El Control Interno en La Ti

EL CONTROL INTERNO EN
LAS TI
Profesor: Hernán Moraga A..

Introducción a los controles internos
3.1.- Introducción a los controles internos

3.2.- ¿cómo mejorar la gestión de los controles internos?
3.3.- Los controles internos en las T.I.
3.3.1. Las funciones de control interno y auditoria
informatica
3.4.- Metodologías de control interno y auditoria
informatica.
introducción de controles internos 2

El estudio COSO define el control interno como:
... proceso... efectuado por el Consejo de Administración,

la dirección y demás personal de una entidad...
destinado a garantizar razonablemente a la dirección
que se alcanzarán los objetivos en materia de:
- Eficacia y eficiencia de las operaciones;

- Fiabilidad de la información financiera,
- Cumplimiento de las leyes y reglamentos.

a) Aspectos clave de la definición de COSO.
El primer aspecto clave de la definición propuesta por

COSO es que se trata de un proceso. En consecuencia los
controles internos no deben ser hechos o mecanismos
aislados, o decretos de la dirección, sino una serie de
acciones, cambios o funciones que, en conjunto,
conducen a cierto fin o resultado. Esto por sí solo
extiende el concepto de control interno más allá de la
noción tradicional de controles financieros, para convertir
el control interno en un sistema integrado de
materiales, equipo, procedimientos y personas.

3.1 - Introducción a los controles internos
La siguiente frase de la definición, efectuada por el
Consejo de Administración, la dirección y demás
personal de una entidad, indica que el control interno es
asunto de personas. Ninguna organización puede conocer
todos los riesgos actuales y potenciales a los que está
expuesta en cualquier momento determinado y desarrollar
controles para hacer frente a todos y cada uno de ellos. En
consecuencia las personas que componen la
organización deben tener conciencia de la necesidad de
evaluar los riesgos y aplicar controles, y deben estar en
condiciones de responder adecuadamente a ello.

3.1 - Introducción a los controles internos
El tercer elemento de la definición, destinado a garantizar

razonablemente a la dirección, indica la importancia de
conocer las limitaciones de los controles.
No se puede esperar que los controles eviten todos los
problemas y cubran todos los riegos, ni se puede permitir
que la organización caiga en la autocomplacencia. La
consecución de los objetivos no está asegurada; los
controles sólo dan cierta seguridad pero no constituyen
una panacea.

b) El marco de control interno.
Dentro del marco integrado se identifican cinco elementos

de control interno y, lo que es más importante, las
relaciones que existen entre dichos elementos. También
pone de manifiesto que la estructura de control abarca
las tres categorías de objetivos de una entidad:
explotación eficiente, información financiera exacta, y
cumplimiento de la normativa.

Los cinco elementos del control interno son:
1.El ambiente de control

2.La evaluación del riesgo.
3.Las actividades de control.
4.Información y comunicación.
5.Supervisión.

SUPERVISIÓN
COMUNICACIÓN
ACTIVIDAD DE
CONTROL
INFORMACION
DETERMINACIÓN DE
RIESGOS
AMBIENTE DE CONTROL

b.1) El ambiente de control.
El primer elemento del control interno es el ambiente de

control. Este da el tono para la organización, influyendo
sobre el grado de conciencia que tiene el personal al
respecto.
Integridad, Ética y Capacidad. El ambiente de control está
en función de la integridad y capacidad del personal de
la organización. La eficacia de los controles internos no
puede ser mejor que la ética y los valores de los
individuos que los crean, administran y supervisan.

Los factores a considerar cuando se evalúan la

integridad, los valores éticos y la capacidad de los
empleados incluyen:
- La existencia e implantación de códigos de conducta.

- La presión para cumplir metas de eficacia poco realistas.
- La descripción oficial u oficiosa de los puestos de trabajo
- El análisis de los conocimientos y habilidades que se
requieren

b.2) Evaluación del riesgo.
Las organizaciones, cualquiera sea su tamaño, se
enfrentan a diversos riesgos de origen interno y
externo. La evaluación del riesgo es la identificación y
análisis de dichos riesgos en lo que se refiere a la
consecución de los objetivos, y constituye la base para
determinar la forma de gestionar el riesgo.
Aunque para crecer es necesario asumir riesgos prudentes,
la dirección debe identificar y analizar los riegos,
cuantificarlos, y prever la probabilidad de que ocurran
así como las posibles consecuencias.

