Control Interno en Tecnología de Información

El control interno puede ser aplicado al área de tecnología de información con el fin
de ayudar en la evaluación de la eficiencia y eficacia de los sistemas de cómputo y
de la gestión administrativa que tiene que ver con el área de informática, es decir
con protección de los recursos de información y con el personal y para que la
definición se encuentre completa habría que agregar que se debe de apoyar a los
objetivos de la empresa.

Los objetivos de control en TI

El auditor deberá evaluar el nivel de cumplimiento de los objetivos de control en el

área de tecnología de información. De acuerdo con Gustavo Solís estos son los
objetivos de control en Tecnología de Información:
• Preservar atributos de la información: Información generada y almacenada
por medios tecnológicos es útil y confiable a la empresa.

• Apoyar la protección del patrimonio; La tecnología de información apoyara

la protección de bienes e inversiones de la empresa

• Proteger la infraestructura tecnológica: Preservar la integridad y

funcionalidad protegiendo todos los recursos de infraestructura tecnológica
de la empresa

• Apoyar la eficiencia operativa: La tecnología de información apoyará la

eficiencia de la operación de la empresa

• Emplear los recursos de TI adecuadamente: Utilizar la tecnología de

información de forma legar, eficiente, efectiva y apoyando a los objetivos
institucionales

• Brindar apoyo competitivo: Apoyar con tecnología de información la

operación y la toma de decisiones para dar soporte competitivo a la empresa

• Mantener una cultura informática adecuada: Contar con una cultura

informática competitiva de acuerdo con los objetivos del negocio

• Mantener una cultura organizacional adecuada: Mantener una cultura

organizacional adecuada con el personal de tecnología de información y
conforme a la cultura institucional.

• Habilitar mecanismos de equilibrio: Utilizar la tecnología de información

para mantener el equilibrio interno en respuesta a cambios del medio
ambiente.

• Mantener la continuidad y consistencia: Apoyar a corto, mediano y largo

plazo la operación de la empresa con tecnología de información

• Preservar las condiciones de la información: El procesamiento,

almacenamiento y generación de información utilizando tecnología de
información deberá ser confiable, integro y disponible
El nivel de cumplimiento en cada uno de estos objetivos de control como podemos
ver no es suficiente para mostrar lo que está sucediendo en detalle, por lo que se
hace necesario especificar el nivel de la evaluación del cumplimiento de estos
objetivos. Por ejemplo para lograr preservar atributos de la información será
necesario evaluar que la información sea exacta, veraz, completa, así como
verificar la protección contra riesgos a los cuales están expuestos los equipos y las
instalaciones, también verificar las deficiencias en la transmisión de datos, entre
muchos otros elementos. De esta forma se podrá detectar en que punto se
encuentra la deficiencia en el cumplimiento.

Procedimientos de Control en Tecnología de Información

Los procedimientos de control en tecnología de información son los mecanismos

que se establecen para que la tecnología de información cumpla con los objetivos
de control.

Los procedimientos de control se clasifican en controles generales y controles

específicos:
• Los procedimientos de controles generales no aseguran que el producto o
servicio generado sea el adecuado, pero si el procedimiento de control
general falla entonces el producto o servicio reflejará esa deficiencia. Los
controles generales afectan a todos los procesos y servicios que da el área
de tecnología de información.

La evaluación de los controles generales puede ser realizada en diferentes formas:

la tradicional por áreas o funciones, por procesos o por los elementos de
infraestructura que se utilizan.

• Áreas o funciones: Dirección de Informática, Administración, Desarrollo,

Operación, Soporte y Telecomunicaciones

• Procesos Informáticos: Estos pueden ser procesos informáticos sustantivos

(son los servicios que presta) se caracterizan por ser repetitivos por
ejemplo: Planeación estratégica de sistemas, Desarrollo de sistemas,
Mantenimiento de sistemas, Integración de paquetes, entre otros. Procesos
de administración informática (administración de sus recursos) no son tan
repetitivos como los sustantivos por ejemplo: Dirección, Administración de
equipo, Administración de recursos humanos y Administración de recursos
financieros.

• Elementos de infraestructura: Se clasifican de acuerdo a los recursos por

ejemplo: Datos, Aplicaciones, Tecnología, Instalaciones, Recursos Humanos,
Elementos de administración, Recursos financieros y Proveedores.

• Los procedimientos de controles específicos: A estos también se les conoce

como controles de aplicación y de alguna forma aseguran que un sistema
específico cumpla con sus objetivos y apoye a los objetivos de la empresa.
Los procedimientos de control interno se clasifican en: Controles de acceso,
Controles de entrada de datos, Controles de comunicación de datos,
Controles de proceso de datos, Controles de salida y distribución, Controles
de continuidad entre los más importantes.