Trabajo de Control Interno Auditoria

UNIVERSIDAD CATLICA DE EL SALVADOR
C AT E D R T I C O : L I C .
JOS
A L E J ADE
N DCIENCIAS
RO
FACULTAD
EMPRESARIALES
A LV A R E Z
LICENCIATURA EN CONTADURA PUBLICA
ESTUDIANTE:
R A FA E L E R N E S T O
GENOVEZ
CONTROL INTERNO
PARA LA AUDITORA
DE SISTEMAS
INFORMTICOS
C T E D R A :
AUDITORIA
I N F O R M T I C A
Funciones del control interno y

auditoria informtica.
Control interno Informtico
Auditora informtica
Tipos de Control Interno
Elementos Fundamentales del
Control Interno
CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS
NDICE
INTRODUCCIN........................................................................................................I
OBJETIVOS...............................................................................................................II
MARCO TERICO....................................................................................................3
CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS......3
CAPITULO I...............................................................................................................3
1.0 Funciones del control interno y auditora informticos........................................3
1.1. Control interno informtico..............................................................................3
1.2 Auditora Informtica........................................................................................5
1.3 Control interno y auditora informticos: campos anlogos............................6
CAPITULO II..............................................................................................................7
2.0 SISTEMA DE CONTROL INTERNO INFORMTICO.........................................7
2.1 Definicin.............................................................................................................7
2.2 Tipos De Controles Internos................................................................................7
2.3 ELEMENTOS FUNDAMENTALES DEL CONTROL INTERNO INFORMTICO9
2.3.1 Control interno para la organizacin del rea de informtica.......................9
2.2.1.1 Direccin...............................................................................................10
2.2.1.2 Divisin del Trabajo..............................................................................11
2.2.1.3 Asignacin de responsabilidad y autoridad..........................................12
2.2.1.4 Establecimiento de estndares y mtodos..........................................12
2.2.1.5 Perfiles de puestos...............................................................................13
2.3 Controles internos para el anlisis, desarrollo e implementacin de sistemas
..............................................................................................................................14
2.3.1 Estandarizacin de metodologas para el desarrollo de proyectos........15
2.3.1.1 Estandarizacin de mtodos para el diseo de sistemas....................16
2.3.1.2 Lineamientos en la realizacin de sistemas........................................16

2.3.1.3 Uniformidad de funciones para desarrollar sistemas...........................16

2.3.1.4 Polticas para el desarrollo de sistemas...............................................16
2.3.1.5 Normas para regular el desarrollo de proyectos..................................16
2.3.2 Asegurar que el beneficio del sistema sea ptimo.....................................17
2.3.3 Elaborar estudios de factibilidad del sistema.............................................19
2.3.3.1 Viabilidad y factibilidad operativa.........................................................20
2.3.3.2 Viabilidad y factibilidad econmica......................................................20
5.2.3.3 Viabilidad y factibilidad tcnica.............................................................20
2.3.3.4 Viabilidad y factibilidad administrativa..................................................20
2.3.3.5 Otros estudios de Viabilidad y factibilidad............................................20
2.3.4 Garantizar la eficiencia y eficacia en el anlisis y diseo del sistema.......21
2.3.5 Vigilar la efectividad y eficiencia en la implementacin y mantenimiento del
sistema.................................................................................................................22
2.3.6 Lograr un uso eficiente del sistema por medio de su documentacin......23
2.4 Controles internos para la operacin del sistema.............................................24
2.5 Controles internos para los procedimientos
de entrada de datos,
procesamiento de informacin y emisin de resultados........................................25
2.5.1 Verificar la existencia y funcionamiento de los procedimientos de
captura de datos establecer un adecuado control...........................................26
2.5.2 Comprobar que todos los datos sean debidamente procesados...........27
2.5.3 Verificar la confiabilidad, veracidad y exactitud del procesamiento de
datos.................................................................................................................27
2.5.4 Comprobar la suficiencia de la emisin de informacin..........................27
2.6 Controles internos para la seguridad del rea de sistemas..............................28
2.6.1 Controles para prevenir y evitar las amenazas, riesgos y contingencias en
las reas de sistematizacin................................................................................31
2.6.2 Controles para la seguridad fsica del rea de sistemas............................31
2.6.3 Controles para la seguridad lgica de los sistemas...................................31
2.6.4 Controles para la seguridad de las bases de datos...................................32
2.6.5 Controles para la seguridad en la operacin de los sistemas
computacionales..................................................................................................32
2.6.6 Controles para la seguridad del personal de informtica...........................32

2.6.7 Controles para la seguridad en la telecomunicacin de datos...................32

2.6.8Controles para la seguridad en sistemas de redes y multiusuarios............33
CONCLUSIONES....................................................................................................34
BIBLIOGRAFA........................................................................................................35
INTRODUCCIN
Las empresas estn sometidas a la accin de muchas fuerzas externas tales

como la creciente necesidad de acceder a los mercados mundiales, la
consolidacin industrial y el avance tecnolgico, entre otros. Ante la rapidez de los
cambios, los directivos se han visto en la necesidad de reevaluar y reestructurar
su sistema de controles internos. Los cuales deben actuar de manera proactiva
antes
de
que
surjan
los problemas, tomando medidas
audaces y lograr
enfrentar los retos futuros y asegurar la integridad en el momento actual.

Debido a la magnitud e importancia de un centro de informtica en una empresa
se ha visto en la necesidad de implementar medidas organizativas, las figuras de
control interno y auditoria informtica.
El sistema de control interno es un proceso de control integrado a las actividades
operativas de los entes, diseado para asegurar en forma razonable la fiabilidad
de la informacin contable. (Dante Orlando Malica)
Los auditores informticos sern quienes aporten conocimientos especializados
a la tecnologa informtica, prestando una ayuda valiosa a la Organizacin y a
los otros auditores en todo lo relativo a los controles sobre dichos sistemas.
Para una mayor comprensin del tema de control interno para la auditora de
sistemas el presente trabajo se estructurar en dos captulos. En el captulo I se
comprender las funciones del control interno y la auditora informtica.
Posteriormente en el captulo II se presenta un sistema de control interno, donde
se menciona cada uno de los elementos que constituye el control interno
informtico.

OBJETIVOS
OBJETIVO GENERAL
Analizar los conceptos y caractersticas fundamentales del control interno
en los sistemas computacionales, a fin de identificar sus principales
aplicaciones en la auditora de sistemas.
OBJETIVOS ESPECIFCOS
Comprender la importancia del control interno informtico.

Conocer las diferencias y similitudes entre control interno y auditora en
sistemas.
Conocer los diferentes tipos de control interno.
Analizar los elementos fundamentales del control interno informtico.
MARCO TERICO
CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS

INFORMTICOS
CAPITULO I
1.0 Funciones del control interno y auditora informticos

1.1. Control interno informtico
El Control Interno Informtico controla diariamente que todas las actividades de
sistemas de informacin sean realizadas cumpliendo los procedimientos,
estndares y
no normas fijados por la Direccin de la Organizacin y/o la
Direccin de Informtica, as como los requerimientos legales. (Piattini & Peso,

2001)
La misin del Control Interno Informtico es asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean
correctas y vlidas. (Piattini & Peso, 2001)
Control Interno Informtico suele ser un rgano staff de la Direccin del
Departamento de Informtica y est dotado de las personas y medios
materiales proporcionados a los cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:
-
Controlar que todas las actividades se realizan cumpliendo los procedimientos

y normas fijados, evaluar su bondad y asegurarse del cumplimiento de
las normas legales.

Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria Informtica, as como las
auditoras externas al Grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro
de los grados adecuados del servicio informtica, lo cual no debe considerarse
como que la implantacin de los mecanismos de medida y la responsabilidad
del logro de esos ni se les se ubique exclusivamente en la funcin de Control
Interno, sino que cada responsable e objetivos y recursos es responsable de
esos niveles, as como de la implantacin de los medios de medida adecuados.
Realizar
en
los
diferentes
sistemas
(centrales,
departamentales,
redes
locales, PCs. etc.) y entornos informticos (produccin, desarrollo o pruebas) el

control de las diferentes actividades operativas sobre:
-
El cumplimiento de procedimiento, normas y controles dictados. Merece
resaltarse la vigilancia sobre el control de cambios y versiones del software.

Controles sobre la produccin diaria.
Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software del servicio informtica.

Controles en las redes de comunicaciones.
Controles sobre el software base.
Controles en los sistemas microinformticos.
La seguridad informtica (su responsabilidad puede estar asignada a control
interno o bien puede asignrsele la responsabilidad de control dual de la
misma cuando est encargada a otro rgano):

Usuarios, responsables y perfiles de uso de archivos y bases de datos.
Normas de seguridad.
Control de informacin clasificada.
Control dual de la seguridad informtica.
Licencias y relaciones contractuales con terceros.
Asesorar y transmitir cultura sobre el riesgo informtico. (Piattini & Peso, 2001)
1.2 Auditora Informtica

La Auditoria Informtica es el proceso de recoger, agrupar y evaluar evidencias
para
determinar
si
un
sistema
informatizado
salvaguarda
los
activos,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la

organizacin y utiliza eficientemente los recursos. De este modo la auditora
informtica sustenta y confirma la consecucin de los objetivos tradicionales de la
auditora:
Objetivos de proteccin de activos e integridad de datos.
Objetivos de gestin que abarcan, no solamente los de proteccin de activos,
sino tambin los de eficacia y eficiencia.
El auditor evala y comprueba en determinados momentos del tiempo los
controles y procedimientos informativos ms complejos, desarrollando y
aplicando tcnicas mecanizadas de auditora, incluyendo el uso del software. En
muchos casos, ya no es posible verificar manualmente los procedimientos
informatizados que resumen, calculan y clasifican datos, por lo que se deber
emplear software de auditora y otras tcnicas asistidas por computador. (Piattini
& Peso, 2001)
El auditor es responsable de revisar e informar a la Direccin de la Organizacin
sobre el diseo y el
funcionamiento de los controles implantados y sobre la
fiabilidad de la informacin suministrada. (Piattini & Peso, 2001)

Se pueden establecer tres grupos de funciones a realizar por un auditor
informtico:
Participar en las revisiones durante y despus del diseo, realizacin,
implantacin y explotacin de aplicaciones informativas, as como en las fases
anlogas de realizacin de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para
verificar su adecuacin a las rdenes e instrucciones de la Direccin,
requisitos legales, proteccin de confidencialidad y cobertura ante errores y
fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los

equipos e informacin.
1.3 Control interno y auditora informticos: campos anlogos

Aunque ambas figuras tienen objeticos comunes, existen diferencias que conviene
matizar:
Control interno
informtico
Similitudes
Diferencias
Auditor Informtico
Personal interno
Conocimientos especializados en Tecnologa de la
Informacin.
Verificacin del cumplimiento de controles internos,
normativa
y procedimientos establecidos por la Direccin de
Informtica y la Direccin General para los sistemas
de informacin
Anlisis de un momento
Anlisis de los controles
informtico determinado.
en el da a da.
Informa a la Direccin
Informacin a la Direccin
General de la
del Departamento de
Organizacin.
Informtica.
Personal interno y/o
Slo personal interno.
externo.
El alcance de sus
Tiene cobertura sobre
funciones es nicamente
todos los componentes
sobre el Departamento de
de los sistemas de
Informtica.
informacin de la
Organizacin.
CAPITULO II
2.0 SISTEMA DE CONTROL INTERNO INFORMTICO
2.1 Definicin
Se puede definir el control interno como "cualquier actividad o accin realizada
manual y/o automticamente para prevenir, corregir errores o irregularidades
que puedan afectar al funcionamiento
de un sistema para conseguir sus
objetivos". (Piattini & Peso, 2001)

Los controles cuando se diseen, desarrollen e implanten han de ser al
menos completos, simples, fiables, revisables, adecuados, y rentables. (Piattini &
Peso, 2001)
Los controles internos que se utilizan en el entorno informtico continan
evolucionando hoy en da a medida que los sistemas informticos se
vuelven complejos. Los progresos que se producen en la tecnologa de sopones
fsicos y de software)
procedimientos
que
han
modificado
se empleaban
de
manera
tradicionalmente
significativa
para
controlar
los
los
procesos de aplicaciones y para gestionar los sistemas de informacin. (Piattini

& Peso, 2001)
2.2 Tipos De Controles Internos

Histricamente, los objetivos de los controles informticos se han clasificado en
las siguientes categoras:
Controles preventivos, para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
Controles detectivos. Cuando fallan los preventivos para tratar de conocer
cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad el registro de la actividad diaria para

detectar errores u omisiones. (Piattini & Peso, 2001)
Controles correctivos: facilitan la vuelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperacin de un archivo daado a
partir de las copias de seguridad. (Piattini & Peso, 2001)
Otros tipos de Controles:
Controles Generales: son los que se realizan para asegurar que la organizacin
y sistemas operen de forma natural. (Garcia, 2012)
Ejemplos:
Separacin de funciones.
Acceso y seguridad.
Procedimientos escritos.
Control sobre software de sistemas.
Control sobre la continuidad del procesamiento.
Control sobre el desarrollo y modificacin del sistema.
Controles de Aplicacin: son los que se realizan para asegurar la exactitud,

integridad y validez de la informacin procesada. (Garcia, 2012)
Ejemplos
Control sobre los datos de entrada.

Control sobre los datos constantes o fijos.
Control sobre el procesamiento.
Control sobre los datos rechazados.
Control sobre los datos de salida.
Controles Especializados: son los que se realizan para asegurar la

integridad, seguridad y aspectos operacionales.
Ejemplos:
Control sobre las entradas de datos en lneas.

Procedimientos de recuperacin y reenganche en sistemas en lnea.
Control sobre la modificacin de los programas.
Control sobre el procesamiento distribuido.
Control sobre los sistemas integrados.

Control sobre bases de datos. (Garcia, 2012)
2.3 ELEMENTOS FUNDAMENTALES DEL CONTROL INTERNO INFORMTICO
2.3.1 Control interno para la organizacin del rea de informtica
Al instalar este elemento del control interno informtico, se busca determinar si la

estructura de organizacin del rea de sistemas computacionales, con todo lo que
esto conlleva, es la ms apropiada para que stos funcionen con eficacia y
eficiencia en la empresa; esto se logra mediante el diseo adecuado de la
estructura de puestos, unidades de trabajo, lneas de autoridad y canales de
comunicacin, complementados con la definicin correcta de funciones y
actividades, la asignacin de responsabilidad y la definicin clara de los perfiles de
puestos. Todo ello permitir realizar adecuadamente el trabajo encomendado al
rea de sistemas de la empresa. (Razo, 2002)
Para este elemento del control interno, dentro del rea de informtica de cualquier
empresa, se proponen los siguientes subelementos de organizacin:
Direccin.
Divisin del trabajo
Asignacin de responsabilidad y autoridad
Establecimiento de estndares y mtodos
Perfiles de puestos.
2.2.1.1 Direccin1
Esto se aplica al control interno informtico, ya que el titular de la entidad, o
persona responsable de dirigir el rea de sistemas de la empresa, tiene la
responsabilidad de ejercer la autoridad en la conduccin de las funciones y
1 La direccin es uno de los subelementos bsicos del control interno en cualquier empresa, ya
que sta es la funcin primordial de la entidad o persona que tiene la misin de dirigir las
actividades en la institucin o en un rea especfica, as como la de coordinar el uso de los
recursos disponibles en el rea para cumplir el objetivo institucional. (Razo, 2002)
10
actividades del personal de dicha rea, as como en la coordinacin de los

