lunes, 29 de julio de 2013

Definición y tipos de Controles Internos

Se puede definir el control interno como "cualquier actividad o acción realizada y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos". Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables.

Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día medida que los sistemas informáticos se vuelven más complejos. Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se les empleaban tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de información.

Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren mecanismos de control, la mayoría de los cuales son automáticos. Históricamente, los objetivos de los controles informáticos se han clasificado de la siguiente manera:
  • Controles preventivos: Sirve para tratar de evitar un evento no deseado de todas las áreas de departamento como son: Equipo de cómputo, sistemas, telecomunicaciones. Ejemplo: como un software de seguridad que impida los accesos no autorizados al sistema.
  • Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.
  • Controles correctivos: Tratan de asegurar que se subsanen todos los errores identificados, mediante los controles preventivos; es decir facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad.
Como el concepto de controles se originó en la profesión de auditoría, resulta importante conocer la relación que existe entre los métodos de control, los objetivos de control y los objetivos de auditoría. Se trata de un tema difícil por el hecho de que, históricamente, cada método de control ha estado asociado unívocamente con un objetivo de control (por ejemplo, la seguridad de archivos de datos se conseguía sencillamente manteniendo la sala de computadoras cerrada con llave).

Sin embargo, a medida que los sistemas informáticos se han vuelto más complejos, los controles informáticos han evolucionado hasta convertirse en procesos integrados en los que se atenúan las diferencias entre las categorías tradicionales de controles informáticos. Por ejemplo, en los actuales sistemas informáticos puede resultar difícil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de métodos de control satisface casi totalmente los tres objetivos de control.

La relación que existe entre los métodos de control y los objetivos de control puede demostrarse mediante el siguiente ejemplo, en el que un mismo conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas:
  • Objetivo de Control de mantenimiento: asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas.
  • Objetivo de control de seguridad de programas: garantizar que no se pueden efectuar cambios no autorizados en los procedimientos programados.
Publicadas por a la/s
Etiquetas: