• Author / Uploaded
• Kelsy I

Citation preview

Control Interno en Tecnología de Información El control interno puede ser aplicado al área de tecnología de información con el fin de ayudar en la evaluación de la eficiencia y eficacia de los sistemas de cómputo y de la gestión administrativa que tiene que ver con el área de informática, es decir con protección de los recursos de información y con el personal y para que la definición se encuentre completa habría que agregar que se debe de apoyar a los objetivos de la empresa. Los objetivos de control en TI El auditor deberá evaluar el nivel de cumplimiento de los objetivos de control en el área de tecnología de información. De acuerdo con Gustavo Solís estos son los objetivos de control en Tecnología de Información: • Preservar atributos de la información: Información generada y almacenada por medios tecnológicos es útil y confiable a la empresa. • Apoyar la protección del patrimonio; La tecnología de información apoyara la protección de bienes e inversiones de la empresa • Proteger la infraestructura tecnológica: Preservar la integridad y funcionalidad protegiendo todos los recursos de infraestructura tecnológica de la empresa • Apoyar la eficiencia operativa: La tecnología de información apoyará la eficiencia de la operación de la empresa • Emplear los recursos de TI adecuadamente: Utilizar la tecnología de información de forma legar, eficiente, efectiva y apoyando a los objetivos institucionales • Brindar apoyo competitivo: Apoyar con tecnología de información la operación y la toma de decisiones para dar soporte competitivo a la empresa • Mantener una cultura informática adecuada: Contar con una cultura informática competitiva de acuerdo con los objetivos del negocio • Mantener una cultura organizacional adecuada: Mantener una cultura organizacional adecuada con el personal de tecnología de información y conforme a la cultura institucional. • Habilitar mecanismos de equilibrio: Utilizar la tecnología de información para mantener el equilibrio interno en respuesta a cambios del medio ambiente. • Mantener la continuidad y consistencia: Apoyar a corto, mediano y largo plazo la operación de la empresa con tecnología de información • Preservar las condiciones de la información: El procesamiento, almacenamiento y generación de información utilizando tecnología de información deberá ser confiable, integro y disponible

El nivel de cumplimiento en cada uno de estos objetivos de control como podemos ver no es suficiente para mostrar lo que está sucediendo en detalle, por lo que se hace necesario especificar el nivel de la evaluación del cumplimiento de estos objetivos. Por ejemplo para lograr preservar atributos de la información será necesario evaluar que la información sea exacta, veraz, completa, así como verificar la protección contra riesgos a los cuales están expuestos los equipos y las instalaciones, también verificar las deficiencias en la transmisión de datos, entre muchos otros elementos. De esta forma se podrá detectar en que punto se encuentra la deficiencia en el cumplimiento. Procedimientos de Control en Tecnología de Información Los procedimientos de control en tecnología de información son los mecanismos que se establecen para que la tecnología de información cumpla con los objetivos de control. Los procedimientos de control se clasifican en controles generales y controles específicos: • Los procedimientos de controles generales no aseguran que el producto o servicio generado sea el adecuado, pero si el procedimiento de control general falla entonces el producto o servicio reflejará esa deficiencia. Los controles generales afectan a todos los procesos y servicios que da el área de tecnología de información. La evaluación de los controles generales puede ser realizada en diferentes formas: la tradicional por áreas o funciones, por procesos o por los elementos de infraestructura que se utilizan. • Áreas o funciones: Dirección de Informática, Administración, Desarrollo, Operación, Soporte y Telecomunicaciones • Procesos Informáticos: Estos pueden ser procesos informáticos sustantivos (son los servicios que presta) se caracterizan por ser repetitivos por ejemplo: Planeación estratégica de sistemas, Desarrollo de sistemas, Mantenimiento de sistemas, Integración de paquetes, entre otros. Procesos de administración informática (administración de sus recursos) no son tan repetitivos como los sustantivos por ejemplo: Dirección, Administración de equipo, Administración de recursos humanos y Administración de recursos financieros. • Elementos de infraestructura: Se clasifican de acuerdo a los recursos por ejemplo: Datos, Aplicaciones, Tecnología, Instalaciones, Recursos Humanos, Elementos de administración, Recursos financieros y Proveedores. • Los procedimientos de controles específicos: A estos también se les conoce como controles de aplicación y de alguna forma aseguran que un sistema específico cumpla con sus objetivos y apoye a los objetivos de la empresa. Los procedimientos de control interno se clasifican en: Controles de acceso, Controles de entrada de datos, Controles de comunicación de datos, Controles de proceso de datos, Controles de salida y distribución, Controles de continuidad entre los más importantes.