Auditoria de Sistemas

Control Interno Informtico

Ing. Elizabeth Guerrero

Control

Conjunto de disposiciones metdicas, cuyo

fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si
todo se realiza conforme a los programas
adoptados, ordenes impartidas y principios
admitidos.

Acciones del Control

Se considera que el control produce dos

tipos de acciones segn sea el mbito
donde se aplique:
Influencia directiva, intenta que las actividades
del sistema se realicen de modo tal que
produzcan determinados resultados o alcancen
objetivos especficos predefinidos.
Influencia restrictiva, la accin se ejerce de
modo tal que evite que las actividades de un
sistema produzcan resultados no deseados.

Elementos de Control

Elemento, caracterstica o condicin a controlar.

Sensor: artefacto o mtodo para medir las
caractersticas o condiciones controladas, es decir
instrumento para medir el rendimiento.
Grupo de control: unidad o equipo de control para
comparar los datos medidos con el rendimiento
planeado. Determina la necesidad de correccin y
enva la informacin a los mecanismos que deben
normalizar o corregir laproduccin del sistema
Grupo activante: mecanismo activador que es capaz
de producir un cambio en el sistema operante, es
decir, realizar la accin correctiva correspondiente.

Tipos de control

Correctivos

Miden las desviaciones

e informan sobre ellas

No correctivos

Prescinden de la
medicin e
informacion de los
desvos que se pueden
producir

De acuerdo a su
objetivo

Tipos de control

Retroalimentados

Comparan los
resultados obtenidos
con los esperados

Prealimentados

Previenen la
ocurrencia de
resultados
indeseados

De acuerdo a su
marco temporal

Tipos de control

De secuencia abierta

El grupo de control es
independiente del
sistema operante

De secuencia cerrada

Todos los elementos

de control pertenecen
al propio sitema
operante

De acuerdo a su
pertenencia

Etapas de control
Establecimiento de estndares: es la
accin de determinar el/los parmetro/s
sobre los cuales se ejercer el control y,
posteriormente, el estado o valor de esos
parmetros considerado deseable.
Comparacin o diagnstico: implica el
cotejo entre los resultados reales con los
deseables.

Etapas de control

La determinacin de acciones correctivas. Lleva

implcita una decisin: corregir o dejar como est
La ejecucin de las acciones correctivas Sin ste, el
control ser estril, intil e incompleto. Ms an,
infinitamente caro como respuesta al problema que
intent solucionar. Por ello, se considera que sin esta
etapa simplemente no ha existido una accin de control.

Control Interno
Informtico

Se define como cualquier actividad o accin

realizada para prevenir, corregir errores o
irregularidades que puedan afectar el
funcionamiento de un sistema para
conseguir sus objetivos

 Facilitan la vuelta a la normalidad cuando se

han producido fallas
Ejemplo: Recuperacin de un archivo daado a
partir de las copias de seguridad

Cuando fallan los preventivos para tratar de

conocer cuanto antes el evento
Ejemplo: Registro de intentos de acceso no
autorizados

Tratar de evitar o prevenir una accin

Ejemplo: Software de seguridad evita los
accesos no autorizados

Controles
Correctivos
Controles
Detectivos
Controles
Preventivos

Clasificacin del control interno

informtico

Control Interno en el rea de

informtica

Controles internos sobre la organizacin:

Direccin
Divisin del trabajo
Asignacin de responsabilidad y autoridad
Establecimiento de estndares y mtodos
Perfiles de puestos

Control Interno en el rea de

informtica

Controles internos sobre el anlisis, desarrollo e

implementacin de sistemas:
Estndarizacin de metodologas para el desarrollo de
proyectos
Asegurar que el beneficiario de los sistemas sea el
ptimo
Elaborar estudios de factibilidad del sistema
Garantizar la eficiencia y la eficacia en el anlisis y
diseo de sistemas
Vigilar la efectividad y eficiencia de la implementacin y
mantenimiento del sistema
Optimizar el uso del sistema por medio de su
documentacin

Control Interno en el rea de

informtica

Controles internos sobre la operacin del

sistema:
Prevenir y corregir errores de operacin
Prevenir y evitar la manipulacin fraudulenta de
la informacin
Implementar y mantener la seguridad de la
operacin
Mantener la confiabilidad, oportunidad, veracidad
y suficiencia en el procesamiento de la
informacin de la institucin

Control Interno en el rea de

informtica

Controles internos sobre los procedimientos

de entrada de datos, el procesamiento de
informacin y la emisin de resultados
Verificar la existencia y funcionamiento de los
procedimientos de captura de datos
Comprobar que todos los datos sean debidamente
procesados
Verificar la confiabilidad, veracidad y exactitud del
procesamiento de datos
Comprobar la oportunidad, confiabilidad y veracidad
de la emisin de los resultados del procesamiento
de informacin