recursos informticos que le permitirn satisfacer los requerimientos de sistemas
de la empresa. (Razo, 2002)
La adopcin de este sub-elemento en el rea de informtica de la empresa
permitir determinar de manera correcta los niveles de autoridad y responsabilidad
que se necesitan en la estructura de organizacin del rea de sistemas, con el fin
de poder supervisar y evaluar el cumplimiento de las funciones y el buen
desempeo de las actividades del personal asignado a esos puestos, con todo lo
que esto implica en la gestin administrativa del rea de sistemas (Razo, 2002)
Los recursos de informtica son muy especializados y frecuentemente muy
costosos, pero son de suma importancia en las reas de sistemas; por lo tanto, es
necesario aprovecharlos de la mejor manera posible, lo cual slo se puede lograr
mediante el establecimiento de la direccin como elemento del control interno; con
ello se contribuye a la adecuada coordinacin del uso y aprovechamiento de esos
recursos computacionales. (Razo, 2002)
Este subelemento estar apoyado a su vez por los siguientes subelementos:
La coordinacin de recursos
La supervisin de actividades
La delegacin de autoridad y responsabilidad
La asignacin de actividades
La distribucin de recursos
La aplicacin de cada subelemento es fundamental para cualquier rea de

sistemas, debido a lo especializado del manejo de las reas de sistemas, a la
complejidad de sus actividades, al dismbolo volumen de funciones y a la
diversidad de operaciones que se realizan en estas reas. (Razo, 2002)
Tambin es de suma importancia hacer notar que para su ptima implementacin,
se deben considerar la configuracin y las caractersticas del equipo de cmputo,
el tamao del rea de sistemas y las particularidades del procesamiento
establecidas en la empresa, las cuales, como es fcil de entender, difieren
11
diametralmente en la forma de trabajar de un rea de sistemas a otra y entre la

forma de ejercer la direccin de sistemas de una empresa a otra. (Razo, 2002)
Adems, la importancia de la direccin se acenta todava ms si a lo anterior le
agregamos las diferencias que hay de un rea de sistemas a otra respecto al
hardware, software, instalaciones, informacin, personal y usuarios del sistema;
pero se acenta ms si el sistema de la empresa es monousuarios, redes o
multiusuarios. (Razo, 2002)
2.2.1.2 Divisin del Trabajo
Para el buen desarrollo de las actividades de cualquier empresa es necesario que
stas se realicen de acuerdo a como hayan sido diseadas en la estructura de
organizacin y de acuerdo con lo delimitado en el perfil de puestos; sin embargo,
esto slo se logra cuando se tiene una distribucin correcta de las cargas de
trabajo en el rea de sistemas, una asignacin eficiente de sus funciones y,
bsicamente, una divisin adecuada de las actividades que tiene encomendadas
cada unidad de trabajo. (Razo, 2002)
Es fcil apreciar que la divisin del trabajo incrementa la eficacia y eficiencia de las
actividades de cualquier empresa. Esto mismo ocurre en las reas de sistemas, en
donde, por las mismas exigencias de operacin de los sistemas computacionales,
los cuales son cada vez ms especializados, se requiere una divisin ms
especializada del trabajo para el cumplimiento de las actividades, operaciones y
tareas que se desarrollan en estos centros de cmputo. Cada vez se requiere ms
que los especialistas en informtica realicen sus actividades de manera ms
concreta, sofisticada y delimitada, dentro de un ramo especfico de especialidad.
Claro est, dicha especializacin debe estar soportada por un amplio conocimiento
y experiencia en el ambiente de sistemas, adems de una perfecta coordinacin
con los otros recursos del rea de sistemas. (Razo, 2002)
2.2.1.3 Asignacin de responsabilidad y autoridad
Una vez estructuradas la divisin de actividades y funciones para cada uno de los
integrantes del centro de cmputo, el siguiente subelemento a considerar es la
asignacin de las lneas de autoridad por puesto y el establecimiento de los lmites
12
de responsabilidad que tendr cada uno de stos, incluyendo los canales formales
de comunicacin. (Razo, 2002)
Este subelemento nos ayuda a garantizar la eficiencia y eficacia del control interno
en las unidades de sistemas, ya que complementa la divisin del trabajo y delimita
claramente la autoridad y la responsabilidad que tendr cada integrante de esas
reas. (Razo, 2002)
Con ello se asegura el mejor desarrollo de las actividades, funciones y tareas y,
consecuentemente, la realizacin del procesamiento de informacin en la empresa
ser ms eficiente y ms eficaz. (Razo, 2002)
2.2.1.4 Establecimiento de estndares y mtodos
En cualquier rea de sistemas es de suma importancia estandarizar el desarrollo
de todas las actividades y funciones, a fin de que stas se realicen de manera
uniforme conforme a las necesidades concretas de las unidades de informtica
que integran la empresa. Claro est, en esta estandarizacin se deben respetar la
divisin del trabajo y la asignacin de actividades especficas. ste es un aspecto
bsico que se debe contemplar para el establecimiento del control interno
informtico en cualquier empresa. (Razo, 2002)
Adems, debido a lo especializado de las actividades que se desarrollan en los
centros de cmputo, se tienen que adoptar metodologas y procedimientos
similares en cuanto a la estandarizacin de los mtodos, procedimientos y las
herramientas que integran los sistemas computacionales de una empresa,
concretamente para:
Estandarizacin del diseo e instalacin del hardware, as como del uso de
sus componentes, procesadores, equipos perifricos y de su arquitectura.
Estandarizacin del diseo, adquisicin y uso del software, as como de lo
relacionado con el aprovechamiento de sus sistemas operativos, sus
programas de aplicacin y sus mtodos de procesamiento, los lenguajes de
programacin, los programas y paqueteras para desarrollo y su aplicacin
en los sistemas de la empresa.
13
Estandarizacin del diseo, implementacin y administracin de las bases

de datos, en las cuales se maneja la informacin de los sistemas
computacionales de la empresa, as como el respaldo y la proteccin de
datos.
Estandarizacin del diseo, instalacin y aprovechamiento de los sistemas
de redes y sistemas multiusuarios que se tengan instalados en la empresa,
incluyendo la configuracin, el hardware, el software, la informacin y los
dems recursos de la red.
Estandarizacin del mantenimiento y de la modificacin parcial o total de los
sistemas informticos de la empresa, con el fin de obtener un mejor
aprovechamiento en el procesamiento de la informacin.
Estandarizacin de los sistemas de seguridad y proteccin al personal y
usuarios de sistemas, informacin, bases de datos, hardware, software,
mobiliario y equipo, as como de todos los aspectos relacionados con el
sistema de cmputo de la empresa. (Razo, 2002)
2.2.1.5 Perfiles de puestos
El perfil de puestos se pretende estandarizar, hasta donde es posible, los
requisitos mnimos que se deben contemplar para cada uno de los puestos del
centro informtico.
Es trascendental destacar la importancia del uso del perfil de puestos para la
seleccin adecuada del personal que ocupar los puestos dentro del rea de
sistemas, debido a que en ese documento se establecern en forma precisa y
correcta las caractersticas, conocimientos y habilidades que debern tener
quienes ocupen dichos puestos. Esto ser la garanta de un desarrollo eficiente y
eficaz de las funciones y actividades de cada puesto. (Razo, 2002)
2.3 Controles internos para el anlisis, desarrollo e implementacin de

sistemas
Para entender este elemento del control interno informtico, es vital que primero
presentemos las primeras fases de lo que se puede entender como anlisis y
diseo de sistemas. Para ello, proponemos como modelo la metodologa general
14
para el desarrollo de sistemas, misma que utilizamos para ejemplificar los

elementos de control interno, considerando los siguientes puntos:
-
Anlisis del sistema actual.

