1.

1 Conceptos de auditoría y auditoria Informática

Inicialmente la auditoria se limitó a las verificaciones de los registros contables, dedicándose

solamente a observar si los mismos eran exactos. Es considerado como la forma primaria, lo
cual es confrontar lo escrito con pruebas de lo acontecido y las referencias que en los
registros se establecen. Con el tiempo el campo de acción de la auditoria se ha ido
extendiendo, no obstante aún existen posturas en relación a que esa actividad debe de ser
meramente de carácter contable.
Holmes la define de forma clara y sencilla como: “La auditoría es el examen de las
demostraciones y registros administrativos, en donde el auditor observa la exactitud,
integridad y autenticidad de tales demostraciones, registros y documentos.”
Por otro lado, según la Universidad de Harvard, se establece la siguiente definición: “La
auditoría es el examen de todas las anotaciones contables a fin de comprobar su exactitud,
así como la veracidad de los estados o situaciones que dichas anotaciones producen.”
Auditoria, en su acepción más amplia, significa verificar que la información financiera,
administrativa y operacional que genera una entidad es confiable veraz y oportuna, en otras
palabras, es revisar que los hechos, fenómenos y operaciones se den en la forma en que
fueron planeados; que las políticas y lineamientos establecidos se hayan observado y
respetado; que se cumple con las obligaciones fiscales, jurídicas y reglamentarias en general.
Asimismo, significa evaluar la forma en que se administra y opera con el fin de aprovechar
los recursos al máximo.

Auditoria Informática.
Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas practicas dedicadas a la
evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la
INFORMACION tratada y almacenada a través del computador y equipos afines, así como de
la eficiencia, eficacia y economía con que la administración de un ente están manejando dicha
INFORMACION y todos los recursos físicos y humanos asociados para su adquisición,
captura, procesamiento, transmisión, distribución, uso y almacenamiento. Todo lo anterior
con el objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de auditoria de
general aceptación y conocimiento técnico específico.
1.2 Tipos de auditoría
La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto que
la efectúa, según el contenido y los fines, por su amplitud y por su frecuencia.
Auditoria interna: Está a cargo de empleados de la propia empresa, encuadrados en
un departamento directamente dependiente de la dirección general.
Auditoria externa: Está a cargo de auditores profesionales, ajenos a la empresa y
totalmente independientes.

1. Auditoría de Base de Datos. Esta se encarga de monitorear, medir, asegurar y

registrar los accesos a toda la información almacenada en las bases de datos.
Participantes en esta auditoría
 Tecnología de información
 Auditores de sistemas
 Riesgo corporativo
 Cumplimiento corporativo
 Seguridad corporativa