En las cambiantes circunstancias actuales hay que prestar
especial atención a ciertas condiciones:
Progresos tecnológicos en el proceso de producción o en los
sistemas de información, como consecuencia de los cuales
los controles dejan de ser adecuados para reducir los
nuevos riesgos que suponen.
Los cambios que se producen en el entorno operativo
pueden generar un nuevo entorno normativo o
económico, aumentando la presión competitiva y
creando nuevos riesgos para la empresa.
Nuevas líneas de negocio, o nuevos productos, como
consecuencia de los cuales los controles existentes dejan
de reducir el riesgo de manera efectiva.

La reestructuración de las empresas mediante el
redimensionamiento a los ajustes de plantilla. Es un
aspecto delicado ya que en el nuevo entorno existe la
posibilidad de eliminar un puesto que desempeña una
función clave de control sin instituir otro control en su
lugar.
La expansión o adquisición de explotaciones en el
extranjero, que implica nuevos riesgos tal vez no del todo
conocidos pero que deben tomarse en cuenta. Por ejemplo,
el ambiente de control quizás responda a la cultura y las
costumbres de la dirección local.

Personal nuevo, que puede no conocer la cultura de la
empresa o puede atender más a los resultados que a las
actividades de control. De no estar debidamente formada
la gente nueva en una organización puede decidir llevar el
negocio a su manera en lugar de hacerlo como lo exige el
nuevo entorno en que actúa.
Crecimiento rápido. Cuando se produce una significativa
expansión en la actividad, los sistemas existentes se ven
sometidos a presiones que pueden producir fallos en los
controles.

Debido a la naturaleza dinámica de tales factores, la
evaluación del riesgo no es una tarea a cumplir de una vez
para siempre. Debe ser un proceso continuo, un
actividad básica de la organización, como la evaluación
continua de la utilización de los sistemas de
información o la mejora continua de los procesos.
Lo importante no es utilizar determinada metodología

de evaluación del riesgo sino convertir la evaluación del
riesgo en parte natural del proceso de planificación de
la empresa.

b.3) Actividades de control.
Las actividades de control deben estar integradas en el

proceso de evaluación del riesgo. Una vez analizados los
riesgos, la dirección desarrolla actividades de control,
las que deben cumplirse correcta y oportunamente.
Dichas actividades garantizan que se adopten las
medidas necesarias para hacer frente a los riesgos que
amenazan la consecución de los objetivos.

Las actividades del control existen a través de toda la
organización y se dan en toda la organización, a todos
los niveles y en todas las funciones, e incluyen cosas
tales como:
- aprobaciones,
- autorizaciones,
- verificaciones,
- conciliaciones, -
- análisis de la eficacia operativa,
- seguridad de los activos, y
segregación de funciones.

-En algunos entornos, las actividades de control se
clasifican en:
- controles preventivos,
- controles de detección,
- controles correctivos,
- controles manuales o de usuario,
- controles informáticos o de T.I., y
- controles de la dirección.
Independientemente de la clasificación que se adopte, las

actividades de control deben ser adecuadas para los
riesgos.

Las empresas pueden llegar a padecer un exceso de
controles hasta el punto que las actividades de control
les impidan operar de manera eficiente.
Dividiendo las competencias entre mucha gente pueden
diluirse las competencias y la responsabilidad, y
disminuir el grado de control.
Un gran número de actividades de control o de personas que
participan en ellas no asegura necesariamente la calidad
del sistema de control.

b.4) Información y comunicación.
Es preciso desarrollar y comunicar oportunamente la

información pertinente de una forma que permita a la
gente conocer y cumplir sus obligaciones.
Los principales temas a considerar en relación con la
información y la comunicación incluyen:
- Sistemas de información.
- Comunicación de las competencias en materia de
control.
- Comunicación dentro de la organización.
- Comunicación externa.
b.5) Supervisión.
Es preciso supervisar continuamente los controles

internos para asegurarse de que el proceso funciona
según los previsto. Esto es muy importante porque a
medida que cambian los factores internos y externos,
controles que una vez resultaron idóneos y efectivos
pueden dejar de ser adecuados y de dar a la dirección la
razonable seguridad que ofrecían antes

