El documento trata sobre los controles de procesamiento electrónico de datos. Explica que los controles sirven para asignar responsabilidades para proteger los activos de la compañía y garantizar que solo se registren datos correctos y autorizados. Luego describe seis categorías de controles generales para PED, que incluyen controles de administración y organización, desarrollo y mantenimiento de sistemas, equipos y programas, acceso al sistema, datos y procedimientos, y actividades de auditoría interna. Finalmente, discute algunos controles específicos
1. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
EVALUACIÓN DE CONTROLES AL AMBIENTE
DE PROCESAMIENTO ELECTRÓNICO DE
DATOS
2. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Por Medio de los Controles se Asignan
Responsabilidades Para Proteger los Activos de la
Compañía. Para Documentar todas las Transacciones y
garantizar que solamente DATOS CORRECTOS y
AUTORIZADOS sean registrados en la Contabilidad y
para RESTRINGIR el Uso de la Información a las
Necesidades Legítimas de la Organización.
CONTROLES DE
PROCESAMIENTO
ELECTRONICO DE DATOS
3. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
¿Qué objetivos considera usted
deben acompañar un buen
sistema de Control Interno.?
El propósito del S.C.I.
En esencia es Preservar la Existencia de Cualquier Organización y Apoyar
su desarrollo.
Objetivo del S.C.I.:
Contribuir con los resultados esperados en la Organización.
4. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Objetivos Que Deben Acompañar Un
Buen Sistema De Control Interno
Computacional.
• . Detectar y prevenir las transacciones no autorizadas para
ingresar al sistema Informático.
• . Detectar y prevenir en el sistema procesamientos errados.
• . Asegurar la Integridad de los datos y su incorporación a la
Base de Datos de los registros contables definitivos.
• . Proveer en el ambiente computacional la adecuada
segregación de funciones.
5. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Impacto del Procesamiento de Datos en
el Sistema de Control Interno
• Transacciones manuales usualmente respaldadas (Firmas, Sellos).
• En los Sistemas PED, existen un formato legible para el
Computador, y en algunos casos pueden desaparecer a menos que
se cuente con los controles adecuados que documenten
apropiadamente las transacciones.
• Los Rastros de Auditoría pueden ser alteradas.
• Una vez que los Sistemas Computarizados está en Pn. Es muy
costos modificarlo para implantarle controles.
6. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Controles Generales.
Son aquellos que se encuentran en el entorno en el cual se ejecutan el
Desarrollo y las Operaciones de la Aplicación. Son externos a la
aplicación y no dependen de sus características.
(Relacionado con el ambiente de la Aplicación)
Controles Específicos.
Son aquellos relacionados con la captura, entrada y registro de datos en
un sistema informático, así como los relacionados con su procesamiento
cálculo y salida de la información y distribución.
( Particular a cada Aplicación).
7. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
I. CONTROLES DE ADMINISTRACIÓN Y
ORGANIZACIÓN
• Políticas y planes de dirección tecnológica.
• Segregación de Funciones entre el Servicio de información y los
usuarios.
• Manual de Responsabilidades y Procedimientos
• Capacitación y Entrenamiento de Puestos
• Seguridad Física y Lógica
• Plan de Contingencia.
II. DESARROLLO Y MANTENIMIENTO DE
SISTEMAS
• Procedimiento de Desarrollo.
• Control Sobre Mantenimiento.
• Diseño y Prueba de Nuevos Sistemas.
• Documentación de Sistemas.
• Rastros de Auditoría.
• Efectividad y Eficiencia de la Operación.
8. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
III. CONTROLES SOBRE EL EQUIPO Y
LOS PROGRAMAS
• Control sobre cambios al Sistema Operacional.
• Control de Acceso a los Programas Utilitarios.
• Mantenimiento Preventivo.
• Ambiente Físico Apropiado.
• Control Sobre Cambios No Autorizados a Programas.
Control sobre cambios al Sistema Operacional.
Control de Acceso a los Programas Utilitarios.
Mantenimiento Preventivo.
Ambiente Físico Apropiado.
Control Sobre Cambios No Autorizados a Programas.
9. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
CONTROLES GENERALES P.E.D.
V. CONTROLES DE DATOS Y PROCEDIMIENTOS
• Usuarios Verifican Resultados.
• Control Automático de Cierres.
• Informes de Pérdida de Integridad.
• Procedimiento de Reinicio.