Diseo conceptual.
Diseo detallado.
Programacin.
Pruebas y correcciones.
Documentacin del sistema.
Capacitacin del usuario.
Implementacin del sistema.
Liberacin del sistema.
Mantenimiento.
Con la aplicacin de esta metodologa para el desarrollo de un proyecto, se puede

garantizar el anlisis, desarrollo e implementacin correctos de cualquier sistema.
(Razo, 2002)
Para desarrollar un proyecto de sistemas, es indispensable aplicar un mtodo
irrestricto que seale, paso a paso, las etapas requeridas para dicho desarrollo. Es
decir, una metodologa de sistemas. (Razo, 2002)
A continuacin se proponen los siguientes subelementos para el cumplimiento de
este elemento del control interno en el rea de sistemas:
2.3.1 Estandarizacin de metodologas para el desarrollo de proyectos.

Para esto, es necesario establecer que existen mltiples metodologas de
aplicacin general para el desarrollo de sistemas propuestas por diversos autores,
desde las establecidas formalmente en libros y documentos editados, hasta las
informales que se utilizan en forma local para el desarrollo de proyectos internos,
pero la empresa debe adoptar alguna en especial que sea acorde al desarrollo de
sus proyectos de sistemas. Tambin puede elegir alguna metodologa hbrida que
sea combinacin de las anteriores. (Razo, 2002)
15
Actualmente existen muchas instituciones que crean sistemas, y dentro de las

principales actividades que realizan para el desarrollo de los mismos est la
estandarizacin de normas, polticas y lineamientos que regulen la realizacin de
dichos sistemas en la empresa, buscando con ello uniformar el crecimiento de
stos. Sin embargo, tambin existen muchas otras instituciones que carecen de
cualquiera de estas estandarizaciones. Incluso existen aquellas que jams aplican
una metodologa uniforme y que utilizan diferentes mtodos para desarrollar sus
proyectos; por esta razn, sus sistemas no son similares y sus aplicaciones y
utilidad para la empresa frecuentemente difieren, debido a que no tienen los
mismos estndares, ni las mismas normas, polticas ni lineamientos. (Razo, 2002)
Est claro que es indispensable contar con un elemento de control que regule el
desarrollo correcto de un proyecto, ya que este control es el sustento
indispensable para estandarizar la realizacin de cualquier proyecto informtico;
con esto se contribuye a la mxima eficiencia en la realizacin de dicho proyecto.
Estandarizaciones bsicas que se deben analizar durante cualquier revisin:
2.3.1.1 Estandarizacin de mtodos para el diseo de sistemas
Consiste en uniformar los mtodos y procedimientos establecidos en la unidad de
sistematizacin, a fin de estandarizar el desarrollo de los sistemas, de tal manera
que los nuevos proyectos se realicen siempre de la misma manera. (Razo, 2002)
2.3.1.2 Lineamientos en la realizacin de sistemas
Es indispensable establecer formalmente las lneas concretas de accin, las
cuales delimitarn, lo ms claramente posible, las normas de conducta que deben
acatar quienes desarrollen proyectos en la empresa. (Razo, 2002)
2.3.1.3 Uniformidad de funciones para desarrollar sistemas
Para el desarrollo uniforme de los nuevos sistemas en la empresa, tambin es
necesario uniformar las funciones que deben cumplir los encargados de realizar
estos proyectos en el rea de sistematizacin; con ello se busca que siempre se
desarrollen las mismas actividades para realizar nuevos proyectos; slo as se
garantiza la uniformidad de sistemas en la empresa. (Razo, 2002)
16
2.3.1.4 Polticas para el desarrollo de sistemas

Para el desarrollo uniforme de los proyectos de sistemas, es obligatorio establecer
polticas (normas de accin que regulan la toma de decisiones), a fin de que los
encargados de realizar los proyectos de sistemas en la empresa sigan las mismas
directrices sealadas por la direccin de la empresa y por la del rea de
sistematizacin. (Razo, 2002)
2.3.1.5 Normas2 para regular el desarrollo de proyectos
Son los lineamientos formales que regulan la manera de conducirse por parte de
quienes desarrollan los proyectos; con ellas se establece perfectamente la
conducta que debern seguir los usuarios y quienes participan en dicho desarrollo.
(Razo, 2002)
Los aspectos anteriores servirn de ejemplo para establecer las estandarizaciones
que se requieren para el desarrollo de sistemas, segn las necesidades y
caractersticas de los mismos en la empresa.
2.3.2 Asegurar que el beneficio del sistema sea ptimo

Con la aplicacin de este subelemento del control interno, se pretende buscar la
optimizacin de las tareas, operaciones y funciones que resultarn con la
implementacin de los sistemas; contando para ello con el seguimiento de una
metodologa uniforme para el desarrollo de nuevos sistemas, con lo cual se
pretende garantizar la eficacia y eficiencia de acciones despus de que se
implemente el nuevo sistema. (Razo, 2002)
Al implementar un nuevo sistema se busca optimizar el desarrollo de las
actividades que normalmente se llevan a cabo en la empresa o en cualquiera de
sus reas; con ello se pretende mejorar las operaciones normales de cmputo que
2 Las normas son las directrices que marcan la conducta que deben seguir
quienes laboran en la institucin, para el desarrollo de proyectos
17
se realizan en la empresa, a fin de incrementar la eficiencia y eficacia de sus

sistemas actuales. (Razo, 2002)
Cabe aclarar que la optimizacin del sistema no se refiere exclusivamente a las
aplicaciones informticas, sino tambin a la optimizacin del equipo con el cual se
desarrolla su funcin informtica; por ejemplo, los proyectos de eleccin del
software, hardware, perifricos asociados, bases de datos o consumibles, o las
dems actividades que rodean a la gestin administrativa del sistema, as como el
manejo, adiestramiento y capacitacin de los usuarios del sistemas o de las
personas que intervienen en la operacin normal del mismo. En todos los casos,
con la adopcin de este subelemento se pretende hacer ms eficiente y eficaz el
desarrollo de las actividades actuales del sistema; sin este objetivo no se justifica
el desarrollo de un nuevo sistema. (Razo, 2002)
De hecho, el objetivo final que se espera en las empresas con la implementacin
de un sistema informtico se puede circunscribir a dos aspectos concretos:
Beneficios tangibles
Con el establecimiento de los sistemas en la empresa se pretende lograr mejoras
sustanciales, realmente palpables, por parte de quienes utilizan dichos sistemas,
lo cual exige que puedan ser cuantificados resultados tales como una mayor
emisin de facturas en la empresa, ms y mejores registros contables por jornada,
mayor emisin de cheques de nmina en menor tiempo, mejor captura y proceso
de impuestos va sistemas, etctera. Todos estos resultados son tangibles, debido
a que se pueden cuantificar para determinar si se cumple o no con los objetivos
esperados del sistema. (Razo, 2002)
Beneficios intangibles
Los beneficios que se espera obtener de los sistemas de cmputo son intangibles,
ya que sus resultados no pueden ser contados ni se ven en forma fsica ni
palpable; sin embargo, existen formas de hacer su cuantificacin, esto es: la
18
mayora de los sistemas computacionales tienen ciertos valores cualitativos y es

