Índice

Desarrollo ................................................................................................................................................... 1-7

Conclusiones ................................................................................................................................................. 8

Bibliografía .................................................................................................................................................... 9
¿Qué es un auditor informático?
Es quien evalúa y comprueba en determinados momentos del tiempo los controles
y procedimientos informativos más complejos, desarrollando y aplicando técnicas
mecanizadas de auditoría, incluyendo el uso del software. En muchos casos, ya no
es posible verificar manualmente los procedimientos informatizados que resumen,
calculan y clasifican datos, por lo que se deberá emplear software de auditoría y
otras técnicas. (Codejobs)
El auditor informático debe ser una persona con un alto grado de calificación técnica y al
mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan
hoy en día.
Además, debe contemplar en su formación básica una mezcla de conocimientos de
auditoría financiera y de informática general en cuanto a:
o Desarrollo Informático: Gestión de proyectos y del ciclo de vida de un proyecto de
desarrollo.
o Gestión del dpto. de sistemas.
o Análisis de riesgos en un entorno informático.
o Gestión de bases de datos.
o Operaciones y planificación informática: Efectividad de las operaciones y del
rendimiento de los sistemas.
o Gestión de la seguridad de los sistemas y de la continuidad empresarial a través
de planes de contingencia de la información.
o Gestión de problemas y de cambios en entornos informáticos.
o Admón. de datos.
o Comercio Electrónico.
o Encriptación de datos

¿Cuáles son las funciones principales de un auditor informático?

1. El auditor es responsable de revisar e informar a la Dirección de la

Organización sobre el diseño y el funcionamiento de los controles
implantados y sobre la fiabilidad de la información suministrada. (Codejobs)
2. Luego que se hayan establecido estos, el auditor debe revisar los controles
y evaluar los resultados de su revisión para determinar las áreas que
requieran correcciones o mejoras. Así como la verificación del control
interno, tanto de las aplicaciones como de los sistemas informáticos,
centrales y periféricos. Debe hacer un análisis de la integridad, fiabilidad y
certeza de la información a través del análisis de las aplicaciones. (Codejobs)

1
 3. Debe hacer un análisis de la integridad, fiabilidad y certeza de la información
a través del análisis de las aplicaciones.
4. Un auditor informático debe saber de informática en general. En el área
informática, contar con conocimientos básicos de: Desarrollo de SI,
Sistemas operativos, Telecomunicaciones, Administración de Bases de
Datos, Redes locales, Seguridad física, Administración de Datos,
Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc.
5. El auditor deberá abstenerse de recomendar actuaciones innecesariamente
onerosas, dañinas o que generen riesgos injustificados para el auditado.

¿Que son las normas de control interno informático?

El Control Interno Informático puede definirse como el sistema integrado al proceso

administrativo, en la planeación, organización, dirección y control de las operaciones con
el objeto de asegurar la protección de todos los recursos informáticos y mejorar los
índices de economía, eficiencia y efectividad de los procesos operativos automatizados.
(Auditoria informatica, 1997)

El Informe COSO define el Control Interno como "Las normas, los procedimientos, las
prácticas y las estructuras organizativas diseñadas para proporcionar seguridad
razonable de que los objetivos de la empresa se alcanzarán y que los eventos no
deseados se preverán, se detectarán y se corregirán. (Forero, 1997)

También se puede definir el Control Interno como cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema para conseguir sus objetivos. (Forero, 1997)

Objetivos principales:
o Controlar que todas las actividades se realizan cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
o Asesorar sobre el conocimiento de las normas
o Colaborar y apoyar el trabajo de Auditoría Informática interna/externa
o Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce
cumplimiento de los servicios informáticos.
o Realizar en los diferentes sistemas y entornos informáticos el control de las
diferentes actividades que se realizan.

