CONTROL INTERNO INFORMÁTICO

El Control Interno Informático es una función del departamento de Informática de una

organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los
sistemas de información automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones legales establecidas interna y externamente.

Entre sus funciones específicas están:

Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de

programadores, técnicos y operadores.

Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los

siguientes aspectos:

 Desarrollo y mantenimiento del software de aplicación.

 Explotación de servidores principales
 Software de Base
 Redes de Computación
 Seguridad Informática
 Licencias de software
 Relaciones contractuales con terceros
 Cultura de riesgo informático en la organización

CONTROL INTERNO INFORMÁTICO (SISTEMA)

Un Sistema de Control Interno Informático debe asegurar la integridad, disponibilidad y eficacia

de los sistemas informáticos a través de mecanismos o actividades de control. Estos controles
cuando se diseñen, desarrollen e implanten, deben ser sencillos, completos, confiables,
revisables y económicos. Para implantar estos controles debe conocerse previamente la
configuración de todo el sistema a fin de identificar los elementos, productos y herramientas
que existen y determinar de esta forma donde se pueden implantar, así como para identificar
los posibles riesgos. Para conocer la configuración del sistema se deberá documentar:

 Entorno de Red: esquema, configuración del hardware y software de comunicaciones y

esquema de seguridad de la red.
 Configuración de los computadores principales desde el punto de vista físico, sistema
operativo, biblioteca de programas y conjunto de datos.
 Configuración de aplicaciones: proceso de transacciones, sistema de gestión de base de
datos y entorno de procesos distribuidos
 Productos y herramientas: software de programación diseño y documentación,
software de gestión de biblioteca.
 Seguridad del computador principal: sistema de registro y acceso de usuarios, identificar
y verificar usuarios, integridad del sistema

Una vez que se posee esta documentación se tendrá que definir:

· Políticas, normas y técnicas para el diseño e implantación de los sistemas de información y sus
respectivos controles.

· Políticas, normas y técnicas para la administración del centro de cómputo y redes de

computadores y sus respectivos controles.
· Políticas y normas que aseguren la integridad, confidencialidad y disponibilidad de los datos y
sus respectivos controles.

· Políticas y normas que rijan los procedimientos de cambios, pruebas actualización de

programas y sus respectivos controles.

· Políticas y normas de instalación, actualización y uso de licencias del software de base, de red
y de usuario y sus respectivos controles.

· Políticas y normas que permitan implantar en la organización una cultura de riesgo informático,
la misma que comprenderá los siguientes entornos:

· Dirección General, a través de políticas generales sobre los

sistemas de información respecto al tipo de negocio de la misma.

· Dirección de informática, a través de la creación y difusión de

procedimientos, estándares, metodologías y normas aplicables a

todas las áreas de informática así como de usuarios.

· Control Interno Informático, definirá los controles periódicos a

realizar en cada una de las funciones informáticas, de acuerdo al

nivel de riesgo de cada una de ellas y serán de carácter

preventivo, detectivo y correctivo.

· Auditoría Informática Interna; revisará periódicamente la

estructura de control interno tanto en su diseño como en su

cumplimiento por parte de cada una de las áreas definidas en él y

de acuerdo al nivel de riesgo.

CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN)

CONTROLES GENERALES ORGANIZATIVOS

Son la base para la planificación, control y evaluación por la

Dirección General de las actividades del Departamento de

Informática, y debe contener la siguiente planificación:

· Plan Estratégico de Información realizado por el Comité de

Informática.

· Plan Informático, realizado por el Departamento de Informática.

· Plan General de Seguridad (física y lógica).

· Plan de Contingencia ante desastres.

CONTROLES DE DESARROLLO Y MANTENIMIENTO DE SISTEMAS

DE INFORMACION

Permiten alcanzar la eficacia del sistema, economía, eficiencia,

integridad de datos, protección de recursos y cumplimiento con las

leyes y regulaciones a través de metodologías como la del Ciclo de

Vida de Desarrollo de aplicaciones.

CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION

Tienen que ver con la gestión de los recursos tanto a nivel de

planificación, adquisición y uso del hardware así como los

procedimientos de, instalación y ejecución del software.

CONTROLES EN APLICACIONES

Toda aplicación debe llevar controles incorporados para garantizar la

entrada, actualización, salida, validez y mantenimiento completos y

exactos de los datos.

CONTROLES EN SISTEMAS DE GESTION DE BASE DE DATOS

Tienen que ver con la administración de los datos para asegurar su

integridad, disponibilidad y seguridad.

CONTROLES INFORMATICOS SOBRE REDES

Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad

y funcionamiento de las redes instaladas en una organización sean

estas centrales y/o distribuidas.

CONTROLES SOBRE COMPUTADORES Y REDES DE AREA LOCAL

Se relacionan a las políticas de adquisición, instalación y soporte

técnico, tanto del hardware como del software de usuario, así como la

seguridad de los datos que en ellos se procesan.

CONCEPTOS FUNDAMENTALES

AMENAZA - CAUSA DE RIESGO

Se refiere a factores o circunstancias que al materializarse u ocurrir, generan riesgos o

pérdidas a la organización. Ejemplo: el incendio puede generar pérdida de activos,

sanciones legales, desventaja ante la competencia.