muy difcil darles un valor cuantitativo. (Razo, 2002)
Entre los principales ejemplos encontramos la oportunidad en la toma de
decisiones con ayuda de los sistemas computacionales, la confiabilidad en los
resultados de las nminas, la veracidad de las operaciones realizadas con
sistemas computacionales, etc. (Razo, 2002)
Un aspecto especfico de aplicacin de este subelemento, es que para el anlisis y
diseo del nuevo sistema se tienen que establecer, de manera clara y los ms
concretamente posible, todos los beneficios que se obtendran con el desarrollo de
un sistema, enfocndolos desde mltiples puntos de vista; los siguientes son
algunos de estos beneficios:
El nivel informtico, porque con la instalacin de un nuevo proyecto se
pretende mejorar los sistemas informticos de la empresa.
El econmico, debido a que los sistemas tienen un valor econmico y con
su desarrollo se pretende economizar el servicio informtico en las
empresas.
El social, porque congrega gente alrededor de los sistemas que se
implementan en las empresas; esta gente se interrelaciona con sus
congneres, creando vnculos sociales con ellos, con la ayuda de los
sistemas.
El de los servicios, porque el propsito final de un sistema computacional es
proporcionar servicios sistematizados a las reas de una empresa.
El administrativo, ya que ayuda al mejor manejo de la gestin informtica de
las empresas.
El operacional, porque con su adopcin ayuda a la regulacin y mejor
realizacin de todas las operaciones del sistema computacional de la
empresa.
19
2.3.3 Elaborar estudios de factibilidad del sistema

Todo proyecto de informtica se tiene que evaluar desde dos puntos de vista
especficos: la viabilidad3 y la factibilidad4; es decir, se deben analizar la viabilidad
de realizar el proyecto y la factibilidad de llevarlo a cabo. (Razo, 2002)
Un aspecto fundamental que se debe contemplar en la adopcin de este
subelemento del control interno informtico, es determinar el orden en la
valoracin del desarrollo de los proyectos: en primer lugar, se deben elaborar los
estudios acerca de la viabilidad de realizar el proyecto y en segundo trmino los
de la factibilidad de llevarlo a cabo, ambos enfocados desde los siguiente puntos
de vista. (Razo, 2002)
2.3.3.1 Viabilidad y factibilidad operativa
Son los estudios de viabilidad y factibilidad de aquellos aspectos que se refieren a
la posible operacin del proyecto; en esta parte se estudian anticipadamente todos
los aspectos relacionados con la futura operacin del sistema que ser
implementado, con el fin de lograr la adecuada operatividad del mismo. (Razo,
2002)
2.3.3.2 Viabilidad y factibilidad econmica
Son los estudios de viabilidad y factibilidad de aquellos aspectos que se refieren a
la parte econmica del proyecto; en esta parte se estudian anticipadamente todos
los aspectos relacionados con el costo el beneficio y el gasto-rendimiento del
proyecto. (Razo, 2002)
5.2.3.3 Viabilidad y factibilidad tcnica
Son los estudios de viabilidad y factibilidad de aquellos aspectos que sern tiles
para alorar la calidad y cualidad de los sistemas desde el punto de vista tcnico;
3 Viable: Del francsviable, de vie: existencia, vida. Que puede realizarse.
Adjetivo, que puede vivir. Se dice del asunto con posibilidad de salir adelante.
4 Factible: Del latn factibilis, de facere: hacer - hacedero, posible. Que se puede llevar a cabo o
que es posible realizar. Realizable, posible, asequible.
20
con ello se busca contribuir a la mejor operacin del nuevo sistema; tambin se
estudian otras calificaciones y cuantificaciones referentes a la parte tcnica del
proyecto, las cuales se deben hacer durante esta fase de anlisis y desarrollo.
(Razo, 2002)
2.3.3.4 Viabilidad y factibilidad administrativa
Son los estudios de viabilidad y factibilidad de aquellos aspectos que repercuten
en la cuestin administrativa del sistema, los cuales permitirn evaluar las
facilidades para la futura administracin del mismo. (Razo, 2002)
2.3.3.5 Otros estudios de Viabilidad y factibilidad
Los anteriores son algunos de los principales estudios de factibilidad y viabilidad
que se pueden realizar, aunque tambin existen otros tipos de estudios, los cuales
estarn delimitados por las propias necesidades de la empresa en donde se lleven
a cabo los proyectos de sistemas; sin embargo, para conocimiento del lector, slo
mencionaremos algunos de los ms usuales:
Estudios de viabilidad y factibilidad de tipo legal

Estudios de viabilidad y factibilidad de tipo laboral
Estudios de viabilidad y factibilidad de comunicacin y telecomunicaciones
Estudios de viabilidad y factibilidad de localizacin de planta
Estudios de viabilidad y factibilidad de estudios de mercado
Estudios de viabilidad y factibilidad de instalaciones y equipamiento de los
sistemas
Estudios de viabilidad y factibilidad de comercializacin de los sistemas.
2.3.4 Garantizar la eficiencia y eficacia en el anlisis y diseo del sistema

Para examinar este subelemento del control interno informtico, es necesario
entender que la premisa fundamental del anlisis y diseo de sistemas es la
realizacin de proyectos que optimicen las actividades que se desarrollarn con la
implementacin de un nuevo sistema computacional; adems, debemos entender
que un nuevo proyecto slo se justifica si con l se busca satisfacer la eficiencia y
eficacia de las actividades de la empresa, lo cual, por cierto, se logra por medio de
21
la adopcin de una metodologa estndar en la realizacin de los sistemas. Esto

es lo que se debe contemplar para poder garantizar un buen resultado final con su
implementacin. (Razo, 2002)
Debemos sealar que si estas condiciones no se cumplen o slo se satisfacen de
manera parcial, entonces no tiene caso la existencia de un nuevo proyecto, ya que
su consecuencia ser muy pobre y deficiente, en cuanto a los resultados
esperados. (Razo, 2002)
Para garantizar esa eficiencia y eficacia en la implementacin de un nuevo
sistema, es necesario contar con varias herramientas, tcnicas, mtodos y
elementos que permitan
uniformar los procedimientos, estndares, normas y
lineamientos requeridos para desarrollar eficientemente estas actividades. (Razo,

2002)
Aspectos que se deben contemplar para un nuevo proyecto y deben ser
adoptados en funcin a la metodologa utilizada:
La adopcin y seguimiento de una metodologa institucional
Adoptar una adecuada planeacin, programacin y presupuestacin para el
desarrollo del sistema
Contar con la participacin activa de los usuarios finales o solicitantes del
nuevo sistema para garantizar su buen desarrollo.
Contar con personal que tenga la disposicin, experiencia, capacitacin y
conocimientos para el desarrollo de sistemas.
Utilizar los requerimientos tcnicos necesarios para el desarrollo del
sistema, como son el hardware, software y personal informtico.
Disear y aplicar las pruebas previas a la implementacin del sistema.
Supervisar permanentemente el avance de actividades del proyecto.
La aplicacin de todos y cada uno de los aspectos anteriormente sealados, tiene
como fin lograr la eficiencia y eficacia en el desarrollo de un proyecto; estos
aspectos se complementan con una permanente y estrecha supervisin de todas y
cada una de las actividades que se realizan durante el desarrollo del proyecto,
desde la etapa de conceptualizacin hasta la etapa de liberacin. Cumpliendo lo
22
anterior, se puede garantizar la utilidad de este subelemento del control interno

informtico. (Razo, 2002)
2.3.5 Vigilar la efectividad y eficiencia en la implementacin y mantenimiento

del sistema
es necesario vigilar la efectividad en la implementacin del sistema y, una vez