2
Componentes del control interno

Ambiente de control : proporciona el clima en el cual la gente realiza sus actividades y

lleva a cabo sus responsabilidades de control. Es decir que es el componente principal
para la administración efectiva del riesgo en la administración; provee la disciplina y
estructura de todos los componentes involucrados, y se inculca mediante entrenamientos
al personal, códigos de conducta, etc.
Evaluación de riesgo: dentro del ambiente de control. La gerencia “evalúa” los riesgos
para lograr los objetivos propuestos, y lo hace a nivel organizacional y a nivel de
actividad. Un prerrequisito para evaluar un riesgo es el establecimiento de los objetivos.
El proceso de análisis incluye: determinar la significatividad del riesgo, evaluar la
probabilidad de que ocurra o la frecuencia con que se produce y evaluar las acciones
que deben ser adoptadas.
Actividades de control: son las que están diseñadas para responder a los riesgos en
toda la organización como, por ejemplo: aprobaciones, autorizaciones, revisiones y
segregación de funciones. Estos procedimientos de control pueden ser: controles de
monitoreo, gerenciales, independientes, de procesamiento de información y controles de
salvaguarda de activos.
Información y comunicación: los canales de comunicación involucran a los niveles
internos y externos de la organización, en muchas oportunidades la comunicación de
fuentes externas proporciona información importante acerca del funcionamiento del
control interno. Medir la calidad de la información implica determinar si: el contenido es
adecuado, la información es oportuna, la información es actual, la información es precisa,
la información es accesible
Monitoreo: Todas las actividades de control y procesos operativos deben ser moni
toreados; es decir, revisados por un nivel jerárquico mayor para realizar un control de
calidad sobre la marcha. Este proceso incluye la administración y supervisión regular de
las actividades

Tipos de Controles

En el ambiente informático, el control interno se materializa fundamentalmente en

controles de dos tipos:
o Controles manuales; aquellos que son ejecutados por el personal del área
usuaria o de informática sin la utilización de herramientas computacionales.
o Controles Automáticos; son generalmente los incorporados en el software,
llámense estos de operación, de comunicación, de gestión de base de datos,
programas de aplicación, etc.

3
Los controles según su finalidad se clasifican en:
o Controles Preventivos, para tratar de evitar la producción de errores o hechos
fraudulentos, como por ejemplo el software de seguridad que evita el acceso a
personal no autorizado.
o Controles Detectivos; tratan de descubrir a posteriori errores o fraudes que no
haya sido posible evitarlos con controles preventivos.
o Controles Correctivos; tratan de asegurar que se subsanen todos los errores
identificados mediante los controles detectivos.

Control interno informático (función)

El Control Interno Informático es una función del departamento de Informática de una

organización, cuyo objetivo (Forero, 1997) es el de controlar que todas las actividades
relacionadas a los sistemas de información automatizados se realicen cumpliendo las
normas, estándares, procedimientos y disposiciones legales establecidas interna y
externamente.

Entre sus funciones específicas están:

o
Difundir y controlar el cumplimiento de las normas, estándares y procedimientos
al personal de programadores, técnicos y operadores.
o Diseñar la estructura del Sistema de Control Interno de la Dirección de
Informática en los siguientes aspectos:
o Desarrollo y mantenimiento del software de aplicación.
o Explotación de servidores principales
o Software de Base
o Redes de Computación
o Seguridad Informática
o Licencias de software
o Relaciones contractuales con terceros
o Cultura de riesgo informático en la organización

4
Control interno informático (sistema)

Un Sistema de Control Interno Informático debe asegurar la integridad, disponibilidad y

eficacia de los sistemas informáticos a través de mecanismos o actividades de control.

Estos controles cuando se diseñen, desarrollen e implanten, deben ser sencillos,

completos, confiables, revisables y económicos.

Para implantar estos controles debe conocerse previamente la configuración de todo el

sistema a fin de identificar los elementos, productos y herramientas que existen y
determinar de esta forma donde se pueden implantar, así como para identificar los
posibles riesgos.