Objetivos principales Esta auditoría se encarga de manera fundamental en la

seguridad de las bases de datos. Entre sus objetivos se encuentran
 Evitar el acceso externo
 Imposibilitar el acceso interno a usuarios no autorizados
 Autorizar el acceso solo a los usuarios autorizados
2. Auditoría de Desarrollo Aplicando. La división funcional al departamento de
informática de cualquier entidad, una de las áreas que tradicionalmente
aparece la de desarrollo. El desarrollo incluye todo el ciclo de vida del software
excepto la explotación, el mantenimiento y el fuera de servicio de las
aplicaciones cuando ésta tenga lugar.
Auditoría de Desarrollo Importancia de la auditoría de desarrollo. Los avances
en tecnologías de las computadoras han hecho que actualmente el desafío
más importante y el principal reto sea la calidad del software. El gasto
destinado a software es cada vez superior al que se dedica al hardware. El
 software como producto es muy difícil de validar. Un mayor control en el
proceso de desarrollo incrementa la calidad del mismo y disminuye los costos
de mantenimiento. El índice de fracasos en proyectos de desarrollo es
demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los
controles en este proceso. Las aplicaciones informáticas, que son el producto
principal obtenido al final del desarrollo, pasan a ser la herramienta de trabajo
principal de las áreas informatizadas, convirtiéndose en un factor esencial para
la gestión y la toma de decisiones.
3. Auditoría de Desarrollo Planteamiento y metodología.
Para tratar la auditoría de desarrollo es necesario, en primer lugar, definir las
funciones o tareas, las funciones que tradicionalmente se asignan al área son:
 Planificación del área y participación en la elaboración del plan
estratégico de informática
 Desarrollo de nuevos sistemas
 Estudio de nuevos lenguajes, técnicas, metodologías, estándares,
herramientas, etc.
 Establecimiento de un plan de formación para el personal adscrito al
área
 Establecimiento de normas y controles para todas las actividades que
se realizan en el área y comprobación de su observancia.
Auditoría de Desarrollo Planteamiento y metodología. Una metodología aplicable
es la propuesta por la ISACA (Asociación de Auditoría y Control de Sistemas de
Información), que está basada en la evaluación de riesgos partiendo de los riesgos
potenciales a los que está sometida una actividad (en este caso el desarrollo de un
sistema de información), se determinan una serie de objetivos de control que
minimizan riesgos.
4. Auditoría de Redes.
Etapas
 Análisis de vulnerabilidades: Punto más crítico de toda la
auditoría
  Estrategia de saneamiento: Identificar los agujeros en la red y
proceder repáralos, actualizando el software afectado,
reconfigurándolo de mejor manera o reemplazándolo por otro
similar
 Plan de contención: Elaborar Plan B, que prevea un incidente
después de tomadas las medidas de seguridad.
 Seguimiento Continuo del desempeño del sistema: La seguridad
no es un producto, es un proceso.
5. ¿Que busca la auditoria Aplicaciones?
Posibilidades de fallo:
 Software
 Hardware
 Redes y telecomunicaciones
 Software múltiple
 Computador central
 Dispositivos periféricos
 Transmisión de datos
 Servidores – Módems – líneas de comunicación
 Confidencialidad e integridad
 Gran uso de internet en las aplicaciones
Auditoria de Aplicaciones ¿A qué se aplica ?
 En Aplicaciones en funcionamiento en cuanto al grado de cumplimiento
de los objetivos para los que fueron creadas Objetivos de las
aplicaciones
 Registro de las operaciones
 Procesos de cálculo y edición
 Almacenamiento de la información
 Dar respuesta a consultas de usuarios
 Generar informes de interés para la organización
6. Auditoria de mantenimiento
Su objetivo principal:
Darle seguimiento a los procesos que se realizan para el mantenimiento de sistemas
informáticos, con esto se pretende que se establezcan estándares para el
mantenimiento delos sistema y se cumplan al pie de la letra.

1.3 Principios aplicados a los auditores informáticos

 El auditor deberá ver cómo se puede conseguir la máxima eficacia y
rentabilidad de los medios informáticos de la empresa auditada, estando
obligado a presentar recomendaciones acerca del reforzamiento del sistema
y el estudio de las soluciones más idóneas según los problemas detectados en
el sistema informático de esta última.
o En ningún caso está justificado que realice su trabajo el prisma del
propio beneficio.
o Cualquiera actitud que se anteponga intereses personales del auditor a
los del auditado deberá considerarse como no ética.
o Para garantizar le beneficio del auditado como la necesaria
independencia del auditor, este último deberá evitar estar ligado en
cualquier forma, a intereses de determinadas marcas, productos o
equipos compatibles con los de su cliente.
o La adaptación del auditor al sistema del auditado debe implicar una
cierta simbiosis con el mismo, a fin de adquirir un conocimiento
pormenorizado de sus características intrínsecas.
o Únicamente en los casos en el que el auditor dedujese la imposibilidad
de que el sistema pudiera acomodarse a las exigencias propias de su
cometido, este podrá proponer un cambio cualitativamente
significativo de determinados elementos o del propio sistema
informático globalmente contemplado.
o Una vez estudiado el sistema informático a auditar, el auditor deberá
establecer los requisitos mínimos, aconsejables y óptimos para su
adecuación a la finalidad para la que ha sido diseñado.
 o El auditor deberá lógicamente abstenerse de recomendar actuaciones
innecesariamente onerosas, dañinas o que generen riesgos
injustificados para el auditado.

PRINCIPIO DE CALIDAD. En el auditor deberá prestar sus servicios a tenor de las

posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la
utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo
cumplimiento de su labor. En los casos en el que la precariedad de medios puestos
a su disposición impida o dificulten seriamente la realización de la auditoría, deberá
segarse a realizarla hasta que se garantice un mínimo de condiciones técnicas que
no comprometan la calidad de sus servicios o dictámenes.