liberado, tambin se debe procurar su eficiencia a travs del mantenimiento. No
basta con elaborar el sistema, tambin se tiene que implementar totalmente, se
tiene que liberar a cargo del propio usuario y se le tiene que dar un mantenimiento
permanente para garantizar su efectividad. Slo mediante la adopcin de este
subelemento del control interno se pueden garantizar la eficacia y eficiencia de los
sistemas computacionales de la institucin. (Razo, 2002)
Dentro de una aplicacin real de sistemas, encontramos que la vida estimada de
un proyecto informtico es de seis a ocho aos 5, por esa razn es de suma
importancia no slo desarrollar eficientemente el anlisis y diseo del nuevo
sistema, sino tambin implementarlo de manera adecuada, as como darle un
constante mantenimiento, ya sea de carcter preventivo o correctivo. Esto ltimo
es bsico para el funcionamiento del sistema, ya que se busca adaptarlo a las
necesidades cambiantes del propio proyecto o de la institucin y as evitar su
rpida obsolescencia. (Razo, 2002)
La adopcin de este subelemento del control interno ayudar a garantizar la
implementacin adecuada y el mejor funcionamiento de los nuevos sistemas de
informacin, y quiz tambin pueda ayudar a evaluar su correcto funcionamiento
posterior. El mantenimiento peridico, sea preventivo o correctivo, ser el
complemento que garantice la eficiencia y eficacia del sistema. (Razo, 2002)
5 Estadsticas realizadas por alumnos del seminario de titulacin y auditora de
sistemas, entre 1990 y 1996, en la Universidad del Valle de Mxico, planteles
Lomas Verdes y San Rafael
23
2.3.6 Lograr un uso eficiente del sistema por medio de su documentacin

Despus de haber terminado el desarrollo del sistema, o durante su elaboracin,
es requisito indispensable elaborar los documentos relativos a su buen
funcionamiento, en relacin con su operacin, con las caractersticas tcnicas
operativas, administrativas y econmicas que lo fundamentaron, con los manuales
que apoyarn al usuario y con todos los dems manuales e instructivos que
servirn de apoyo al propio desarrollador del sistema. (Razo, 2002)
Tambin se debe contar con la completa documentacin de respaldo y apoyo que
sirva de consulta a los usuarios para el buen uso del sistema. Otra garanta del
buen funcionamiento del sistema es el establecimiento del control interno
informtico en relacin con la documentacin de dicho sistema, a fin de que sirva
de ayuda al usuario y al propio desarrollador del proyecto, lo cual contribuir a su
mejor operacin y a su posterior modificacin. (Razo, 2002)
Puede haber muchos tipos de documentos tiles para el desarrollo de las
actividades del rea de sistemas computacionales, segn las caractersticas y
configuracin delos sistemas, el tamao del centro de cmputo, la experiencia y
conocimiento de su personal y otros muchos aspectos. Como por ejemplo:
Manuales e instructivos del usuario

Manual e instructivo de operacin del sistema
Manual tcnico del sistema
Manual para el seguimiento del desarrollo del proyecto del sistema
Manual e instructivo de mantenimiento del sistema.
Otros manuales e instructivos del sistema, como por ejemplo: manuales de
organizacin, manuales de
capacitacin
mtodos y procedimientos, cursos de
adiestramiento,
libros
de
consulta,
diccionarios
especializados, otros documentos tcnicos y administrativos.
2.4 Controles internos para la operacin del sistema
24
En el desarrollo de sistemas una de las
actividades
ms relevantes es la
operacin de los sistemas computacionales, la cual se realiza bajo condiciones y

con caractersticas muy especiales. Es necesario contar con un elemento de
control interno que evalu la adecuada operacin, siendo en este caso la adopcin
de un elemento que se encargue de vigilar y verificar la eficiencia y eficacia en la
operacin de dichos sistemas. Dicho elemento garantizara el cumplimiento de los
objetivos bsicos del control interno, de los que destacan:
o Establecer como prioridad la seguridad y proteccin de la informacin, del
sistema de cmputo y de los recursos informticos de la empresa. (Razo,
2002)
o Promover la confiabilidad, oportunidad y veracidad de la captacin de
datos, su procesamiento en el sistema y la emisin de informes en las
empresas. (Razo, 2002)
Contando con este elemento bsico podremos prevenir y evitar posibles errores y
deficiencias de operacin, as como el uso fraudulento de la informacin que se
procesa en un centro de cmputo, adems de posibles robos, piratera, alteracin
y modificaciones de la informacin y de los sistemas, lenguajes y programas de la
institucin. (Razo, 2002)
Para este elemento del control interno de sistemas vamos a proponer la aplicacin
de los siguientes subelementos. Con la instalacin de estos subelementos en un
centro de cmputo podremos garantizar una mayor eficiencia y eficacia en la
operacin de los sistemas:
Prevenir y corregir errores de operacin

Prevenir y evitar la manipulacin fraudulenta de la informacin
Implementar y mantener la seguridad en la operacin
Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el
procesamiento de la informacin de la institucin
25
2.5 Controles internos para los procedimientos

de
entrada de datos, procesamiento de informacin y
emisin de resultados
Un sistema de informacin es un procedimiento simple de entrada, proceso y
salida, en donde un dato de entrada se transforma en informacin til de salida
mediante algn procesamiento interior, adems, es el control interno informtico el
ideal para verificar que este procedimiento se lleve a cabo correctamente. (Razo,
2002)
Un sistema de informacin est compuesto de tres fases fundamentales:
o La entrada de datos al sistema
o El procesamiento de datos por medio de un sistema de procesamiento
interno
o La emisin de resultados tiles para la toma de decisiones
Estas fases son las que dan vigencia a cualquier sistema. Utilizando como
referencia lo anterior, a continuacin analizaremos los siguientes subelementos del
control interno:
2.5.1 Verificar la existencia y funcionamiento de los procedimientos

captura de datos establecer un adecuado control
de
Se necesita establecer un adecuado control en la entrada de los datos que han de

ser procesados en cualquier sistema computacional, ya que de esto depende que
se obtengan buenos resultados de ese proceso; adems, con la adopcin del
control interno se busca que los resultados del procesamiento de datos sean los
esperados por el usuario, a fin de utilizarlos de manera oportuna, confiable y
adecuada. (Razo, 2002)
Para lograr la eficiencia y eficacia que se pretenden al establecer este elemento
en la captura de datos, es necesario tener bien establecidos aquellos mtodos,
26
procedimientos y actividades que regularn la entrada de datos al sistema, as

como las normas, polticas y lineamientos que ayudarn a capturar mejor dichos
datos. Con esto se garantiza que el procesamiento de informacin y la emisin de
resultados sean adecuados. (Razo, 2002)
Sin embargo, no basta con verificar la entrada correcta de los datos capturados,
tambin es necesario comprobar que stos sean introducidos con la oportunidad
que demanda el sistema; esto se verifica con los siguientes procedimientos:
El establecimiento y cumplimiento de los procedimientos adaptados para
satisfacer las necesidades de captura de informacin de la empresa.
La adopcin de actividades especficas que ayuden a la rpida captura de
datos.
El seguimiento de los mtodos y tcnicas uniformes que garanticen que la
entrada
de
datos
al
sistema
se
realice
siguiendo
los
mismos
procedimientos.
En consecuencia, con la aplicacin de los procedimientos anteriores se puede
garantizar la uniformidad en la entrada de datos, siempre que se utilicen los
mismos mtodos, tcnicas y procesos en tiempos similares, garantizando con ello
la oportunidad y utilidad de la informacin. (Razo, 2002)
2.5.2 Comprobar que todos los datos sean debidamente procesados

