Issuu on Google+

CONTROL INTERNO CONTROL INTERNO INFORMATICO


CONTROL INTERNO

NOTA

El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán”.

CONTROL INTERNO INFORMÁTICO El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.

COMPONENTES DEL CONTROL INTERNO El control interno consta de cinco componentes interrelacionados, que se derivan de la forma como la administración maneja el ente, y están integrados a los procesos administrativos, los cuales se clasifican como: a) Ambiente de Control.

La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos.

b) Evaluación de Riesgos. c) Actividades de Control. d) Información y Comunicación. e) Supervisión y Seguimiento.

TIPOS DE CONTROL INTERNO En el ambiente informático se materializa en controles de dos tipos: Controles manuales: aquellos que son ejecutados por el personal de área usuaria o de informática sin la utilización de herramientas computacionales. Controles automáticos: son los generalmente incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación0. Se clasifican en: Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

1

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.


APLICACIÓN DE LOS CONTROLES INTERNOS EN LA GESTIÓN DE SISTEMAS DE INFORMACIÓN El

Sistema de

Control

Interno de una empresa forma parte del Control de

Gestión

de

tipo

táctico y está constituido por

el

plan

organización,

de la

asignación de deberes y responsabilidades,

el

sistema de información financiero

y todas

medidas

y

las

métodos

encaminados a proteger los activos, promover la eficiencia,

obtener

información confiable, oportuna

financiera segura

y

comunicación

lograr

y la de

políticas administrativas y estimular y evaluar el cumplimientos de estas

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados: Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red. Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos. Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, entre otros.

Para la implantación de un sistema de controles internos informáticos habrá que definir: 

Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.

Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

Seguridad: Incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestión de Cambio: Separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.

últimas.

2


Marco de trabajo y los procesos de la metodología COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

COBIT Es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con

respecto

a

los

requerimientos de control, temas técnicos y riesgos de

Metodología Cobit

negocio, y comunicar ese

Las mejores prácticas descritas en ITIL son tan relevantes que se han convertido en un estándar de facto en el mercado de TI. Sus conceptos se aplican en los niveles operacional y táctico y permiten que la estructura departamento de TI el ciclo de vida de sus servicios en su conjunto, con el fin de alcanzar la excelencia operativa.

participantes.

nivel de control a los CobiT

permite el desarrollo de políticas claras y de buenas prácticas para el control de TI

por

parte

de

las

empresas. CobiT constantemente se actualiza y armoniza con otros estándares, por lo tanto,

CobiT

se

ha

convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender

Sin embargo, la Metodología Cobit se centra en el nivel estratégico, y es un marco de control, permite Tiene su rendimiento medido y sus riesgos debidamente designados y tratados.

y administrar los riesgos y beneficios asociados con TI. La estructura de procesos

Al estudiar el marco de COBIT con mayor profundidad es posible para identificar que especifica los objetivos de control, pero no detalla cómo se pueden definir los procesos. La metodología cobit no es una norma, no es una norma como la ISO 20000, ISO 17799 o ISO 9001, y también no sirve como guía para maximizar los beneficios de la TI.

de CobiT y su enfoque de alto

nivel

orientado

al

negocio brindan una visión completa de TI y de las decisiones a tomar

3


En su lugar, COBIT ayuda directamente a priorizar los esfuerzos y recursos de TI para satisfacer los requerimientos del negocio. La adopción de COBIT no ha tratar de controlar todos los procesos, pero sólo identificar qué procesos de TI están afectando, o la generación de riesgos para la empresa con el fin de dar prioridad a la gestión de estos procesos. La estructura de control COBIT sigue la premisa de que no se puede gestionar lo que no se mide. Por lo tanto, propone una serie de objetivos de control y sus respectivos indicadores de rendimiento.

4


Revista auditoria