• Proced. Claro de Operación De la Aplicación.
IV. CONTROLES DE ACCESO AL SISTEMA
• Acceso a Programas.
• Acceso a Archivos de Datos
• Acceso a Documentación Relacionada
• Acceso al Equipo.
• Acceso a Terminales Remotas.
• Acceso a los Respaldo de Archivos.
10. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
CONTROLES GENERALES P.E.D.
VI. ACTIVIDADES DE AUDITORIA
INTERNA
• Participación en Desarrollo.
• Revisión de Controles Específicos y Generales.
Participación en Desarrollo.
Revisión de Controles Específicos y Generales
11. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
I. CONTROLES DE ADMINISTRACION Y
ORGANIZACION
Deben servir de base para la planificación, control y
evaluación por la Dirección de las actividades del
Departamento de Informática o de todo el Sistema de
Información.
Quien verifique el control
relacionado
con el Sistema P.E.D.,
debe crear su metodología necesaria
para auditar los distintos aspectos o áreas.
12. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
I. Controles De Administración Y Organización
El objetivo de este tipo de controles está diseñado para establecer
un marco de referencia organizacional sobre las actividades del
sistema de información computarizado, incluyendo los siguientes
aspectos:
1.1. Políticas y Planes de Dirección Tecnológica.
Deben ser definidas por parte de la administración, políticas precisas y
procedimientos claros para el logro de objetivos específicos y además
dependiente del tipo de organización crear la administración de la seguridad
o auditoría de sistemas de información.
13. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
P. Planes de D. Tecnológicas.
Planificación:
-. Plan Estratégico de Sistemas de Información.
-. Plan general de seguridad. (física y lógica)
-. Plan de Contingencias.
¿Durante el proceso de planificación se presta adecuada atención al plan
estratégica de la empresa?
¿Revisar la lectura de las actas de sesiones del Comité de Informática
dedicadas a la planificación estratégica?
¿Se consideró la adecuada asignación de recursos, la evolución
tecnológica?.
14. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
P. Planes de D. Tecnológicas.
¿Hay un plan escrito para cambios futuros que se vayan a realizar al
sistema?
¿El estudio de factibilidad técnico está apoyado por un estudio de costos
y beneficios?
1.2. Segregación de funciones entre el servicio de información y los
usuarios.
Este control está basado en el Principio de Auditorìa que recomienda que
una misma persona no debe tener posibilidad de ejecutar todos los pasos
de una Operación; ya que esta acumulación de Funciones dificulta el
control y descarga mucho poder sobre personas que posiblemente no son
las más Idóneas.
15. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Segregación de Funciones en un ambiente P.E.D
En relación con la Adecuada segregación de
Funciones ……
¿Qué aspectos usted podría
considerar en la Evaluación
del Control Interno?:
16. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Segregación de Funciones en un ambiente P.E.D
¿ El Usuario que diseñó el Programa Fuente, tiene Acceso al Programa
Aplicacional ?.
¿ El Digitador de los documentos verifica su propio Trabajo. ?
¿ Están separadas de la operación de computador las funciones de
trabajo y diseño de sistemas y programación.?
¿Está restringido el acceso de los digitadores del computador a los datos
y a la información del programa que no son necesarios para efectuar las
labores que tienen asignadas?.
¿ Los Programas Aplicacionales no distinguen entre varios Niveles de
Usuarios.?.
¿Las Autorizaciones “especiales” para el ingreso de datos en el programa
aplicacional las dá el mismo usuario que digita los datos ?
17. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
¿Los digitadores de los programas aplicacionales hacen uso de las
vacaciones en las fechas establecidas?
¿Se rotan de manera periódica a los digitadores asignados a las diferentes
tareas de los programas aplicacionales?.
Segregación de Funciones en un ambiente P.E.D
• La concentración de las actividades en el Sistema Informático podría
permitir la planificación de un fraude o encubrir cualquier anomalía;
por ello deben intervenir funciones / personas diferentes y existir
controles suficientes.
Se podría concluir..
• Debe existir una definición de funciones y separación suficiente de
tareas.
• No tiene sentido que una misma persona autorice una transacción, la
introduzca, y revise después los resultados.
18. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
1.3. Manual de Responsabilidades y
Procedimientos.