PRINCIPIO DE CAPACIDAD El auditor debe estar plenamente capacitado para la

realización de la auditoría encomendada, maximice teniendo en cuenta que, a los
auditados en algunos casos les puede ser extremadamente difícil verificar sus
recomendaciones y evaluar correctamente la precisión de las mismas. Debe, por
tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad
y aptitud para desarrollar la auditoría evitando que una sobreestimación personal
pudiera provocar el incumplimiento parcial o total de la misma. Conviene indicar que
en los casos de producirse, por el contrario, una subestimación de su capacidad de
su capacidad profesional, esta circunstancia podría afectar negativamente en la
confianza del auditado sobre el resultado final de la auditoría.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor, tanto en sus relaciones

con el auditado como con terceras personas, deberá, en todo momento, actuar
conforma a las normas, implícitas o explícitas, de dignidad de la profesión y de
corrección en el trato personal. Para ello deberá cuidar la moderación en la
exposición de sus juicios u opiniones evitando caer en exageraciones o
alegorizaciones innecesarias procurando, en todo momento, transmitir una imagen
de precisión y exactitud en sus comentarios. El comportamiento profesional exige del
auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus
carencias, debiendo eludir las injerencias no solicitadas por él, de profesionales de
otras áreas, en temas relacionadas o que puedan incidir en el resultado da la
auditoría. •El auditor debe asimismo guardar un escrupuloso respeto por la política
empresarial del auditado, aunque ésta difiera ostentablemente de las del resto el
sector en las que desarrolla su actividad. •Igualmente debe evitarse realizar actos que
simulen aplicaciones de tratamientos ficticios, encubran comportamientos no
profesionales o den publicidad a metodologías propias o ajenas insuficientemente
contrastadas y garantizadas.

PRINCIPIO DE CONFIANZA. El auditor deberá facilitar e incrementar la confianza del

auditoreo en base a una actuación de transparencia en su actividad profesional sin
alardes científicos-técnicos. El mantener una confianza en las indicaciones del
auditado aceptándolas sin reservas como válidas. El auditor deberá, en consonancia
con esta forma de actuar, adecuar su lenguaje al nivel de comprensión del auditado,
descendiendo y detallando cuando haga falta en su explicación debiendo solicitar,
cuando lo considere necesario, la presencia de alguno de los colaboradores de
confianza de su cliente.

PRINCIPIO DE CRITERIO PROPIO. El auditor durante la ejecución deberá actuar con

criterio propio y no permitir que esté subordinado al de otros profesionales, aun de
reconocido prestigio, que no coincidan con el mismo. La defensa a ultranza del
propio criterio no es óbice para respetar las críticas adversas de terceros, aunque el
auditor debe evitar que, si una vez analizadas continúa discrepando de las mismas,
éstas pueden seguir influyendo en su trabajo, ya que la libertad de criterio impone al
auditor la obligación de ética de actuar en todo momento. Este principio exige
asimismo del auditor una actitud cuasi beligerante en los casos en que llegue al
convencimiento de que la actividad que se solicita, presuntamente para evaluar y
mejorar un sistema informático, tiene otra finalidad ajena a la auditoría. De igual
forma cuando el auditor observe que, de forma reiterada, el auditado se niega, sin
justificación alguna, a adoptar a sus propuestas deberá plantearse la continuidad de
sus servicios en función de las razones y causas que considere puedan justificar dicho
proceder.

PRINCIPIO DE DISCRECIÓN. El auditor deberá en todo momento mantener una cierta

discreción en la divulgación de datos, aparentemente inocuos, que se le hayan puesto
de manifiesto durante la ejecución de la auditoria.

PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN. La defensa de los

auditados pasa por el fortalecimiento de la profesión de los auditores informáticos,
lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad
desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles
para el idóneo cumplimiento de la finalidad de las auditorias. El auditor como
integrante de un grupo profesional beberá promover el respeto mutuo y la no
confrontación entre compañeros. En sus relaciones profesionales beberá exigir así
mismo una reciprocidad en el comportamiento ético de sus colegas y facilitar las
relaciones de confraternidad y mutuo apoyo cuando así se le soliciten.

PRINCIPIO DE INDEPENDENCIA •Este principio, muy relacionado con el principio de

criterio propio, obliga al auditor, tanto si actúa como profesional externo o con
dependencia laboral respecto a la empresa en la que deba realizar la auditoria
informática, a exigir una total autonomía e independencia en su trabajo, condición
esta imprescindible para permitirle actuar libremente según su leal saber y entender.
Esta independencia implica así mismo el rechazo de criterios con los que no esté
plenamente de acuerdo, debiendo reflejarse en su informe final tan solo aquellos que
considere pertinentes evitando incluir en el mismo aquellos otros que según su
entender pudieran producir perjuicios al auditado, aunque este así se lo solicite.