3.2.- ¿Cómo mejorar la gestión de los controles internos?
La alta dirección debe adoptar una actitud proactiva a

efectos de la evaluación y reestructuración de los
controles internos. Para tener éxito en la tarea, muchos
tendrán que reinventar los controles internos a la luz
de la nueva definición, más amplia, del control..
Un aspecto a tomar en cuenta al principio del proceso es

cómo se compara la empresa con otras similares o
diferentes.

3.3.- Los controles internos en las T.I..
Un elemento crítico para el éxito y la supervivencia de
las organizaciones, es la administración efectiva de la
información y de la Tecnología de Información (TI)
relacionada con ella.
En esta sociedad global esta criticidad emerge de:
La creciente dependencia de la información y de
los sistemas que proporcionan dicha información.
La creciente vulnerabilidad y un amplio espectro
de amenazas.
La administración debe comprender y valorar
básicamente los riesgos y limitaciones del empleo de la
TI proporcionando una dirección eficaz y con los
controles adecuados.

3.3.- Los controles internos en las T.I..
Se hacía necesario establecer un marco de referencia de
objetivos de control para las T.I., conjuntamente con
una investigación continua aplicada a dichos controles
basada en dicho marco.
Tomando como referencia la publicación en los E.E.U.U.
de los modelos de control generales COSO, lnformation
Systems Audit and Control Foundation y un grupo de
empresas desarrollaron en 1998 dicho marco de
referencia para la definición de objetivos de control que
recibe el nombre de COBIT: Objetivos de Control para
la Información y Tecnologías afines, con el propósito de
cubrir el vacío existente y desarrollar políticas claras y
buenas prácticas para la seguridad y el control de las T.I..

3.4.- Metodologías de control interno y auditoría
informática
La proliferación de metodología en el mundo de la
auditoría y el control informático se pueden observar en los
primeros años de la década de los ochenta paralelamente al
nacimiento y comercialización de determinadas
herramientas metodológicas (como el software de análisis
de riesgos).
Pero el uso de métodos de auditoría es casi paralelo al
nacimiento de la informática, en la que existen muchas
disciplinas en las que el uso de metodologías constituye
una práctica habitual. Una de ellas es la seguridad de los
sistemas de información.

informática
Si definimos la seguridad de los sistemas de información
como la doctrina que trata de los riesgos informáticos o
creados por la informática, entonces la auditoría es una
de las figuras involucradas en este proceso de
protección y preservación de la información y de sus
medios de proceso.
Por tanto, el nivel de seguridad informática en una

entidad es un objetivo a evaluar y está directamente
relacionado con la calidad y eficacia de un conjunto de
acciones y medidas destinadas a proteger y preservar
la información de la entidad y sus medios de proceso.

informática
Resumiendo, la informática crea unos riesgos
informáticos de los que hay que proteger y preservar a
la entidad con un entramado de contramedidas y la
calidad y la eficacia de las mismas es el objetivo a
evaluar para poder identificar así sus puntos débiles y
mejorarlos. Esta es una de las funciones de los auditores
informáticos. Por tanto, debemos profundizar más en ese
entramado de contramedidas para ver qué papel tienen las
metodologías y los auditores en el mismo. Para explicar
este aspecto diremos que cualquier contramedida nace de
la composición de varios factores expresados en el “gráfico
valor” según se indica en la figura adjunta. Todos los
factores de la pirámide intervienen en la composición de
una contramedida.
3.4.- Metodologías de control interno y auditoría informática
Estándares y políticas
NORMAS
Funciones
Procedimientos
Planes
ORGANIZACIÓN
METODOLOGÍAS
OBJETIVOS DE
CONTROL Informática
Usuarios
PROCEDIMIENTOS
Hardware
Software
TECNOLOGÍA DE
SEGURIDAD
HERRAMIENTAS
Factores que componen una contramedida.