Es indispensable que con el control interno informtico se tenga la confianza de
que todos los datos ingresados al sistema sean procesados de igual manera sin
que sufran ninguna alteracin, ya sea accidental, involuntaria o dolosa, durante su
procesamiento. Cumpliendo con esto se garantiza la uniformidad de los resultados
y, consecuentemente, se obtiene una mejor explotacin de los mismos. (Razo,
2002)
27
2.5.3 Verificar la confiabilidad, veracidad y exactitud del procesamiento de

datos
Lo que se busca con este subelemento del control interno es la implementacin de
los mtodos, tcnicas y procedimientos que ayuden a uniformar las actividades
requeridas en el rea de sistematizacin para la captura de datos, el
procesamiento de informacin y la emisin de informes. (Razo, 2002)
2.5.4 Comprobar la suficiencia de la emisin de informacin

Si partimos de que el objetivo bsico de un centro de cmputo es proporcionar los
servicios de procesamiento de datos que requiere la empresa para satisfacer sus
necesidades de informacin, entonces entenderemos que uno de los aspectos
fundamentales de un centro de cmputo es proporcionar la informacin que
requieren las dems reas de la empresa, con lo cual contribuye a satisfacer sus
necesidades de procesamiento de datos. (Razo, 2002)
Sin embargo, esa informacin debe ser adecuada a los requerimientos de la
empresa para ofrecer slo la informacin requerida, sin dar ni ms ni menos datos
que los necesarios. A esto se le llama proporcionar la informacin suficiente.
(Razo, 2002)
Precisamente esto es lo que se busca satisfacer con la suficiencia de informacin;
para lograrlo, es necesario que el rea de sistemas sepa cules son los
requerimientos reales y especficos de informacin del usuario; esto se logra
mediante un anlisis adecuado de sus necesidades y con el diseo correcto de los
sistemas que proporcionarn esa informacin. Evidentemente, dicha suficiencia
slo se lograr mediante un buen anlisis y diseo de sistemas. (Razo, 2002)
28
2.6 Controles internos para la seguridad del rea de

sistemas
La seguridad es uno de los principales aspectos que se deben contemplar en el
diseo de cualquier centro de informtica. (Razo, 2002)
Principales aspectos que se deben tomar en cuenta para el entendimiento de este
elemento:
Seguridad fsica
Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de
los sistemas computacionales de la empresa, tales como el hardware, perifricos y
equipos asociados, las instalaciones elctricas, las instalaciones de comunicacin
y de datos, las construcciones, el mobiliario y equipo de oficina, as como la
proteccin a los accesos al centro de sistematizacin. En s, es todo lo relacionado
con la seguridad, la prevencin de riegos y proteccin de los recursos fsicos
informticos de la empresa. (Razo, 2002)
Seguridad lgica
Es todo lo relacionado con la seguridad de los bienes intangibles de los centros
informticos, tales como software (aplicaciones, sistemas operativos y lenguajes),
as como lo relacionado con los mtodos y procedimientos de operacin, los
niveles de acceso a los sistemas y programas institucionales, el uso de
contraseas, los privilegios y restricciones de los usuarios, la proteccin de los
archivos e informacin de la empresa y las medidas y programas para prevenir y
erradicar cualquier virus informtico. En s, es todo lo relacionado con las medidas
de seguridad, proteccin y forma de acceso a los archivos e informacin del
sistema. (Razo, 2002)
Seguridad de las bases de datos
Es la proteccin especfica de la informacin que se maneja en las reas de
sistemas de la empresa, ya sea a travs de las medidas de seguridad y control
que limiten el acceso y uso de esa informacin, o mediante sus respaldos
29
peridicos con el fin de mantener su confidencialidad y prevenir las alteraciones,

descuidos, robos y otros actos delictivos que afecten su manejo. (Razo, 2002)
Seguridad en la operacin
Se refiere a la seguridad en la operacin de los sistemas computacionales, en
cuanto a su acceso y aprovechamiento por parte del personal informtico y de los
usuarios, al acceso a la informacin y bases de datos, a la forma de archivar y
utilizar la informacin y los programas institucionales, a la forma de proteger la
operacin de los equipos, los archivos y programas, as como las instalaciones,
mobiliario, etc. (Razo, 2002)
Seguridad del personal de informtica
Se refiere a la seguridad y proteccin de los operadores, analistas, programadores
y dems personal que est en contacto directo con el sistema, as como a la
seguridad de los beneficiarios de la informacin. (Razo, 2002)
Seguridad de las telecomunicaciones
Es todo lo relacionado con la seguridad y proteccin de los niveles de acceso,
privilegios, recepcin y envo de informacin por medio del sistema de cmputo,
protocolos, software, equipos e instalaciones que permiten la comunicacin y
transmisin de la informacin en la empresa, etc. (Razo, 2002)
Seguridad en las redes
Es todo lo relacionado con la seguridad y control de contingencias para la
proteccin adecuada de los sistemas de redes de cmputo, en cuanto a la
salvaguarda de informacin y datos de las redes, la seguridad en el acceso a los
sistemas computacionales, a la informacin y a los programas del sistema, as
como la proteccin de accesos fsicos, del mobiliario, del equipo y de los usuarios
de los sistemas. Incluyendo el respaldo de informacin y los privilegios de accesos
a sistemas, informacin y programas. (Razo, 2002)
Prevencin de contingencias y riesgos
30
Son todas las acciones tendientes a prevenir y controlar los riesgos y posibles
contingencias que se presenten en las reas de sistematizacin, las cuales van
desde prevenir accidentes en los equipos, en la informacin y en los programas,
hasta la instalacin de extintores, rutas de evacuacin, resguardos y medidas
preventivas de riesgos internos y externos, as como la elaboracin de programas
preventivos y simulaciones para prevenir contingencias y riesgos informticos.
(Razo, 2002)
Adems de lo anterior, tambin se tiene que determinar todo lo relacionado con los
riegos y amenazas que afectan a los sistemas de informacin, as como la
prevencin de contingencias y la recuperacin de la informacin del sistema en
caso de que ocurra alguna contingencia que afecte su funcionamiento. Esto es de
suma importancia para el establecimiento de este elemento del control interno
informtico, ya que la informacin del rea de sistemas es el activo ms valioso de
la empresa y todas las medidas que se adopten para la prevencin de
contingencias sern en beneficio de la proteccin de los activos de la institucin.
(Razo, 2002)
Con el establecimiento de los siguientes subelementos del control interno
informtico se busca determinar las bases fundamentales sobre las que se
establecern los requerimientos para manejar la seguridad de los sistemas de
informacin:
2.6.1 Controles para prevenir y evitar las amenazas, riesgos y

contingencias en las reas de sistematizacin.
o Control de accesos fsicos del personal al rea de cmputo.
o Control de accesos al sistema, a las bases de datos, a los programas y a la
informacin.
o Uso de niveles de privilegios para acceso, de palabras clave y de control de
usuarios.
o Monitoreo de accesos de usuarios, informacin y programas de uso.
o Existencia de manuales e instructivos, as como difusin y vigilancia del
cumplimiento de los reglamentos del sistema
31
o Identificacin de los riesgos y amenazas para el sistema, con el fin de

adoptar las medidas preventivas necesarias.
o Elaboracin de planes de contingencia, simulacros y bitcoras de
seguimiento.
2.6.2 Controles para la seguridad fsica del rea de sistemas
o Inventario del hardware, mobiliario y equipo.
o Resguardo del equipo de cmputo.
o Bitcoras de mantenimientos y correcciones.
o Controles de acceso del personal al rea de sistemas.
o Control del mantenimiento a instalaciones y construcciones.
o Seguros y fianzas para el personal, equipos y sistemas.
o Contratos de actualizacin, asesora y mantenimiento del hardware.
2.6.3 Controles para la seguridad lgica de los sistemas
o Control para el acceso al sistema, a los programas y a la informacin.
o Establecimiento de niveles de acceso.
o Dgitos verificadores y cifras de control.
o Palabras clave de accesos.
o Controles para el seguimiento de las secuencias y rutinas lgicas del
sistema.
2.6.4 Controles para la seguridad de las bases de datos
o Programas de proteccin para impedir el uso inadecuado y la alteracin de
o
o
o
o
datos de uso exclusivo.