PRINCIPIO DE INFORMACIÓN SUFICIENTE. Este principio obliga al auditor a ser

plenamente consciente de su obligación de aportar, en forma pormenorizada, clara,
precisa e inteligible para el auditado, información tanto sobre todos y cada uno de
los puntos relacionados con la auditoria que puedan tener algún interés para él, como
sobre las conclusiones a las que ha llegado. Es importante asimismo que la
información transmitida al auditado ponga de manifiesto una prudencia y sentido de
la responsabilidad, características estas que nunca deben estar reñidas con los
principios de suficiencia informativa y de veracidad evitando recrear los aspectos
negativos o los errores humanos detectados que deben quedar reflejados con un
cierto tacto profesional.

PRINCIPIO DE INTEGRIDAD MORAL. Este principio, inherentemente ligado a la

dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el
desempeño de su misión, a ajustarse a las normas morales de justicia y prioridad, y a
evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupción
personal o de terceras personas.

PRINCIPIO DE LEGALIDAD. La primacía de esta obligación exige del auditor un

comportamiento activo de oposición a todo intento, por parte del auditado o de
terceras personas, tendente a infringir cualquier precepto integrado en el derecho
positivo.

PRINCIPIO DE LIBRE COMPETENCIA. La actual economía de mercado exige que el

ejercicio de la profesión se realice en el marco de la libre competencia siendo
rechazables, por tanto, las prácticas colusorias tendentes a impedir o limitar la
legitima competencia de otros profesionales y las prácticas abusivas consistentes en
el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados,
de posiciones predominantes.

PRINCIPIO DE NO DISCRIMINACIÓN. El auditor en su actuación previa, durante y

posterior a la auditoria deberá evitar cualquier tipo de condicionantes personalizados
y actuar en todos los casos con similar diligencia, su actuación deberá mantener una
igualdad de trato profesional con la totalidad de personas con las que en virtud de
su trabajo tenga que relacionarse.

PRINCIPIO DE NO INJERENCIA. El auditor, dada la injerencia que puede derivarse de

su tarea, deberá evitar injerencias en los trabajos de otros profesionales, respetar su
labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de
la misma o provocar un cierto desprestigio de su cualificación profesional. Deberá
igualmente evitar aprovechar los datos obtenidos de la auditoria para entrar en
competencia desleal con profesionales relacionados con ella de otras áreas del
conocimiento.

PRINCIPIO DE RESPONSABILIDAD. El auditor deberá, como elemento intrínseco de

todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje.
•Si bien este principio aparentemente puede resultar gravoso en auditorias de gran
complejidad es preciso tenerlo presente a fin de poder garantizar su responsabilidad
en los casos en que, debido a errores humanos durante la ejecución de la auditoria,
se produzcan daños a su cliente que le pudieran ser imputados. Por ello es
conveniente impulsar la formalización y suscripción de seguros, adaptados a las
peculiares características de su actividad, que cubran la responsabilidad civil de los
auditores con una suficiente cobertura a fin de acrecentar la confianza y solvencia de
su actuación profesional. La responsabilidad del auditor conlleva la obligación de
resarcimiento de los daños o perjuicios que pudieran derivarse de una actuación
negligente o culposa.

PRINCIPIO DE SECRETO PROFESIONAL. La confidencia y confianza con características

esenciales de las relaciones entre el auditor y el auditado e imponen al primero la
obligación de guardar en secreto los hechos e informaciones que conozca en el
ejercicio de su actividad profesional. Solamente por imperativo legal podrá decaer
esa obligación. Este principio obliga primero a no difundir a terceras personas ningún
dato que haya visto, oído, o deducido durante el desarrollo de su trabajo que pudiera
perjudicar a su cliente. Establecimiento de las medidas y mecanismos de seguridad
pertinentes para garantizar al auditado que la información documentada, obtenida a
lo largo de la auditoria, va a quedar almacenada en entornos o soportes que impidan
la accesibilidad a la misma por terceras personas no autorizadas.

