CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

FACULTAD DE CIENCIAS EMPRESARIALES

AUDITORÍA DE SISTEMAS

CONTROL INTERNO Y AUDITORIA INFORMATICA

CAMILO LEONARDO CASTRO HERNANDEZ

ID 511802

TUTOR

OSCAR MAURICIO CORREDOR

ENERO DE 2018

BOGOTÁ, D. C.
 Introducción

A través del siguiente trabajo se busca presentar de manera sencilla las principales ideas
del control interno y la auditoria informática que se deben tener en cuenta en una
organización las cuales les permitirán mantenerse en todo momento seguro, además de
conocer punto a punto los diferentes objetivos que debe cumplir cada una de las áreas
involucradas en este proceso.
 CONTROL INTERNO

Controla diariamente que todas las actividades de sistemas de información sean

realizadas cumpliendo los procedimientos, estándares y normas fijados por la
Dirección de la Organización y/o la Dirección de Informática, así como los
requerimientos legales.
La misión del Control Interno Informático es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas
y válidas.
Objetivos del control interno informático.
Como principales objetivos podemos indicar los siguientes:

 Controla que todas las actividades se realizan cumpliendo los procedimientos y

normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
 Asesorar sobre el conocimiento de las normas.

 Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorías

externas al Grupo.

 El cumplimiento de procedimiento, normas y controles dictados. Merece resaltarse

la vigilancia sobre el control de cambios y versiones del software.

 Controles sobre la producción diaria.

 Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
Software y del servicio informática.
 Controles en las redes de comunicaciones.
 Controles sobre el software de base.
 Controles en los sistemas microinformáticos.

 La seguridad informática (su responsabilidad puede estar asignada a control

interno o bien puede asignársele la responsabilidad de control dual de la misma
cuando está encargada a otro órgano):
o Usuarios, responsables y perfiles de uso de archivos y bases de datos.
o Normas de seguridad.
o Control de información clasificada.
o Control dual de la seguridad informática.
 Asesorar y transmitir cultura sobre el riesgo informático.

CONTROL INTERNO EN EL AREA DE INFORMATICA

Controles internos sobre la organización del área de informática
 Dirección
 División del trabajo
 Asignación de responsabilidad y autoridad
 Establecimiento de estándares y métodos
 Perfiles de cargos
Controles internos sobre el análisis, desarrollo e implementación de
sistemas
 Estandarización de metodologías para el desarrollo de proyectos
 Asegurar que el beneficio de los sistemas sea el óptimo
 Elaborar estudios de factibilidad del sistema
 Garantizar la eficiencia y eficacia en el análisis y diseño de sistemas
 Vigilar la efectividad y eficiencia en la implementación y mantenimiento del
sistema
 Optimizar el uso del sistema por medio de su documentación
Controles internos sobre la operación del sistema
 Prevenir y corregir los errores de operación
 Prevenir y evitar la manipulación fraudulenta de la información
 Implementar y mantener la seguridad en la operación
 Mantener la oportunidad, confiabilidad, veracidad y suficiencia en el
procesamiento de la información de la organización
Controles internos sobre los procedimientos de entrada de datos, el
procesamiento de información y la emisión de resultados
 Verificar la existencia y funcionamiento de los procedimientos de captura de
datos
 Comprobar que todos los datos sean debidamente procesados
 Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos
 Comprobar la oportunidad, confiabilidad y veracidad en la emisión de os
resultados del procesamiento de información
Controles internos sobre la seguridad del área de sistemas
 Controles para prevenir y evitar las amenazas, riesgos y contingencias que
inciden en las áreas de sistematización
 Controles sobre la seguridad física del área de sistemas
 Controles sobre la seguridad lógica de los sistemas
 Controles sobre la seguridad de las bases de datos
 Controles sobre la operación de los sistemas computacionales
 Controles sobre la seguridad del personal de informática
 Controles sobre la seguridad de la telecomunicación de datos
 Controles sobre la seguridad de redes y sistemas multiusuarios
Control interno y auditoria informáticos

La evolución de ambas funciones ha sido espectacular durante la última década.

Muchos controles internos fueron una vez auditores. De hecho, muchos de los
actuales responsables de Control Interno Informático recibieron formación en
seguridad informática tras su paso por la formación en auditoria. Numerosos
auditores se pasan al campo de Control Interno Informático debido a la similitud de
los objetivos profesionales de control y auditoria, campos análogos que
propician una transición natural.