Respaldos peridicos de informacin.
Planes y programas para prevenir contingencias y recuperar informacin.
Control de accesos a las bases de datos.
Rutinas de monitoreo y evaluacin de operaciones relacionadas con las
bases de datos. (Razo, 2002)
2.6.5 Controles para la seguridad en la operacin de los sistemas

computacionales
o Controles para los procedimientos de operacin.
o Controles para el procesamiento de informacin.
o Controles para la emisin de resultados.
o Controles especficos para la operacin de la computadora.
o Controles para el almacenamiento de informacin.
o Controles para el mantenimiento del sistema. (Razo, 2002)
32
2.6.6 Controles para la seguridad del personal de informtica

o Controles administrativos de personal.
o Seguros y fianzas para el personal de sistemas.
o Planes y programas de capacitacin. (Razo, 2002)
2.6.7 Controles para la seguridad en la telecomunicacin de datos

En algunos casos es necesario implementar controles internos informticos en las
reas de sistematizacin para asegurar el buen funcionamiento de los sistemas de
transmisin de datos de la empresa, mismos que van desde el establecimiento de
protocolos de comunicacin, contraseas y medios controlados de transmisin,
hasta la adopcin de medidas de verificacin de transmisin de la informacin, las
cuales pueden ser dgitos verificadores, dgitos de paridad, protocolos de acceso a
frecuencias y otras especificaciones concretas del rea de transmisin de datos.
(Razo, 2002)
Existen
tipos
de
controles
especficos
para
la
seguridad
de
las
telecomunicaciones, los cuales se establecen de acuerdo con el modo de

transmisin de datos, al sistema adoptado para ello, a los protocolos y medios de
comunicacin, a la forma de conexin de los sistemas y a otras caractersticas
especiales. (Razo, 2002)
2.6.8Controles para la seguridad en sistemas de redes y multiusuarios
Debido a que cada da es ms frecuente el uso de redes en las instituciones, las
cuales van desde simples redes internas y redes locales (LANs), hasta las redes
metropolitanas (MANs) o las redes instaladas a escala mundial (WANs). El
establecimiento de estos controles para la seguridad en sistemas de redes y
sistemas multiusuarios de una empresa es de vital importancia. Razn por la cual
se tienen que establecer medidas muy especficas para la proteccin, resguardo y
uso de programas, archivos e informacin compartida de la empresa. (Razo, 2002)
33
Respecto a la seguridad en redes, existe un sinnmero de medidas preventivas y

correctivas, las cuales constantemente se incrementan en el mundo de los
sistemas. Debido a las caractersticas de los propios sistemas computacionales, a
las formas de sus instalaciones, al nmero de terminales y a sus tipos de
conexin, es necesario adaptarse a los constantes cambios tecnolgicos que
buscan garantizar la seguridad en el funcionamiento de las propias redes, de sus
programas de uso colectivo, de sus archivos de informacin y de sus dems
caractersticas. (Razo, 2002)
CONCLUSIONES
La informtica ha venido a convertirse en una de las herramientas de mayor

estructuracin en una empresa, siendo la informacin uno de los activos ms
importantes. Por lo cual para garantizar la seguridad y eficiencia de los activos
informticos es necesario implementar como medidas preventivas, defectivas y
correctivas las figuras de Control Interno y Auditora Informticos.
Es preciso supervisar continuamente los controles internos informticos para
asegurarse de que el proceso funciona segn lo previsto.
Las funciones de Control Interno y Auditora Informticos ayudan a la organizacin
a cumplir obligaciones relativas al control interno mediante el proceso de recoger,
agrupar y evaluar evidencias para determinar s un sistema informatizado
34
salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo

eficazmente los fines de la Organizacin y utiliza eficientemente los recursos.
BIBLIOGRAFA
Dante Orlando Malica, G. D. (s.f.). El sistema de control interno y su importancia

en la auditora. Recuperado el 22 de Febrero de 2015, de
http://www.facpce.org.ar:8080/iponline/el-sistema-de-control-interno-y-suimportancia-en-la-auditoria/
Garcia, A. J. (15 de Abril de 2012). Control Interno en la Auditora de Sistemas.
Recuperado
el
22
de
Febrero
de
2015,
de
es.slideshare.net/AnaJuliaGonzalezGarcia/control-interno-en-la-auditoriaen-sistemas
35
Piattini, M. G., & Peso, E. d. (2001). Auditora Informtica Un enfoque Prctico.

Madrid: Ra-Ma.
Razo, C. M. (2002). Auditora en Sistema Computacionales. Mxico: Pearson
Education.

Trabajo de Control Interno Auditoria

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Trabajo de Control Interno Auditoria

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD CATLICA DE EL SALVADOR

Funciones del control interno y

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

2.3.1.3 Uniformidad de funciones para desarrollar sistemas...........................16

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

2.6.7 Controles para la seguridad en la telecomunicacin de datos...................32

Las empresas estn sometidas a la accin de muchas fuerzas externas tales

los problemas, tomando medidas

enfrentar los retos futuros y asegurar la integridad en el momento actual.

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

Comprender la importancia del control interno informtico.

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS

1.0 Funciones del control interno y auditora informticos

no normas fijados por la Direccin de la Organizacin y/o la

Direccin de Informtica, as como los requerimientos legales. (Piattini & Peso,

Controlar que todas las actividades se realizan cumpliendo los procedimientos

las normas legales.

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

Colaborar y apoyar el trabajo de Auditoria Informtica, as como las

auditoras externas al Grupo.

locales, PCs. etc.) y entornos informticos (produccin, desarrollo o pruebas) el

El cumplimiento de procedimiento, normas y controles dictados. Merece

resaltarse la vigilancia sobre el control de cambios y versiones del software.

software del servicio informtica.

misma cuando est encargada a otro rgano):

1.2 Auditora Informtica

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la

funcionamiento de los controles implantados y sobre la

fiabilidad de la informacin suministrada. (Piattini & Peso, 2001)

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los

1.3 Control interno y auditora informticos: campos anlogos

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

de un sistema para conseguir sus

objetivos". (Piattini & Peso, 2001)

procesos de aplicaciones y para gestionar los sistemas de informacin. (Piattini

2.2 Tipos De Controles Internos

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

autorizados, el registro de la actividad el registro de la actividad diaria para

Controles de Aplicacin: son los que se realizan para asegurar la exactitud,

Control sobre los datos de entrada.

Controles Especializados: son los que se realizan para asegurar la

Control sobre las entradas de datos en lneas.

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

Control sobre los sistemas integrados.

2.3 ELEMENTOS FUNDAMENTALES DEL CONTROL INTERNO INFORMTICO

2.3.1 Control interno para la organizacin del rea de informtica

Al instalar este elemento del control interno informtico, se busca determinar si la

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

actividades del personal de dicha rea, as como en la coordinacin de los

La aplicacin de cada subelemento es fundamental para cualquier rea de

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

diametralmente en la forma de trabajar de un rea de sistemas a otra y entre la

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

Estandarizacin del diseo, implementacin y administracin de las bases

2.3 Controles internos para el anlisis, desarrollo e implementacin de

CONTROL INTERNO PARA LA AUDITORA DE SISTEMAS INFORMTICOS

para el desarrollo de sistemas, misma que utilizamos para ejemplificar los

Anlisis del sistema actual.