3.4.1.- Las metodologías de Auditoria informática
El proceso seguido en una auditoría es similar al
siguiente:
1.Determinación de la finalidad y objetivos del informe,
precisando su alcance.
2.Conseguir información previa sobre el dominio, proceso
o actividad a auditar.
3.Planificación del trabajo a desarrollar para cumplir con la
finalidad del informe y alcanzar los objetivos.
4.Llevar a cabo los trabajos de recogida de información y
documentación, que puedan efectuarse antes de la
presentación de los auditores "in situ"
5.Comienzo de la auditoría: presentación ante los
auditados y desarrollo de la planificación establecida.
6.Análisis y síntesis de la información obtenida con el
desarrollo del programa.
3.4.1.- Las metodologías de Auditoria informática
7.Verificación de la misma.
8.Comprobación de que se han alcanzado los objetivos
señalados, cumpliendo la finalidad del informe.
9.Elaboración del informe.
10.Discusión del mismo.
11.Distribución a la dirección y afectados
El auditor interno debe crear las metodologías necesarias

para auditar las distintos aspecto o áreas que defina en el
plan auditor que veremos en el siguiente punto.

3.4.2.- El plan auditor informatico
Las partes de un plan auditor informático deben ser al
menos las siguientes:
Funciones. Ubicación de la figura en el organigrama de la

empresa. Debe existir una clara segregación de funciones
con la Informática y de control interno informático, y éste
debe ser auditado también. Deben describirse las funciones
de forma precisa, y la organización interna del
departamento, con todos sus recursos.

 Procedimientos para las distintas tareas de las
auditorías. Entre ellos están el procedimiento de apertura,
el de entrega y discusión de debilidades, entrega de
informe preliminar, cierre de auditoría, redacción de
informe final, etc.
 Tipos de auditorías que realiza. Metodologías y
cuestionarios de las mismas. Ejemplo: revisión de la
aplicación de facturación, revisión de la ley de Protección
de Datos, revisión de seguridad física, revisión de control
interno, etc. Existen tres tipos de auditoría según su
alcance: la completa de una área (por ejemplo: control
interno, informática); limitada a un aspecto por ejemplo:
una aplicación, la seguridad lógica, el software de base,
etc.; la correctiva que es la comprobación de acciones de
auditorías anteriores.
 Sistema de evaluación y los distintos aspectos que
evalúa. Independientemente de que exista un plan de
acciones en el informe final, debe hacerse el esfuerzo de
definir varios aspectos a evaluar como nivel de gestión
económica, gestión de recursos humanos, cumplimiento de
normas, etc. así como realizar una evaluación global de
resumen para toda la auditoría. En nuestro país esta
evaluación suele hacerse en tres niveles que son “Bien”,
“Regular”, o “Mal”, significando la visión de grado de
gravedad. Esta evaluación final nos servirá para definir la
fecha de repetición de la misma auditoría en el futuro
según el nivel de exposición que se le haya dado a este tipo
de auditoría en cuestión.

• Nivel de exposición. El nivel de exposición es en este
caso un número del uno al diez definido subjetivamente y
que me permite en base a la evaluación final de la última
auditoría realizada sobre ese tema definir la fecha de la
repetición de la misma auditoría. Este número no conviene
confundirlo con ninguno de los parámetros utilizados en el
análisis de riesgos que está enfocado a probabilidad de
ocurrencia. En este caso el valor del nivel de exposición
significa la suma de factores como impacto, personal del
área, situación de control en el área. O sea se puede incluso
rebajar el nivel de un área auditada porque está muy bien y
no merece la pena revisarla tan a menudo.