Para conocer la configuración del sistema se deberá documentar:

o Entorno de Red: esquema, configuración del hardware y software de
comunicaciones y esquema de seguridad de la red.
o Configuración de los computadores principales desde el punto de vista físico,
sistema operativo, biblioteca de programas y conjunto de datos.
o Configuración de aplicaciones: proceso de transacciones, sistema de gestión de
base de datos y entorno de procesos distribuidos
o Productos y herramientas: software de programación diseño y documentación,
software de gestión de biblioteca.
o Seguridad del computador principal: sistema de registro y acceso de usuarios,
identificar y verificar usuarios, integridad del sistema

Control interno informático (áreas de aplicación)

Controles generales organizativos
o Son la base para la planificación, control y evaluación por la Dirección General de
las actividades del Departamento de Informática, y debe contener la siguiente
planificación:

o Plan Estratégico de Información realizado por el Comité de Informática.

o Plan Informático, realizado por el Departamento de Informática.
o Plan General de Seguridad (física y lógica).
o Plan de Contingencia ante desastres.

Controles de desarrollo y mantenimiento de sistemas de información

5
Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos,
protección de recursos y cumplimiento con las leyes y regulaciones a través de
metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones.

Controles de explotación de sistemas de información

Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición
y uso del hardware, así como los procedimientos de, instalación y ejecución del software.

Controles en aplicaciones

Toda aplicación debe llevar controles incorporados para garantizar la entrada,

actualización, salida, validez y mantenimiento completos y exactos de los datos.

Controles en sistemas de gestión de base de datos

Tienen que ver con la administración de los datos para asegurar su integridad,
disponibilidad y seguridad.

Controles informáticos sobre redes

Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento
de las redes instaladas en una organización sean estas centrales y/o distribuidas.

¿Cuál es la necesidad de los mismos en la organización y de ejemplos?

Ya que las normas de procedimiento que regulan el funcionamiento administrativo de

una organización la misma es de vital necesidad, tienen el propósito de preservar al
patrimonio de la empresa de los posibles errores u omisiones, maniobras fraudulentas o
daño intencional que pudieran llegar a afectarla.

o Para tratar de evitar el hecho, como un software de seguridad que impida los
accesos no autorizados al sistema. (Clase de Auditoria de la UCV TRAPOTO)

o Cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por
ejemplo, el registro de intentos de acceso no autorizados, el registro de la

6
 actividad diaria para detectar errores u omisiones, etc. (Clase de Auditoria de la
UCV TRAPOTO, 2010)
o
Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por
ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
(Clase de Auditoria de la UCV TRAPOTO, 2010)

7
Conclusiones con respecto al rol del auditor informático y las normas de control interno
informático.

Conclusiones rol del Auditor

o El auditor Informático debe revisar la seguridad, el control interno, la
efectividad, la gestión del cambio y la integridad de la información.
o Es también mantener en la medida de lo posible los objetivos de revisión
que le demande la organización. Luego que se hayan establecido estos, el
auditor debe revisar los controles y evaluar los resultados de su revisión
para determinar las áreas que requieran correcciones o mejoras.
o Así como la verificación del control interno, tanto de las aplicaciones como
de los sistemas informáticos, centrales y periféricos.
o Debe hacer un análisis de la integridad, fiabilidad y certeza de la información
a través del análisis de las aplicaciones.

Conclusiones respecto a las normas de control interno informático.

o Mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la
organización y utiliza eficiente mente los recursos.
o Las normas son enfocadas a la adecuada gestión de los Sistemas de la
Información.
o Básicamente todos los cambios que se realizan en una organización someten a
una gran tensión a los controles internos existentes.
o Cuando un auditor profesional se somete a auditar una empresa, lo primero que
se le viene a la cabeza es mejorar todos los procesos que se llevan en la misma.
o Asegurarse de que las medidas que se obtienen de los mecanismos implantados
por cada responsable sean correctas y válidas.

8
Bibliografía

Clase de Auditoria de la UCV TRAPOTO. (24 de 02 de 2010). Obtenido de http://tecnologia-entu-

blog.blogspot.com/2010/02/control-interno-y-auditoria-informatica.html

Diaz, E. S. (s.f.). Academia. Obtenido de

https://www.academia.edu/9142539/CONTROL_INTERNO_Y_AUDITORIA_INFORMATICA?auto=
download

Forero, J. D. (1997). Auditoria informatica. Ecoe.

Roldán, C. S. (25 de Febrero de 2013). Codejobs. Obtenido de Codejobs:

https://www.codejobs.biz/es/blog/2013/02/25/que-es-una-auditoria-informatica