Ing. Elizabeth Guerrero

Conjunto de disposiciones metódicas, cuyo
fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo
se realiza conforme a los programas
adoptados, ordenes impartidas y principios
admitidos.

Se considera que el control produce dos tipos
de acciones según sea el ámbito donde se
aplique:
Influencia directiva, intenta que las actividades del
sistema se realicen de modo tal que produzcan
determinados resultados o alcancen objetivos
específicos predefinidos.
Influencia restrictiva, la acción se ejerce de modo
tal que evite que las actividades de un sistema
produzcan resultados no deseados.




Elemento, característica o condición a controlar.
Sensor: artefacto o método para medir las
características o condiciones controladas, es
decir instrumento para medir el rendimiento.
Grupo de control: unidad o equipo de control
para comparar los datos medidos con el
rendimiento planeado. Determina la necesidad de
corrección y envía la información a los
mecanismos que deben normalizar o corregir
laproducción del sistema
Grupo activante: mecanismo activador que es
capaz de producir un cambio en el sistema
operante, es decir, realizar la acción correctiva
correspondiente.
Correctivos
Miden las desviaciones
e informan sobre ellas
No correctivos
Prescinden de la
medición e informacion
de los desvíos que se
pueden producir
De acuerdo a su
objetivo
Retroalimentados
Comparan los
resultados obtenidos
con los esperados
Prealimentados
Previenen la
ocurrencia de
resultados indeseados
De acuerdo a su
marco temporal
De secuencia abierta
El grupo de control es
independiente del
sistema operante
De secuencia cerrada
Todos los elementos de
control pertenecen al
propio sitema operante
De acuerdo a su
pertenencia


Establecimiento de estándares: es la acción
de determinar el/los parámetro/s sobre los
cuales se ejercerá el control y,
posteriormente, el estado o valor de esos
parámetros considerado deseable.
Comparación o diagnóstico: implica el cotejo
entre los resultados reales con los deseables.


La determinación de acciones correctivas. Lleva implícita
una decisión: corregir o dejar como está
La ejecución de las acciones correctivas Sin éste, el control
será estéril, inútil e incompleto. Más aún, infinitamente
caro como respuesta al problema que intentó solucionar.
Por ello, se considera que sin esta etapa simplemente no
ha existido una acción de control.

Se define como cualquier actividad o acción
realizada para prevenir, corregir errores o
irregularidades que puedan afectar el
funcionamiento de un sistema para conseguir
sus objetivos
Controles
Preventivos
• Tratar de evitar o prevenir una acción
• Ejemplo: Software de seguridad evita los
accesos no autorizados
Controles
Detectivos
• Cuando fallan los preventivos para tratar de
conocer cuanto antes el evento
Controles
Correctivos
• Facilitan la vuelta a la normalidad cuando se
han producido fallas
• Ejemplo: Registro de intentos de acceso no
autorizados
• Ejemplo: Recuperación de un archivo dañado
a partir de las copias de seguridad

Controles internos sobre la organización:





Dirección
División del trabajo
Asignación de responsabilidad y autoridad
Establecimiento de estándares y métodos
Perfiles de puestos

Controles internos sobre el análisis, desarrollo e
implementación de sistemas:
 Estándarización de metodologías para el desarrollo de
proyectos
 Asegurar que el beneficiario de los sistemas sea el
óptimo
 Elaborar estudios de factibilidad del sistema
 Garantizar la eficiencia y la eficacia en el análisis y
diseño de sistemas
 Vigilar la efectividad y eficiencia de la implementación y
mantenimiento del sistema
 Optimizar el uso del sistema por medio de su
documentación

Controles internos sobre la operación del
sistema:
 Prevenir y corregir errores de operación
 Prevenir y evitar la manipulación fraudulenta de la
información
 Implementar y mantener la seguridad de la
operación
 Mantener la confiabilidad, oportunidad, veracidad y
suficiencia en el procesamiento de la información
de la institución

Controles internos sobre los procedimientos
de entrada de datos, el procesamiento de
información y la emisión de resultados
 Verificar la existencia y funcionamiento de los
procedimientos de captura de datos
 Comprobar que todos los datos sean debidamente
procesados
 Verificar la confiabilidad, veracidad y exactitud del
procesamiento de datos
 Comprobar la oportunidad, confiabilidad y
veracidad de la emisión de los resultados del
procesamiento de información