RIESGO

Valor de las pérdidas a las que se expone una organización por efecto de la ocurrencia de
un evento adverso denominado amenaza o causa del riesgo. El riesgo es el resultado de

las pérdidas ocasionadas por una causa multiplicado por la probabilidad de ocurrencia (R

= P * C).

RIESGO CRÍTICO

Riesgos que tienen la mayor calificación dentro de un conjunto de riesgos que podrían

presentarse en una operación o sistema. Riesgo de prioridad alta, de acuerdo con la

evaluación de riesgos potenciales. Riesgo ubicado en los estratos Alto y Medio Alto

dentro del principio de Pareto.

RIESGO POTENCIAL

Es el riesgo inherente o asociado con la naturaleza de las operaciones. Este riesgo no

tiene en cuenta los controles establecidos. Por ejemplo: el hecho de tener computador

portátil lo expone a que sea robado, independientemente de los controles que se

establezcan para evitar que sea robado.

RIESGO RESIDUAL

Es el riesgo no cubierto por los controles establecidos.

ADMINISTRACIÓN DE RIESGO

Es el proceso mediante el cual partiendo de los riesgos potenciales críticos, se establecen

medidas de control y de seguridad para reducirlos a niveles aceptables de riesgo residual.

Es el proceso de establecer y mantener la seguridad en un área o sistema.

ANÁLISIS DE RIESGO

Es el medio por el cual los riesgos son identificados y evaluados para justificar las

medidas de seguridad o controles.

RIESGOS FUNDAMENTALES

- Daño o Destrucción de Activos

- Hurto o Fraude

- Desventaja Competitiva

- Sanciones Legales

- Perdida de Negocios y Credibilidad Pública

- Pérdida de dinero por exceso de desembolsos

- Decisiones erróneas

- Pérdida de Ingresos
EL RIESGO EN LA ENTIDAD SEGÚN PRICE WATERHOUSE:

Cualquier evento futuro incierto que puede obstaculizar el logro de los objetivos

estratégicos, operativos, de cumplimiento y/o financieros de Municipalidad. Y los

clasifica de la siguiente forma:

RIESGOS ESTRATÉGICOS: Asociados a la forma como se administra la entidad

RIESGOS OPERACIONALES: Asociados con las condiciones operacionales de los

procesos, controles, sistemas e informaciones.

RIESGOS DE CUMPLIMIENTO: Asociados con la capacidad de la entidad de cumplir

normas, regulaciones y leyes así como seguir las políticas del sector público

RIESGOS FINANCIEROS: Asociados a la exposición financiera de la Municipalidad

PERCEPCIONES DEL RIESGO:

AMENAZA : Objetivo: minimizar

INCERTIDUMBRE : Objetivo: administrar

OPORTUNIDAD : Objetivo: maximizar

SEGÚN COSO EL CONTROL INTERNO ES:

Un proceso efectuado por el directorio de una entidad, la gerencia y otros miembros del

personal; diseñado para proporcionar una seguridad razonable acerca del logro de

objetivos.

Cuando indica seguridad razonable implica que el costo de una estructura de control no

excede sus beneficios.

El Control Interno disminuye la posibilidad de daños a la reputación de una

organización.

El control interno contribuye a la minimización de los riesgos potenciales de una

organización

COMPONENTES DEL CONTROL INTERO

- Ambiente de control : proporciona el clima en el cual la gente realiza sus

actividades y lleva a cabo sus responsabilidades de control. Es decir que es el

componente principal para la administración efectiva del riesgo en la

administración; provee la disciplina y estructura de todos los componentes

involucrados, y se inculca mediante entrenamientos al personal, códigos de

conducta, etc.
- Evaluación de riesgo : dentro del ambiente de control. La gerencia “evalúa” los

riesgos para lograr los objetivos propuestos, y lo hace a nivel organizacional y a

nivel de actividad. Un prerrequisito para evaluar un riesgo es el establecimiento de

los objetivos. El proceso de análisis incluye: determinar la significatividad del

riesgo, evaluar la probabilidad de que ocurra o la frecuencia con que se produce y

evaluar las acciones que deben ser adoptadas.

- Actividades de control : son las que están diseñadas para responder a los riesgos

en toda la organización como por ejemplo: aprobaciones, autorizaciones,

revisiones y segregación de funciones. Estos procedimientos de control pueden ser:

controles de monitoreo, gerenciales, independientes, de procesamiento de

información y controles de salvaguarda de activos.

- Información y comunicación : los canales de comunicación involucran a los

niveles internos y externos de la organización, en muchas oportunidades la

comunicación de fuentes externas proporciona información importante acerca del

funcionamiento del control interno. Medir la calidad de la información implica

determinar si: el contenido es adecuado, la información es oportuna, la información

es actual, la información es precisa, la información es accesible

- Monitoreo : Todas las actividades de control y procesos operativos deben ser

moni toreados; es decir, revisados por un nivel jerárquico mayor para realizar un

control de calidad sobre la marcha. Este proceso incluye la administración y

supervisión regular de las actividades