PRINCIPIO DE VERACIDAD. El Auditor en sus comunicaciones con el auditado deberá

tener siempre presente la obligación de asegurar la veracidad de sus manifestaciones
con los límites impuestos por los deberes de respeto, corrección, y secreto
profesional. El principio de veracidad no debe, sin embargo, considerarse como
constreñido a expresar únicamente aquello sobre lo que se tenga una absoluta y total
certeza, sino que implica poner de manifiesto aquello que tenga el suficiente grado
de fiabilidad como para ser considerado como veraz mientras no se aporten datos o
pruebas que demuestren lo contrario. La aplicación de este principio exige al auditor,
en el marco de su obligación de informar al auditado sobre el trabajo realizado,
comunique a este último sus conclusiones, diferenciando los hechos constatados de
las opiniones, propuestas y valoraciones personales, debiendo actuar en la
comprobación de los primeros y en la fundamentación de las restantes con una
suficiente diligencia profesional para garantizar el cumplimiento de su obligación de
informar verazmente.

1.3 Responsabilidades de los Administradores y del auditor.

El auditor informático debe ser una persona con un alto grado de calificación técnica
y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es
responsable de realizar las siguientes actividades:
 Verificación del control interno tanto de las aplicaciones como de los Sistemas
Informáticos, periféricos, etc.
 Análisis de la administración de Sistemas de Información, desde un punto de
vista de riesgo de seguridad, administración y efectividad de la administración.
 Análisis de la integridad, fiabilidad y certeza de la información a través del
análisis de aplicaciones.
 Auditoria del riesgo operativo de los circuitos de información.
 Análisis de la administración de los riesgos de la información y de la seguridad
implícita.
 Verificación del nivel de continuidad de las operaciones.
 Análisis del Estado del Arte Tecnológico de la instalación revisada y las
consecuencias empresariales que un desfase tecnológico puede acarrear.
Organización de la Función de Auditoria Informática
La función de la auditoria informática se ha convertido en una función que desarrolla
un trabajo más acorde con la importancia que para las organizaciones tienen los
Sistemas Informático, que son su objeto de estudio y análisis. El auditor informático
pasa a ser auditor y consultor de empresas en materias de:
 Seguridad
 Control interno operativo
 Eficiencia y eficacia
 Tecnologías de información
 Continuidad de operaciones
 Administración de riesgos
Su localización puede estar ligada a la auditoria interna operativa y financiera (aunque
exista una coordinación lógica entre ambos departamentos), con independencia de
objetivos, planes de formación y presupuestos.
Debe ser un grupo independiente del de auditoria interna, con acceso total a los SI y
demás tecnología, que depende de la misma persona que la auditoria interna
(Director General o Consejero).
La dependencia debe ser del máximo responsable de la organización, nunca del
departamento de sistemas o del financiero. Esto es para que no se pueda sospechar
que existe sesgo al momento de realizar el trabajo de auditoria y ofrecer conclusiones
y recomendaciones. Los recursos humanos con que debe contar el departamento,
debe ser una mezcla equilibrada de persona con formación en auditoria y
organización y con perfil informático

1.5. Control interno

El Control Interno Informático puede definirse como el sistema integrado al proceso

administrativo, en la planeación, organización, dirección y control de las operaciones
con el objeto de asegurar la protección de todos los recursos informáticos y mejorar
los índices de economía, eficiencia y efectividad de los procesos operativos
automatizados.
En el ambiente informático, el control interno se materializa fundamentalmente en
controles de dos tipos:

 Controles manuales; aquellos que son ejecutados por el personal del área
usuaria o de informática sin la utilización de herramientas computacionales.
 Controles Automáticos; son generalmente los incorporados en el software,
llámense estos de operación, de comunicación, de gestión de base de datos,
programas de aplicación
El Control Interno Informático es una función del departamento de Informática de
una organización, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de información automatizados se realicen cumpliendo las
normas, estándares, procedimientos y disposiciones legales establecidas interna y
externamente.

1.5.1 Funciones del control interno y la auditoría informática

Las metodologías son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
La auditoría informática solo identifica el nivel de “exposición” por la falta de controles
mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda
acciones en base al costo-beneficio de la misma. Todas las metodologías existentes
en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de
contramedidas que garanticen que la productividad de que las amenazas se
materialicen en hechos sea lo más baja posible o al menos quede reducida de una
forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el
control informático, se puede agrupar en dos grandes familias:

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización

del trabajo, están diseñadas para producir una lista de riesgos que pueden
compararse entre sí con facilidad por tener asignados unos valores numérico. Estos
valores son datos de probabilidad de ocurrencia de un evento que se debe extraer
de un riesgo de incidencias donde el número de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso
de trabajo, para seleccionar en base a la experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del profesional para usar el
check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere
menos recursos humanos / tiempo que las metodologías cuantitativas.