Aunque ambas figuras tienen objetivos comunes, existen diferencias que

conviene mostrar:

CONTROL
INTERNO AUDITOR INFORMATICO
INFORMATIC
O
Personal interno
Conocimientos especializados en tecnología de la
información y verificación del cumplimiento de controles
SIMILITUDES internos, normativa y procedimientos establecidos por la
Dirección de informática y la dirección general para los
sistemas de información.
• Análisis de los • Análisis de un momento
controles en el día a día informático determinado
• Informa a la dirección • Informa a la dirección
del departamento de general de la organización
informática • Personal Interno y/o
DIFERENCIAS • Solo personal interno externo
• El alcance de sus • Tiene cobertura sobre todos
funciones es sobre el los componentes de los
departamento de sistemas de información de
informática la organización
 AUDITORIA INFORMATICA

Fases de la auditoria informática

Conocimientos del sistema

Aspectos Legales y Políticas Internas.- Sobre estos elementos está construido el

sistema de control y por lo tanto constituyen el marco de referencia para su
evaluación.

Características del Sistema Operativo:

• Organigrama del área que participa en el sistema

• Manual de funciones de las personas que participan en los procesos Del sistema

• Informes de auditoría realizadas anteriormente

• Manual técnico de la aplicación del sistema

• Funcionarios (usuarios) autorizados para administrar la aplicación

• Equipos utilizados en la aplicación de computadora

• Seguridad de la aplicación (claves de acceso)

• Procedimientos para generación y almacenamiento de los archivos de la

aplicación.
Análisis de transacciones y recursos

Definición de las transacciones.- Dependiendo del tamaño del sistema, las transacciones se
dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser
asignada con los administradores.
Análisis de las transacciones.- En esta etapa se hace uso de los flujogramas ya que facilita
la visualización del funcionamiento y recorrido de los procesos.
Análisis de los recursos.- Identificar y codificar los recursos que participan en el
sistemas Relación entre transacciones y recursos.

Análisis de riesgos y amenazas

Identificación de riesgos:

• Daños físicos o destrucción de los recursos

• Pérdida por fraude o desfalco
• Extravío de documentos fuente, archivos o informes
• Robo de dispositivos o medios de almacenamiento
• Interrupción de las operaciones del negocio
• Pérdida de integridad de los datos
• Ineficiencia de operaciones
• Errores

Identificación de las amenazas

• Amenazas sobre los equipos:

• Amenazas sobre documentos fuente
• Amenazas sobre programas de aplicaciones

Relación entre recursos/amenazas/riesgos.- La relación entre estos elementos deberá

establecerse a partir de la observación de los recursos en su ambiente real de
 funcionamiento.

Análisis de controles

Codificación de controles.- Los controles se aplican a los diferentes grupos utilizadores de

recursos, luego la identificación de los controles debe contener una codificación la cual
identifique el grupo al cual pertenece el recurso protegido.
Relación entre recursos/amenazas/riesgos.- La relación con los controles debe establecerse
para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más
controles.

Análisis de cobertura de los controles requeridos.- Este análisis tiene como propósito
determinar si los controles que el auditor identificó como necesarios proveen una
protección adecuada de los recursos.

Evaluación de controles

Objetivos de la evaluación:

• Verificar la existencia de los controles requeridos

• Determinar la operatividad y suficiencia de los controles existentes
• Incluye la selección del tipo de prueba a realizar.
• Debe solicitarse al área respectiva, todos los elementos necesarios de
prueba.
• Pruebas de controles
Análisis de resultados de las pruebas
Informe de auditoria

1. Informe detallado de recomendaciones

2. Evaluación de las respuestas
3. Informe resumen para la alta gerencia
 Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso
de las áreas.
• Introducción: objetivo y contenido del informe de auditoria
• Objetivos de la auditoría
• Alcance: cobertura de la evaluación realizada
• Opinión: con relación a la suficiencia del control interno del sistema evaluado
• Hallazgos
• Recomendaciones

Seguimiento de recomendaciones

1. Informes del seguimiento

2. Evaluación de los controles implantados
 CONCLUSIONES

Con el presente trabajo se ha comprendido que las principales características del control
interno y la auditoria informática dentro de una organización y la seguridad que debe
manterse dentro de la compañía con el fin de brindar seguridad a la información recolectada a
diario a través de cada una de las áreas que intervienen, con el fin de elaborar una auditoria
acorde a las necesidades deben evaluarse cada uno de los pasos mencionados anteriormente
como a su vez las herramientas disponibles, computadores, memorias, programas, software,
entre otros.
 BIBLIOGRAFÍA

http://201840.aulasuniminuto.edu.co/pluginfile.php/325919/mod_resource/content/1/Co
ntrol%20interno%20y%20Auditoria%20informatica.pdf