Definición y tipos de Controles Internos

Se puede definir el control interno como "cualquier actividad o acción realizada y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos". Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables.

Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día medida que los sistemas informáticos se vuelven más complejos. Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se les empleaban tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de información.

Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren mecanismos de control, la mayoría de los cuales son automáticos. Históricamente, los objetivos de los controles informáticos se han clasificado de la siguiente manera:

• Controles preventivos: Sirve para tratar de evitar un evento no deseado de todas las áreas de departamento como son: Equipo de cómputo, sistemas, telecomunicaciones. Ejemplo: como un software de seguridad que impida los accesos no autorizados al sistema.
• Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.
• Controles correctivos: Tratan de asegurar que se subsanen todos los errores identificados, mediante los controles preventivos; es decir facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad.

Como el concepto de controles se originó en la profesión de auditoría, resulta importante conocer la relación que existe entre los métodos de control, los objetivos de control y los objetivos de auditoría. Se trata de un tema difícil por el hecho de que, históricamente, cada método de control ha estado asociado unívocamente con un objetivo de control (por ejemplo, la seguridad de archivos de datos se conseguía sencillamente manteniendo la sala de computadoras cerrada con llave).

Sin embargo, a medida que los sistemas informáticos se han vuelto más complejos, los controles informáticos han evolucionado hasta convertirse en procesos integrados en los que se atenúan las diferencias entre las categorías tradicionales de controles informáticos. Por ejemplo, en los actuales sistemas informáticos puede resultar difícil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de métodos de control satisface casi totalmente los tres objetivos de control.

La relación que existe entre los métodos de control y los objetivos de control puede demostrarse mediante el siguiente ejemplo, en el que un mismo conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas:

• Objetivo de Control de mantenimiento: asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas.
• Objetivo de control de seguridad de programas: garantizar que no se pueden efectuar cambios no autorizados en los procedimientos programados.

Control Interno Informático y Auditoría Informática

La evolución de ambas funciones ha sido espectacular durante la última década. Muchos controles internos fueron una vez auditores. De hecho, muchos de los actuales responsables de Control Interno Informático recibieron formación en seguridad informática tras su paso por la formación en auditoría.

Numerosos auditores se pasan al campo de Control Interno Informático debido a la similitud de los objetivos profesionales de control y auditoría, campos análogos que propician una transición natural.

Auditoria Informática

La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoría informática sustenta y confirma la consecuencia de los objetivos tradicionales de la auditoría:

• Objetivos de protección de activos e integridad de datos.
• Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear software de auditoría y otras técnicas asistidas por computadoras.

El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

• Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas, así como en las fases análogas de realización de cambios importantes.
• Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.
• Revisar y juzgar el nivel de eficacia, utilidad; fiabilidad y seguridad de los equipos e información.

Control Interno Informático, Objetivos

El Control Interno Informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y no normas fijados por la Dirección de Informática, así como los requerimientos legales.

La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. Control Interno Informático suele ser un órgano staff de la Dirección de Informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.

Como principal objetivos podemos indicar los siguientes:

• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas.
• Colaborar y apoyar el trabajo de Auditoría Informática, así como las demás auditorías.
• Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informática, lo cual no debe considerarse como que la implantaci6n de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y recursos es responsables de esos niveles, así como de la implantación de los medios de medida adecuados.

Realizar en los diferentes sistemas y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:

• El cumplimiento de procedimiento, normas y controles dictados.
• Controles sobre la producción diaria.
• Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático.
• Controles en las redes de comunicaciones.
• Controles sobre el software de base.
• Controles en los sistemas microinformáticos. 
• Asesorar y transmitir cultura sobre el riesgo informático.

Tipo y uso de los Sistemas de Información

Este tema no es nuevo y pueden encontrar mucha información en libros e internet, lo importante es que va evolucionando y progresando rápidamente en la actualidad, y hay que estar al tanto de su cambio.

La famosa clasificación del Modelo de Pirámide en resumen:
Tenemos los Sistemas Transaccionales, los Sistemas de soporte a la toma de decisiones (DSS) “Decision Support System”, (GDSS) “Group Decision Support System”, (EDSS) “Expert Decision Support System”, (EIS) “Executive Information System”, y (SIS) Strategic Information Systems.

Sistemas Transaccionales.
Son los que logran la automatización de todos sus procesos operáticos, porque su función principal consiste en procesar diversas transacciones.
Sistemas de apoyo a las decisiones.
La información que generan sirve de apoyo a los mandos intermedios y a la alta administración en el proceso de toma de decisiones, mediante la generación y evaluación sistemática de diferentes alternativas o escenarios de decisión.
Sistemas Estratégicos.
Estos se desarrollan en la empresa con la finalidad de lograr ventajas competitivas, a través del uso de las tecnologías de información, debido a que buscan ventajas respecto a los competidores y una forma de hacerlo es innovando o creando productos y procesos.
Ejemplo: Un (MRP) Manaufacturing Resource Planning, enfocado en reducir desperdicios en el proceso productivo.
Sistema de Información Gerencial.
Suministrar a los ejecutivos la información adecuada en el momento oportuno. En este nivel los sistemas de información manejan información estratégica, para permitir que las funciones de planeación, control y operaciones se realicen eficazmente en la organización.

Control Interno Informático

El mundo está cambiando muy rápido, sometiendo a las empresas a la acción de muchas fuerzas externas, como la creciente necesidad de acceder a los mercados mundiales, la consolidación industrial, la intensificación de la competencia y las nuevas tecnologías.
Podríamos mencionar:

• La globalización.

• La diversificación de actividades.

• La eliminación de ramas de negocio no rentables o antiguas.

• La introducción de nuevos productos como respuesta a la competencia.

• Las fusiones y la formación de alianzas estratégicas.

Por estos cambios las empresas deben tomar conciencia para evitar fallos de control significativos, hay que reevaluar y reestructurar sus sistemas de controles internos. Actuar de manera proactiva antes de que surjan los problemas y garantizar a los consejos de administración, accionistas entre otros, de que los controles internos están adecuadamente diseñados para hacer frente a retos del futuro y asegurar su integridad.

En mi experiencia profesional he visto poco esta utilidad, las empresas no se deciden en crear áreas tan importantes como son la de proceso, control interno y auditoría-informática, quizás por no incurrir en el presupuesto de gestión humana, que con el tiempo pierden más por las faltas de creación y supervisión de controles.

La auditoría de informática ha cambiado mucho en los últimos años por el enorme impacto que han venido obrando las técnicas informáticas en la forma de procesar la información a la gerencia.

Esquema de un Sistema de Soporte a la Toma de Decisiones

Un usuario sin tener conocimientos amplios sobre sistemas, puede desarrollar sus propios modelos de decisión, claro está estos modelos son construidos con la ayuda de herramientas de hardware y software.

Esquema de un Sistema de Soporte a la Toma de Decisiones

Evolución de los Sistemas de Información

En los 60 Richard Nolan, conocido autor y profesor de la escuela de Negocios de Harvard, desarrollo una teoría que impacto el proceso de planeación de los recursos y las actividades de la informática. Según Richard y estoy de acuerdo, la informática en las organizaciones evoluciona a través de varias etapas de crecimiento.

• Etapa de inicio.
• Etapa de expansión.
• Etapa de control o formalización.
• Etapa de integración.
• Etapa de administración.
• Etapa de madurez.

Los sistemas de información han evolucionado tanto en su uso con la automatización de los procesos operativos en las organizaciones, como apoyo al nivel operativo, proporcionando información que se use como base para el proceso de toma de decisiones, apoyando a niveles altos y medios, y lógicamente logrando ventajas competitivas a través de su implantación.

Como todos sabemos la tecnología es parte de este desarrollo, porque transforma las empresas y cambia completamente su estructura.

La tecnología de información permite procesar datos en cualquier parte del mundo sin importar su plataforma usada para el procesamiento. La tecnología de información apoya el rediseño de los procesos de negocios. 

Biografia de Richard Nolan:

http://en.wikipedia.org/wiki/Richard_L._Nolan 
http://www.hbs.edu/faculty/Pages/profile.aspx?facId=6524

Fuentes de Riesgos en TI

En continuación con otros temas publicados, comentaba lo importante que es tener una buena gestión de la administración de los riesgos de TI, otros puntos a tomar en cuenta.
 
Aplicaciones:

• Acceso a funciones de procesamiento.

• Ingreso de datos.Operaciones rechazadas o en suspenso.

• Procesamiento.

Función TI/SI: 

• Estructura de la función de TI/SI.

• Modificaciones a los sistemas de información.

• Acceso general.

• Continuidad de las operaciones.

Entre los Riesgos de TI/SI

Para una adecuada gestion de la administracion de riesgos en TI tenemos las Amenazas / Vulnerabilidades divididas entre. 
Tecnológicas:

• Brecha entre la seguridad instalada y lo que se debe asegurar.
• Deficiencias en hardware y software tanto en los sistemas de información como en telecomunicaciones.

Socio técnicas:

• Brecha entre políticas de informáticas y políticas organizaciones/sociales.
• Estos ocurren cuando las normas no son consistentes con las políticas informáticas.

Sociales:

• Brechas entre políticas organizacionales y el comportamiento humano.
• Ocurren cuando las personas no actúan de acuerdo a lo esperado.

Riesgos en TI / SI

• Probabilidad de que un evento pueda ocasionar una pérdida.
• Probabilidad de que un agente de riesgo (causa) explote una vulnerabilidad tecnológica y ocasione un efecto negativo en detrimento de un recurso de TI o de la organización.
• Controles inadecuados o débiles.Riesgo de control.

Si hablamos de los riesgos generales tenemos:
Fraude: 

• Perdida de activos.
• Acciones legales.
• Daños en la imagen.

Interrupción del negocio:

• Perdida de utilidades.
• Perdida de posición competitiva.

Errores en las operaciones:

• Resultados no deseados.
• Decisiones equivocadas.
• Sobrecostos.

No satisfacción del cliente:

• Perdida de utilidades.
• Pérdida de clientes.

Pérdida de Imagen.

• Perdida de negocios.
• Vergüenza pública.

Ineficiencia e inefectividad del uso de recursos:

• Perdida de la habilidad de mantener o aumentar las ventajas competitivas.

Riesgos Informáticos

Es uno de los puntos princuipacles Es importante que toda organización cuente con herramientas que garanticen la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades que participan en el área de tecnología; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.

Una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, dicha información sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:

- La evaluación de los riesgos inherentes a los procesos informáticos.

- La evaluación de las amenazas ó causas de los riesgos.

- La evaluación de los elementos del análisis de riesgos.

- La asignación de responsables a los procesos informáticos.

- Los controles utilizados para minimizar las amenazas a riesgos.

Por mencionar algunos de los principales riesgos informáticos:

- Riesgo de integridad.

- Riesgos de accesos.

- Riesgos de respaldos.

- Riesgos en la infraestructura.

- Riesgos en la continuidad de procesos.

- Riesgos en la eficacia del servicio.

- Riesgos en la eficiencia del servicio.

- Riesgos económicos directos.

- Riesgos en la seguridad lógica.

- Riesgos en la seguridad física.

- Riesgos en la seguridad de las redes.