Controles internos sobre la seguridad del
área de sistemas:
 Prevenir y evitar las amenazas, riesgos y
contingencias que inciden en el área de
sistematización
 Seguridad física del área de sistemas
 Seguridad lógica de los sistemas
 Seguridad de las bases de datos
 Operación de los sistemas computacionales
 Seguridad del personal de informática
 Seguridad de la telecomunicación de datos
 Seguridad de redes y sistemas multiusuarios

Autenticidad

Exactitud

Totalidad

Redundancia

Privacidad
◦ Permiten verificar la identidad
1. Passwords
2. Firmas digitales
◦ Aseguran la coherencia de los datos
1. Validación de campos
2. Validación de excesos
◦ Evitan la omisión de registros así como garantizan la conclusión de un proceso de
envio
1. Conteo de registros
2. Cifras de control
◦ Evitan la duplicidad de datos
1. Cancelación de lotes
2. Verificación de secuencias
◦ Aseguran la protección de los datos
1. Compactación
2. Encriptación

Existencia

Protección de Activos

Efectividad

Eficiencia
◦ Aseguran la disponibilidad de los datos
1. Bitácora de estados
2. Mantenimiento de activos
◦ Destrucción o corrupción de información o del hardware
1. Extintores
2. Passwords
◦ Aseguran el logro de los objetivos
1. Encuestas de satisfacción
2. Medición de niveles de servicio
◦ Aseguran el uso óptimo de los recursos
1. Programas monitores
2. Análisis costo-beneficio

Periodicidad de cambio de claves de acceso
◦ Los cambios de las claves de acceso a los programas se deben realizar
periódicamente.
◦ El no cambiar las claves periódicamente aumenta la posibilidad de que personas no
autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
◦ Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinación de alfanuméricos en claves de acceso
◦ No es conveniente que la clave este compuesta por códigos de empleados, ya que
una persona no autorizada a través de pruebas simples o de deducciones puede dar
con dicha clave.
◦ Para redefinir claves es necesario considerar los tipos de claves que existen:

Individuales Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave
permite al momento de efectuar las transacciones registrar a los responsables de cualquier
cambio.

Confidenciales De forma confidencial los usuarios deberán ser instruidos formalmente respecto

No significativas Las claves no deben corresponder a números secuenciales ni a nombres o
al uso de las claves.
fechas.

Verificación de datos de entrada
◦ Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o
precisión; tal es el caso de la validación del tipo de datos que contienen los campos o
verificar si se encuentran dentro de un rango.

Conteo de registros
◦ Consiste en crear campos de memoria para ir acumulando cada registro que se
ingresa y verificar con los totales ya registrados.

Totales de Control
◦ Se realiza mediante la creación de totales de linea, columnas, cantidad de formularios,
cifras de control, etc. , y automáticamente verificar con un campo en el cual se van
acumulando los registros, separando solo aquellos formularios o registros con
diferencias.

Verficación de limites
◦ Consiste en la verificación automática de tablas, códigos, limites mínimos y máximos
o bajo determinadas condiciones dadas previamente.

Verificación de secuencias
◦ En ciertos procesos los registros deben observar cierta secuencia numerica o
alfabetica, ascendente o descendente, esta verificacion debe hacerse mediante rutinas
independientes del programa en si.

Dígito autoverificador
◦ Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado
de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la
corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la cédula
de identidad, calculado con el modulo 10 o el ultimo dígito del RUC calculado con el
módulo 11.

Utilizar software de seguridad en los microcomputadores
◦ El software de seguridad permite restringir el acceso al microcomputador, de tal modo
que solo el personal autorizado pueda utilizarlo.
◦ Adicionalmente, este software permite reforzar la segregación de funciones y la
confidencialidad de la información mediante controles para que los usuarios puedan
accesar solo a los programas y datos para los que están autorizados.
◦ Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.






1.- Controles
2.- Controles
3.- Controles
Producción
4.- Controles
5.- Controles
6.- Controles
de Preinstalación
de Organización y Planificación
de Sistemas en Desarrollo y
de Procesamiento
de Operación
de uso de Microcomputadores
Control Interno Informático
Auditor Informático
Conocimientos especializados en Tecnología de la Información
Similitudes
Diferencias
Verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la Dirección de Informática y la
Dirección General para los sistemas de información
Análisis de los controles en el día
a día
Análisis de un momento
informático determinado
Informa a la Dirección del
Depatamento de Informática
Informa a la Dirección General
de la Organización
Sólo personal interno
Personal interno y/o externo
El alcance de sus funciones es
únicamente sobre el
Departamento de Infomática
Tiene cobertura sobre todos
los componentes de los
sistemas de información de la
Organización
Descargar

Clase 2: Auditoria de Sistemas: Control Interno Informático