Control Interno Informático
Control Es una serie de métodos y medidas adoptadas por un negocio con el fin de salvaguardar sus activos, garantizando la exactitud de los datos contables contables y la eficiencia operacional
Control Es una serie de métodos y medidas adoptadas por un negocio con el fin de salvaguardar sus activos, garantizando la exactitud de los datos contables contables y la eficiencia operacional
Control Interno Comprende el plan de organización los métodos y procedimientos que tienen implantado una empresa o negocio estructurados en un todo para la obtención de tres objetivos fundamentales. La obtención de información financiera correcta y segura La salvaguarda de los activos a ctivos La eficiencia de las operaciones operaciones •
•
•
Control Interno Informático El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones, con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.
Control Interno Informático La identificación y puesta en marcha los métodos para el control de las actividades de los sistemas de información que sean realizadas cumpliendo con los procedimientos estándares y normas fijadas por la dirección, para la salvaguarda de los activos informáticos. ”No
es más que un control interno, pero aplicado a la informática y junto con sus actividades y áreas”
Tipos de controles Internos Informáticos •
•
• •
•
Para la organización del área de informática Para el análisis, desarrollo e implementación de sistemas Para la operación del sistema Para los procedimientos de entrada de datos, el procesamiento de la información y la emisión de resultados. Para la seguridad del área de sistemas
El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán”. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos: manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales. • Controles
Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc. •
Los controles según su finalidad se clasifican en: • Controles Preventivos, para tratar de evitar la
producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. • Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. • Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.
Objetivos principales: • Controlar que todas las actividades se realizan
cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. • Asesorar sobre el conocimiento de las normas • Colaborar y apoyar el trabajo de Auditoría Informática
interna/externa • Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de cumplimiento de los servicios informáticos.
Control interno informático (función)
El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.
Entre sus funciones específicas están: • Difundir y controlar el cumplimiento de las normas,
estándares y procedimientos al programadores, técnicos y operadores.
personal
• Diseñar la estructura del Sistema de Control Interno.
de
Aspectos de la estructura del Sistema de Control Interno de la Dirección de Informática: • Desarrollo y mantenimiento del software de aplicación. • Explotación de servidores principales • Software de Base • Redes de Computación • Seguridad Informática • Licencias de software • Relaciones contractuales con terceros • Cultura de riesgo informático en la organización
Control interno informático (áreas de aplicación) Controles generales organizativos
Son la base para la planificación, control y evaluación por la Dirección General de las actividades del Departamento de Informática, y debe contener la siguiente planificación: • Plan Estratégico de Información realizado por el Comité de
Informática. • Plan Informático, realizado por el Departamento de Informática. • Plan General de Seguridad (física y lógica). • Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de información
Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones.
Controles de explotación de sistemas de información
Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de, instalación y ejecución del software.
Controles en aplicaciones
Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completos y exactos de los datos.
Controles en sistemas de gestión de base de datos
Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad.
Controles informáticos sobre redes
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidos.
Controles sobre computadores y redes de área local
Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los datos que en ellos se procesan.
Componentes
De acuerdo al marco COSO, el control interno consta de cinco componentes relaciones entre sí; éstos derivarán de la manera en que la Dirección dirija la Unidad y estarán integrados en el proceso de dirección. Los componentes serán los mismos para todas las organizaciones (públicas o privadas) y dependerá del tamaño de la misma la implantación de cada uno de ellos.
Los componentes son: •
Ambiente de Control.
•
Evaluación de Riesgos.
•
Actividades de Control.
•
Información y Comunicación.
•
Supervisión y Monitoreo.
Ambiente de Control
El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando disciplina a la estructura. En él se apoyarán los restantes componentes, por lo que será fundamental para concretar los cimientos de un eficaz y eficiente sistema de Control Interno. Marca la pauta del funcionamiento de la Unidad e influye en la concientización de sus funcionarios.
Ambiente de Control
Los factores a considerar dentro del Entorno de Control serán: La Integridad y los Valores Éticos, la Capacidad de los funcionarios de la Unidad, el Estilo de Dirección y Gestión, la Asignación de Autoridad y Responsabilidad, la Estructura Organizacional y, las Políticas y Prácticas de personal utilizadas.
Evaluación de Riesgos
Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados. Una condición previa a la Evaluación de Riesgo es la identificación de los objetivos a los distintos niveles, los cuales deberán estar vinculados entre sí.
Evaluación de Riesgos
La Evaluación de Riesgos consiste en: La identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo deben ser gestionados. A su vez, dados los cambios permanentes del entorno, será necesario que la Unidad disponga de mecanismos para identificar y afrontar los riesgos asociados al cambio.
Evaluación de Riesgos
En la evaluación se deberá analizar que los Objetivos de Área hayan sido apropiadamente definidos, que los mismos sean consistentes con los objetivos institucionales, que fueran oportunamente comunicados, que fueran detectados y analizados adecuadamente los riesgos y, que se los haya clasificado de acuerdo a la relevancia y probabilidad de ocurrencia.
Actividades de Control
Las actividades de control son: Las políticas, procedemientos, técnicas, prácticas y mecanismos que permiten a la Dirección administrar (mitigar) los riesgos identificados durante el proceso de Evaluación de Riesgos y asegurar que se llevan a cabo los lineamientos establecidos por ella.
Actividades de Control
Las Actividades de Control se ejecutan en todos los niveles de la Unidad y en cada una de las etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos. En la evaluación del Sistema de Control Interno no solo debe considerarse si fueron establecidas las actividades relevantes para los riesgos identificados, sino también si las mismas son aplicadas en la realidad y si los resultados obtenidos fueron los esperados.
Información y Comunicación
Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que permitan cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una comunicación eficaz -en un sentido amplio- que fluya en todas direcciones a través de todos los ámbitos de la Unidad, de forma descendente como ascendente.
Información y Comunicación
La Dirección debe comunicar en forma clara las responsabilidades de cada funcionario dentro del Sistema de Control Interno implementado. Los funcionarios tienen que comprender cuál es su papel en el Sistema de Control Interno y, cómo las actividades individuales están relacionadas con el trabajo del resto.