Nivel Exposición Evaluación Frecuencia Visitas
10 - 9 “B” 18 meses
“R” 9 meses
“M” 6 meses
8-7 “B” 18 meses
“R” 12 meses
“M” 9 meses
6-5 “B” 24 meses
“R” 18 meses
“M” 12 meses
4-1 “B” 36 meses
“R” 24 meses
“M” 18 meses

• Lista de distribución de informes.
• Seguimiento de las acciones correctoras.
• Plan quinquenal. Todas las áreas a auditar deben
corresponderse con cuestionarios metodológicos y deben
repartirse en cuatro o cinco años de trabajo. Esta
planificación, además de las repeticiones y añadido de las
auditorías no programadas que se estimen oportunas,
deberá componer anualmente el plan de trabajo anual.
• Plan de trabajo anual. Deben estimarse tiempos de
manera racional y componer un calendario que una vez
terminado nos dé un resultado de horas de trabajo previstas
y por tanto de los recursos que se necesitarán.

Las metodologías de auditoría informática son del tipo
cualitativo/subjetivo. Podemos decir que son las
subjetivas por excelencia. Por tanto están basadas en
profesionales de gran nivel de experiencia y formación,
capaces de dictar recomendaciones técnicas, operativas y
jurídicas, que exigen una gran profesionalidad y formación
continuada. Sólo así esta función se consolidará en las
entidades, esto es, por el “respeto profesional” a los que
ejercen la función.

3.4.3.- Metodologías para el control interno
Dos son los tipos de metodologías utilizadas para el

establecimiento y definición de controles internos:
1.Metodología para la Clasificación de la información.
Se comentará brevemente la metodología PRIMA.
Entidad de información es el objetivo a proteger en el
entorno informático, y que la clasificación de la
información nos ayudará a proteger especializando las
contramedidas según el nivel de confidencialidad o
importancia que tengan.
Ejemplos de Entidades de Información son: Una pantalla,
un listado, un fichero de datos, un fichero en un
dispositivo, una microficha de saldos.

Los factores a considerar son los requerimientos
legislativos, la sensibilidad a la divulgación
(confidencialidad), a la modificación (integridad), y a la
destrucción.
Las jerarquías suelen ser cuatro, y según se trate de

óptica de preservación o de protección, los cuatro
grupos serían: Vital-Crítica-Valuada-No sensible
o Altamente confidencial-Confidencial-Restringida-No
sensible.

Esta metodología básicamente define:
• Estratégica (información muy restringida, muy confidencial,

vital para la subsistencia de la empresa).
• Restringida (a los propietarios de la información).
• De uso interno (a todos los empleados).
• De uso general (sin restricciones).

Los pasos de la metodología son los siguientes:
1.Identificación de la información.
2.Inventario de entidades de información residentes y
operativas. Inventario de programas, ficheros de datos,
estructuras de datos, soportes de información, etc.
3.Identificación de propietarios. Son los que necesitan
para su trabajo, usan o custodian la información.
4.Definición de jerarquías de información. Suelen ser
cuatro, porque es difícil distinguir entre más niveles.

5.Definición de la matriz de clasificación. Consiste en
definir las políticas, estándares, objetivos de control y
contramedidas por tipos y jerarquías de información.
6.Confección de la matriz de clasificación. Realización
del plan de acciones. Se confecciona el plan detallado de
acciones. Por ejemplo, se reforma una aplicación de
nóminas para que un empleado utilice el programa de
subidas de salario y su supervisor lo apruebe.
7.Implantación y mantenimiento. Se implanta el plan de
acciones y se mantiene actualizado.

ANALISIS CONTRAMEDIDA
A) DE RIESGOS 1
ESTANDARES
CLASIFICACION OBJETIVOS DE
DE LA CONTROL 1
INFORMACION
PLAN DE
B) CONTRAMEDIDA
ACCIONES
OBJETIVOS 2
DE CONTROL 1 TECNOLOGIA
OBJETIVOS CONTRAMEDIDA
3
C) DECONTROL 2
Estándares (ISO, CISA, ITSEC, TCS, etc.)

2 Metodología para la obtención de los procedimientos
de control
Es frecuente encontrar manuales de procedimientos en
todas las áreas de la empresa que explican las funciones y
cómo se realizan las distintas tareas diariamente, siendo
éstos necesarios para que los auditores realicen sus
revisiones operativas, evaluando si los procedimientos son
correctos y están aprobados y sobre todo si se cumplen.