Control Interno en el rea de

informtica

Controles internos sobre la seguridad del rea

de sistemas:
Prevenir y evitar las amenazas, riesgos y
contingencias que inciden en el rea de
sistematizacin
Seguridad fsica del rea de sistemas
Seguridad lgica de los sistemas
Seguridad de las bases de datos
Operacin de los sistemas computacionales
Seguridad del personal de informtica
Seguridad de la telecomunicacin de datos
Seguridad de redes y sistemas multiusuarios

Principales Controles fsicos y

lgicos

Autenticidad
Permiten verificar la identidad
1. Passwords
2. Firmas digitales

Exactitud
Aseguran la coherencia de los datos
1. Validacin de campos
2. Validacin de excesos

Totalidad
Evitan la omisin de registros as como garantizan la conclusin de un proceso de envio
1. Conteo de registros
2. Cifras de control

Redundancia
Evitan la duplicidad de datos
1. Cancelacin de lotes
2. Verificacin de secuencias

Privacidad
Aseguran la proteccin de los datos
1. Compactacin
2. Encriptacin

Principales Controles fsicos y

lgicos

Existencia
Aseguran la disponibilidad de los datos
1. Bitcora de estados
2. Mantenimiento de activos

Proteccin de Activos
Destruccin o corrupcin de informacin o del hardware
1. Extintores
2. Passwords

Efectividad
Aseguran el logro de los objetivos
1. Encuestas de satisfaccin
2. Medicin de niveles de servicio

Eficiencia
Aseguran el uso ptimo de los recursos
1. Programas monitores
2. Anlisis costo-beneficio

Controles automticos o lgicos

Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar
peridicamente.
El no cambiar las claves peridicamente aumenta la posibilidad de que personas
no autorizadas conozcan y utilicen claves de usuarios del sistema de
computacin.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinacin de alfanumricos en claves de acceso

No es conveniente que la clave este compuesta por cdigos de empleados, ya que
una persona no autorizada a travs de pruebas simples o de deducciones puede
dar con dicha clave.
Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave
permite al momento de efectuar las transacciones registrar a los responsables de cualquier
cambio.
Confidenciales De forma confidencial los usuarios debern ser instruidos formalmente
respecto al uso de las claves.
No significativas Las claves no deben corresponder a nmeros secuenciales ni a nombres o
fechas.

Controles automticos o lgicos

Verificacin de datos de entrada

Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o
precisin; tal es el caso de la validacin del tipo de datos que contienen los
campos o verificar si se encuentran dentro de un rango.

Conteo de registros
Consiste en crear campos de memoria para ir acumulando cada registro que se
ingresa y verificar con los totales ya registrados.

Totales de Control
Se realiza mediante la creacin de totales de linea, columnas, cantidad de
formularios, cifras de control, etc. , y automticamente verificar con un campo en
el cual se van acumulando los registros, separando solo aquellos formularios o
registros con diferencias.

Verficacin de limites
Consiste en la verificacin automtica de tablas, cdigos, limites mnimos y
mximos o bajo determinadas condiciones dadas previamente.

Controles automticos o lgicos

Verificacin de secuencias
En ciertos procesos los registros deben observar cierta secuencia numerica o
alfabetica, ascendente o descendente, esta verificacion debe hacerse mediante
rutinas independientes del programa en si.

Dgito autoverificador
Consiste en incluir un dgito adicional a una codificacin, el mismo que es
resultado de la aplicacin de un algoritmo o formula, conocido como MODULOS,
que detecta la correccin o no del cdigo. Tal es el caso por ejemplo del decimo
dgito de la cdula de identidad, calculado con el modulo 10 o el ultimo dgito del
RUC calculado con el mdulo 11.

Utilizar software de seguridad en los microcomputadores

El software de seguridad permite restringir el acceso al microcomputador, de tal
modo que solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregacin de funciones y la
confidencialidad de la informacin mediante controles para que los usuarios
puedan accesar solo a los programas y datos para los que estn autorizados.
Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.

Controles administrativos en un
ambiente de Procesamiento de Datos
1.- Controles
2.- Controles
3.- Controles
Produccin
4.- Controles
5.- Controles
6.- Controles

de Preinstalacin
de Organizacin y Planificacin
de Sistemas en Desarrollo y
de Procesamiento
de Operacin
de uso de Microcomputadores

Control Interno y Auditora Informtico

Control Interno
Informtico

Auditor Informtico

Conocimientos especializados en Tecnologa de la Informacin

Similitudes

Diferencias

Verificacin del cumplimiento de controles internos, normativa y

procedimientos establecidos por la Direccin de Informtica y la
Direccin General para los sistemas de informacin
Anlisis de los controles en el
da a da

Anlisis de un momento
informtico determinado

Informa a la Direccin del

Depatamento de Informtica

Informa a la Direccin
General de la Organizacin

Slo personal interno

Personal interno y/o externo

El alcance de sus funciones es

nicamente sobre el
Departamento de Infomtica

Tiene cobertura sobre todos

los componentes de los
sistemas de informacin de
la Organizacin