CONTROL INTERNO INFORMÁTICO Definiciones

El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. (Auditoría Informática - Aplicaciones en Producción - José Dagoberto Pinilla)

El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán.

También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática - Un Enfoque Práctico - Mario G. Plattini)

OBJETIVOS PRINCIPALES:

• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas

• Colaborar y apoyar el trabajo de Auditoría Informática interna/externa

• Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de cumplimiento de los servicios informáticos.

• Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan.

Tipos

En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos:

Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.

Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.

Los controles según su finalidad se clasifican en:

Controles Preventivos, permiten anticiparse a la ocurrencia de un hecho riesgoso, dañino o fraudulento, a un sistema informático.

INCLUYA EN EL MAPA 3 EJEMPLOS DE CONTROLES PREVENTIVOS EN INFORMÁTICA.

Controles Detectivos; tratan de descubrir a posteriori errores, daños o fraudes que no haya sido posible evitarlos con controles preventivos.

INCLUYA EN EL MAPA 2 EJEMPLOS DE CONTROLES DETECTIVOS EN INFORMÁTICA.

Controles Correctivos; tratan de asegurar que se corrijan todos los errores identificados con los controles detectivos.

INCLUYA EN EL MAPA 2 EJEMPLOS DE CONTROLES CORRECTIVOS EN INFORMÁTICA.

CONTROL INTERNO INFORMÁTICO (FUNCIÓN)

El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.

Entre sus funciones específicas están:

Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, técnicos y operadores.

Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos:

Desarrollo y mantenimiento del software de aplicación.

Explotación de servidores principales

Software de Base

Redes de Computación

Seguridad Informática

Licencias de software

Relaciones contractuales con terceros

Cultura de riesgo informático en la organización

CONTROL INTERNO INFORMÁTICO (SISTEMA)

Un Sistema de Control Interno Informático debe asegurar la integridad, disponibilidad y eficacia de los sistemas informáticos a través de mecanismos o actividades de control.

Estos controles cuando se diseñen, desarrollen e implanten, deben ser sencillos, completos, confiables, revisables y económicos.

Para implantar estos controles debe conocerse previamente la configuración de todo el sistema a fin de identificar los elementos, productos y herramientas que existen y determinar de esta forma donde se pueden implantar, así como para identificar los posibles riesgos.

Para conocer la configuración del sistema se deberá documentar:

Entorno de Red: esquema, configuración del hardware y software de comunicaciones y esquema de seguridad de la red.

Configuración de los servidores desde el punto de vista físico, sistema operativo, biblioteca de programas y conjunto de datos.

Configuración de aplicaciones: proceso de transacciones, sistema de gestión de base de datos y entorno de procesos distribuidos

Productos y herramientas: software de programación diseño y documentación, software de gestión de biblioteca.

Seguridad del servidor principal: sistema de registro y acceso de usuarios, identificar y verificar usuarios, integridad del sistema

Una vez que se posee esta documentación se tendrá que definir:

Políticas, normas y técnicas para el diseño e implantación de los sistemas de información y sus respectivos controles.

Políticas, normas y técnicas para la administración del centro de cómputo y redes de computadores y sus respectivos controles.

Políticas y normas que aseguren la integridad, confidencialidad y disponibilidad de los datos y sus respectivos controles.

Políticas y normas que rijan los procedimientos de cambios, pruebas actualización de programas y sus respectivos controles.

Políticas y normas de instalación, actualización y uso de licencias del

software de base, de red y de usuario y sus respectivos controles.

Políticas y normas que permitan implantar en la organización una cultura de riesgo informático, la misma que comprenderá los siguientes entornos:

Dirección General, a través de políticas generales sobre los sistemas de información respecto al tipo de negocio de la misma.

Dirección de informática, a través de la creación y difusión de procedimientos, estándares, metodologías y normas aplicables a todas las áreas de informática así como de usuarios.

Control Interno Informático, definirá los controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas y serán de carácter preventivo, detectivo y correctivo.

Auditoría Informática Interna; revisará periódicamente la estructura de control interno tanto en su diseño como en su cumplimiento por parte de cada una de las áreas definidas en él y de acuerdo al nivel de riesgo.

CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN)

CONTROLES EN LA ORGANIZACIÓN

Son la base para la planificación, control y evaluación por la Dirección General de las actividades del Departamento de Informática, y debe contener la siguiente planificación:

Plan Estratégico de Información realizado por el Comité de Informática.

Plan Informático, realizado por el Departamento de Informática.

Plan General de Seguridad (física y lógica).

Plan de Contingencia ante desastres.

CONTROLES DE DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION

Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones.

CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION

Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de, instalación y

ejecución del software.

CONTROLES EN APLICACIONES

Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completos y exactos de los datos.

CONTROLES EN SISTEMAS DE GESTION DE BASE DE DATOS

Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad.

CONTROLES INFORMATICOS SOBRE REDES

Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidas.

CONTROLES SOBRE COMPUTADORES Y REDES DE AREA LOCAL

Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los datos que en ellos se procesan.