamiento del equipo y del departamento de sistemas.
- Ausencia de controles en cuanto a registro de seguimiento de problemas.
- Falta de parmetro para determinar las causas de una falla significativa en el sistema y corregirlo.
- Dependencia del personal para soluciones de errores.
- Los errores pueden presentarse en forma recurrente y no ser detectados, provocando prdidas de tiempo
en la correccin.
- Puede presentarse una prdida de tiempo al no programarse adecuadamente las funciones, lo que tiene
como consecuencia una confusin en el rea respecto a los procesos que ya se realizaron y los que se deben
de realizar.

Implantacin de un sistema de controles internos

informticos.
Criterios aplicables a un sistema de controles internos informticos.
Control de las licencias de software.
Todas las organizaciones deben de tener un inventario de las licencias del software actualizado, que asegure que
toda la paquetera y software en general sea legal y est amparada por una licencia.
Al no contar con las licencias correspondientes, no se puede exigir al proveedor del servicio de soporte o
actualizacin de software.
Por ello es muy importante:
-

Actualizar el inventario de hardware y software verificando que este ltimo este amparado por una licencia.

En caso de no contar con licencias, e necesario contactar el proveedor del software o del paquete en
cuestin para actualizarlas o adquirirlas.

Elaborar un plan verificador de software, para que no se instale paquetera pirata.

Designar una forma responsable del rea de informtica para guardar y tener actualizadas las licencias.

Promover un plan de concientizacin entre el personal con el fin de que no se instale paquetera pirata en
las mquinas propiedad de la empresa y aplicar sanciones.

Implantacin de un sistema de controles internos

informticos.
Criterios aplicables a un sistema de controles internos informticos.
Polticas de seguridad fsica.
Las instalaciones deben ser las adecuadas para asegurar el buen funcionamiento y continuidad necesaria en las
operaciones. Deben existir polticas y procedimientos que describan los aspectos de seguridad fsica mnimos
que deben de regir dentro del departamento de sistemas.
Por tal motivo, durante la visita a las instalaciones se debe observar los siguientes puntos:
- El acceso al sitio debe estar restringido por una puerta, la cual contar con una chapa adecuada de
seguridad, o con un dispositivo electrnico de control de acceso.
- Se debe tener dispositivos adecuados de deteccin de humo, as como aspersores de calor para la extincin
de incendios, adems de contar con extintores.
- Se debe tener proteccin en los servidores para que no puedan ser desconectados accidentalmente y
provocar serios daos.
- Deben existir documentos y carteles que indiquen las normas de seguridad mnima que deben de
observarse al estar en el sitio.
- El personal operativo no debe permitir el acceso a personal ajeno.
- No conectar a la toma de corriente donde estn los equipos de cmputo y los servidores los aparatos de
limpieza.
- Los equipos elctricos, interruptores o de comunicacin, no deben estar al alcance de cualquier persona.

Implantacin de un sistema de controles internos

informticos.
Criterios aplicables a un sistema de controles internos informticos.
Plan de contingencias.
Debe existir un plan de contingencias que permita que los sistemas sigan funcionando en caso de algn siniestro
o huelga. Un plan de contingencia puede asegurar que se est preparado para enfrentar imprevistos y desastres
de cualquier ndole, asegurando una continuidad en la operacin de los sistemas de cmputo. Con la
importancia y dependencia que se tiene de las computadoras, una prdida de informacin o la imposibilidad
potencial para procesarla originada por una contingencia puede ser significativa.
Se sugiere la revisin del plan de contingencias para que contenga los siguientes controles:
-

Delegacin de funciones y entrenamiento de personal.

Resumen de actividades a seguir en caso de contingencias.

Estudio detallado de las que tienen ms posibilidad de ocurrir y los impactos que cada una de stas
ocasionara (de acuerdo a la zona geogrfica).

Realizar un estudio de tiempo estimado de restablecimiento de operaciones de acuerdo a una determinada

contingencia, as como un estudio de consecuencias potenciales que se desprenderan por la inoperatividad
de los sistemas.

Implantacin de un sistema de controles internos

informticos.
Ejemplo (anlisis de elementos de un control interno) El control de acceso.
El control de acceso es un conjunto de procedimientos administrativos formado por mecanismos fsicos y lgicos
utilizados para proteger los sistemas de informacin y las infraestructuras, y permitir el acceso solamente a las
personas autorizadas. Varios factores influyen sobre el tipo de control del acceso fsico utilizado, incluyendo el
tamao de la empresa, su ubicacin y la naturaleza de las actividades que se llevan a cabo en la misma.
Algunos ejemplos de reas tecnolgicas o fsicas que deben controlarse por medio del control de acceso son:

Los sistemas operativos.

Los dispositivos para copias de seguridad.
Las aplicaciones informticas especficas.
Las puertas de entrada y salida.

Existen varios tipos de tarjetas utilizadas para el control de acceso fsico.

Para visitantes: Pase de acceso temporario.
Para empleados y, en algunos casos, asociados de negocios: Tarjeta de identificacin con foto, tarjeta con banda
magntica, tarjeta con cdigo de barras, tarjeta de proximidad, tarjeta inteligente.
En general, los requisitos son: Registrar la hora de llegada y de partida de los visitantes; solicitar a un empleado que
acompae al visitante en el edificio; solicitar a los empleados que lleven sus tarjetas de identificacin, se las
muestren a los guardias de seguridad o las usen como dispositivos electrnicos de control de acceso (ejemplos:
tarjeta de acceso, caractersticas de las tarjetas con NIP o con elementos biomtricos).

Implantacin de un sistema de controles internos

informticos.
Ejemplo (anlisis de un control interno) El control de acceso.
Autorizacin

Etapas del control

de acceso

Verificacin

Implantacin de un sistema de controles internos

informticos.
Ejemplo (anlisis de un control interno) El control de acceso.
Autenticacin

Etapas del control

de acceso
Verificacin

Implantacin de un sistema de controles internos

informticos.
Ejemplo (anlisis de un control interno) El control de acceso.
Autorizacin

Autenticacin

Etapas del control

de acceso

UNIDAD VI. CONTROL.

Fuente:
El contenido de este documento es estrictamente con propsito didctico (sin fines de lucro) y su contenido ha sido
tomado del libro de KOONTZ HAROLD y WEIHRICH HEINZ , titulado Administracin, una perspectiva global 14a.
Edicin. Editorial Mcgraw-Hill.