1.5.2 Tipos de control interno

Tomando en cuenta las áreas de funcionamientos, aunque no existe una separación
radical de los controles internos, porque como se dijo antes, el control interno es un
todo integrado, y más bien desde un punto de vista didáctico, se ha establecido la
siguiente clasificación:
Control interno administrativo
Son los mecanismos, procedimientos y registros que conciernen a los procesos de
decisión que llevan a la autorización de transacciones o actividades por la
administración, de manera que fomenta la eficiencia de las operaciones, la
observancia de la política prescrita y el cumplimiento de los objetivos y metas
programados.
Este tipo de control sienta las bases para evaluar el grado de efectividad, eficiencia y
economía de los procesos de decisión.
Control interno financiero
Son los mecanismos, procedimientos y registros que conciernen a la salvaguarda de
los recursos y la verificación de la exactitud, veracidad y confiabilidad de los registros
contables, y de los estados e informes financieros que se produzcan, sobre
los activos, pasivos, patrimonio y demás derechos y obligaciones de la organización.
Este tipo de control sienta las bases para evaluar el grado de efectividad, eficiencia y
economía con que se han manejado y utilizado los recursos financieros a través de
los presupuestos respectivos.
Control interno previo
Son los procedimientos que se aplican antes de la ejecución de las operaciones o de
que sus actos causen efectos; verifica el cumplimiento de las normas que lo regulan
y los hechos que las respaldan, y asegura su conveniencia y oportunidad en función
de los fines y programas de la organización.
Es muy importante que se definan y se desarrollen los procedimientos de los distintos
momentos del control previo ya sea dentro de las operaciones o de la información a
producir.
Los distintos momentos que deben identificarse para desarrollar los procedimientos
en todos los niveles que sean necesarios, se refieren al control previo, control
concurrente y control posterior interno. No existen unidades administrativas que se
encarguen por separado de este tipo de controles, estos están incorporados a los
procesos normales que siguen las operaciones; los controles previos se refieren a
actividades simples, quizá como preguntarse antes de autorizar la compra de algo, si
no existe en los almacenes, o si existe partida presupuestaria para proceder a
comprometer los recursos, etc.
Los controles previos son los que más deben cuidarse porque son fuentes de riesgo,
ya que si uno de esos no se cumple puede incurrirse en compras innecesarias,
decisiones inconvenientes, compromisos no autorizados, etc. por lo que aquí también
juega la conciencia de los empleados ya que si cada uno de ellos se convierte en el
control previo del paso anterior, las posibilidades de desperdicio y corrupción, son
menores.

Control interno concomitante

Son los procedimientos que permiten verificar y evaluar las acciones en el mismo
momento de su ejecución, lo cual está relacionado básicamente con el control de
calidad.
1.5.3 Modelos de control interno
En la actualidad existen una gran cantidad de modelos de control interno.
Los modelos de control interno COSO y COBIT son los dos modelos más difundidos
en la actualidad.
COSO está enfocado a toda la organización, contempla políticas, procedimientos y
estructuras organizativas además de procesos para definir el modelo de control
interno.
Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)
se centra en el entorno IT, contempla de forma específica la seguridad de la
información como uno de sus objetivos, cosa que COSO no hace. Además el
modelo de control interno que presenta COBIT es más completo, dentro de su
ámbito.

Existen otros tipos de modelos los cuales se mencionan a continuación:

 OECD (Organization for Economic Cooperation and Development)
 GAPP (Generaly Accepted Principles and Practices). National Institute
of Standards and Technology (NIST)

 BS 7799 (British Standard Institute)

 SAC (Security Auditability and Control). The Inst. of Internal Audit.
 COSO (Internal Control Integrated Framework. Committee of
Sponsoring Organizations)
 SSE CMM (Systems Security Engineering Capability Maturity Model)
National Security Agency (NSA) Defense- Canada.
 CoCo (Criteria of Control Board of The Canadian Instituteof Chartered
Accountants.)
 ITCG (Information Technology Control Guidelines). Canadian Institute
of Chartered Accountants(CICA)
 GASSP (Generaly Accepted System Security Principles). International
Information Security Foundation (IISF)