Una metodología para la obtención de controles se expone
a continuación:
Fase I. Definición de Objetivos de Control. Se compone
de tres tareas.
Tarea 1. Análisis de la empresa. Se estudian los procesos,
organigramas y funciones.
Tarea 2. Recopilación de estándares. Se estudian todas las
fuentes de información necesarias para conseguir definir en
la siguiente fase los objetivos de control a cumplir (por
ejemplo, ISO, ITSEC, CISA, etc.).
Tarea 3. Definición de los Objetivos de Control.

Fase II. Definición de los Controles.
Tarea 1. Definición de los Controles. Identificados los
objetivos de control, se analizan los procesos y se definen
los distintos controles que se necesitan.
Tarea 2. Definición de Necesidades Tecnológicas
(hardware y herramientas de control).
Tarea 3. Definición de los Procedimientos de Control. Se
desarrollan los distintos procedimientos que se generan en
las áreas usuarias, informática, control informático y
control no informático.
Tarea 4. Definición de las necesidades de recursos
humanos.

Fase III. Implantación de los controles.
Una vez definidos los controles, las herramientas de
control y los recursos humanos necesarios, no resta más
que implantarlos en forma de acciones específicas.
Terminado el proceso de implantación de acciones habrá que
documentar los procedimientos nuevos y revisar los
afectados de cambio. Los procedimientos resultantes serán:
Procedimientos propios de control de la actividad
informática (control interno informático).
Procedimiento de distintas áreas usuarias de la
informática, mejorados.
Procedimientos de áreas informáticas, mejorados.
Procedimientos de control dual entre control interno
informático y el área informática, los usuarios
informáticos, yintroducción
el áreadede control
controles internos no informático. 48
Seguridad de la Información
Backup

El Control Interno en La Ti

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

El Control Interno en La Ti

Uploaded by

Copyright:

Available Formats

EL CONTROL INTERNO EN

Profesor: Hernán Moraga A..

3.1.- Introducción a los controles internos

introducción de controles internos 2

... proceso... efectuado por el Consejo de Administración,

- Eficacia y eficiencia de las operaciones;

introducción de controles internos 3

El primer aspecto clave de la definición propuesta por

introducción de controles internos 4

introducción de controles internos 5

El tercer elemento de la definición, destinado a garantizar

introducción de controles internos 6

b) El marco de control interno.

Dentro del marco integrado se identifican cinco elementos

introducción de controles internos 7

1.El ambiente de control

introducción de controles internos 8

introducción de controles internos 9

El primer elemento del control interno es el ambiente de

introducción de controles internos 10

Los factores a considerar cuando se evalúan la

- La existencia e implantación de códigos de conducta.

introducción de controles internos 11

introducción de controles internos 12

introducción de controles internos 13

introducción de controles internos 14

introducción de controles internos 15

Lo importante no es utilizar determinada metodología

introducción de controles internos 16

b.3) Actividades de control.

Las actividades de control deben estar integradas en el

introducción de controles internos 17

introducción de controles internos 18

Independientemente de la clasificación que se adopte, las

introducción de controles internos 19

introducción de controles internos 20

Es preciso desarrollar y comunicar oportunamente la

Es preciso supervisar continuamente los controles

introducción de controles internos 22

La alta dirección debe adoptar una actitud proactiva a

Un aspecto a tomar en cuenta al principio del proceso es

introducción de controles internos 23

introducción de controles internos 24

introducción de controles internos 25

introducción de controles internos 26

Por tanto, el nivel de seguridad informática en una

introducción de controles internos 27

Factores que componen una contramedida.

introducción de controles internos 29

El auditor interno debe crear las metodologías necesarias

introducción de controles internos 31

Funciones. Ubicación de la figura en el organigrama de la

introducción de controles internos 32

introducción de controles internos 34

introducción de controles internos 35

Nivel Exposición Evaluación Frecuencia Visitas

introducción de controles internos 36

introducción de controles internos 37

introducción de controles internos 38

Dos son los tipos de metodologías utilizadas para el

introducción de controles internos 39

Las jerarquías suelen ser cuatro, y según se trate de

introducción de controles internos 40

• Estratégica (información muy restringida, muy confidencial,