Debe existir una descripción general de los programas aplicacionales
instalados en los computadores, el respectivo manual del usuario:
La organización al formaliza su operación por medio de estos
documentos deberá permitir de alguna manera facilitar la comprensión de
todas sus actividades, por lo tanto se deben documentarse el compendio
de procedimientos y funciones.
• En cuanto a la documentación a ser distribuida debe controlarse,
asegurarse que los documentos sean legibles, fácilmente
identificables y contenga una versión actualizada.
¿Qué aspectos se podrían considerar
en la Evaluación del Control Interno?:
19. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
¿Se determina las responsabilidades de los usuarios del Sistema de
Información en relación con el manejo del Software Aplicacional?
¿Se prepara un manual de procedimientos para la ejecución del
programa aplicacional?
¿Se prepara un documento de instrucciones para el operador del
Computador por cada proceso a ejecutar en el sistema?
¿Son adecuadas las prácticas de documentación (manual del
usuario?. Éstas Incluyen:
-. Descripción de los errores
-. Diagramas de flujo de los procesos a ejecutar en el sistema
-. Configuración de los registros.
-. Datos de prueba
-. Resumen y detalle de los controles
Manual de Procedimientos.
20. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
• ¿Existen manuales de responsabilidades, están escritos, son
conocidos por los usuarios.?
• ¿Está actualizada la documentación?
• ¿Se tiene la información pero no se usa, es incompleta, no está
actualizada, no es la adecuada?
• ¿Se usa, está actualizada, es la adecuada y está completa?
Manual De Procedimientos.
21. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
1.4.- Capacitación Y Entrenamiento De Puestos.
La descripción de puestos está expresada por escrito, presenta claramente la
delegación de autoridad y la asignación de responsabilidades?
¿Hay Personal preparado para asumir las funciones de personas claves en el
área para reemplazarlas de manera eventual.?
Con un debido entrenamiento y capacitación en los diferentes puestos de
trabajo se podría tener una adecuada rotación de personal y estos
reemplazos serían competentes.
¿Hay Perfiles de cargo definidos para los Administradores y personal
que opera el Software Aplicacional ?
¿Se desarrollan Planes de Capacitación en el Dpto. de Sistema.?.
22. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Capacitación y entrenamiento de
Puestos.
¿El personal requerido para el área de desarrollo de sistemas, es
vinculado exclusivamente con base en criterios técnicos y
profesionales?
¿El personal que manejan los equipos de cómputo están
debidamente capacitados para brindar soporte y apoyo a los
usuarios del Sistema Información computacional?
¿Se tienen en vigencia políticas y procedimiento de seguridad tipo
pólizas de seguro para los empleados del área informática?
¿La organización debe propender por aumentar las habilidades de
las personas hasta un nivel donde sepan qué hacer sin recurrir a
procedimientos detalladas o por escrito?
23. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Identifi
cación
y
autenti
cación
del
Usuario
en el
sistema
Las
medida
s
contra
el
fuego
y el
agua, y
otras
similar
La
segurid
ad
física,
la
ubicaci
ón
de los
centros
de
1.5. Seguridad Física Y Lógica
24. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Deberá establecerse si las instalaciones físicas son las adecuadas para
el personal y los equipos de cómputo, si hay reguladores de voltaje,
acondicionadores de línea para regularizar la energía eléctrica,
extintores de incendio, para reducir las pérdidas por deflagración,
puestas en práctica la prohibición de fumar y la existencia de salidas de
evacuación y conocidas por el personal.
Controles de acceso Físicos y Lógicos:
Cada usuario del S.I. pueda acceder a los recursos a que esté
autorizado y realizar sólo las funciones permitidas:
Lectura, Variación, Ejecución, Borrado, Copias ….
Quedan las pistas necesarias para el control de la auditoría, tanto de
accesos producidos como de los recursos más críticos e intentos de
ingresos al Sistema.
Seguridad Física Y Lógica
25. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Seguridad Física y lógica (continuación)
• También es importante verificar el sitio en el cual esta instalado el
computador, la CPU, las unidades de disco, el lugar está
acondicionado de acuerdo a las especificaciones del fabricante
en lo relativo a:
• Temperatura, luminosidad.
Cableado eléctrico y lógico. (tablero eléctrico, strict telefónico)
• Ubicación de extintores, alarmas contra incendios, señales de
evacuación.
Las Instalaciones son adecuados para el Personal y el
Computador ?. Hay Orden y Aseo.. ?. Existen Salidas de
Evacuación..?. Son Conocidas Por...?
26. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Seguridad Física y lógica
Las amenazas pueden ser muy diversas:
Sabotaje, vandalismo, terrorismo, incendios, inundaciones, averías
importantes, derrumbamientos, explosiones, asì como otros que
afectan a las personas y pueden impactar el funcionamiento de los
centros, tales como errores, negligencias, huelgas, otros.
Protección de los soportes magnéticos en cuanto acceso,
almacenamiento y posible transporte, además de otras protecciones
no físicas, todo bajo un sistema de inventario, así como protección
de documentos impresos y de cualquier tipo de documentación
clasificada.
27. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Seguridad física y lógica
La seguridad lógica, como el
control de accesos
a la información exigiendo
la identificación
y autenticación del usuario,
o el cifrado de soportes
magnéticos
intercambiados entre entidades
o de respaldo interno,
o de información transmitida
por línea.
Entre éstas pueden estar la realización de la firma con
reconocimiento automático por ordenador, el análisis del fondo de
ojo, la huella u otras.
28. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Seguridad física y lógica
La autenticación suele ser mediante contraseña, si bien sería
más lógico, aunque los costes resultan aún altos para la mayoría
de sistemas, que se pudiera combinar con características
biométricas del usuario, para impedir la suplantación.
En general permiten reforzar las claves de seguridad o las
tarjetas por medio de características personales únicas como:
• Las huellas dactilares
• Los capilares de la retina
• Las secreciones de la piel. El ácido
desoxirribonucleico (ADN)
• Las variaciones de la voz o los
ritmos de tecleado.
29. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Seguridad Física y Lógica
¿Se han diseñado políticas de seguridad informática, en el área de
desarrollo de sistemas?
¿Las políticas de seguridad se fundamentan en estudios de
análisis de riesgos técnicamente diseñados?
¿El sistema de seguridad contempla una vigorosa función de
control de calidad, en el desarrollo de Software?.
¿Se identifican y se autentican los usuarios en el sistema?
¿Quién asigna la contraseña: inicial y sucesivas?
¿Las contraseñas están cifradas y bajo qué sistemas?
30. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
1.6. PLAN DE CONTINGENCIAS
Se tiene un Plan que le Permita Reaccionar Rápidamente después
de una Eventualidad.(Catástrofe)? Si lo tiene se han hecho pruebas
periódicas a ese Plan..?
¿Hay Centro de Cómputo Alterno.?-. Para respaldar la operación...
¿Los Backups han sido probados por Auditoría..?
• . Archivos de datos en
Medios Magnéticos
• . Programas de Computador
en Medios Magnéticos.
• . Documentación de
Sistemas y de Usuarios
31. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Plan de Contingencias
¿Ha emitido y distribuido la empresa políticas o normas dirigidas al plan
de contingencias?.
¿Se mantiene una estrategia corporativa en el plan?
¿Proporciona el Centro alternativo suficiente capacidad?
¿Cuándo fue la última vez que se probó el Centro Alternativa?
¿Cómo está estructurado el plan de contingencias?
¿Cómo se activa el plan de contingencias ante un desastre?
¿Quién es el responsable de actualizar el plan de contingencias?
Control de Instrumentos negociables y de Valor.
Se ha considerado un estricto control sobre Documentos que son de
valor, como facturas, cheques, Etc....?
32. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Plan de Contingencias
El plan de contingencia debe:
• Realizar un análisis de riesgos de los sistemas
• Establecer un período crítico de recuperación en el cual los procesos
deben ser reanudados antes de sufrir pérdidas significativas o
irrecuperables.
• Realizar un análisis de aplicaciones críticas.
• Establecer objetivos de recuperación que determinen el período de
tiempo.
Seguros
Está protegida la Empresa con Seguros que Cubran Riesgos a los que
se exponen su Personal y sus Activos. Como Incendios, Etc.?. Qué
Tipo de Coberturas tiene las pólizas?.
33. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
II. CONTROLES SOBRE EL DESARROLLO DE
PROGRAMAS Y SU DOCUMENTACIÓN.
1.Procedimientos de desarrollo.
• Hay metodología de desarrollo de proyectos de Sistemas
Informáticos.?
• La metodología que utilizan es la apropiada..? El personal de Sistemas
la sigue...
• Participan activamente los usuarios de las aplicaciones en su
Desarrollo?
• Existe un mecanismo para la adquisición y homologación de cualquier
nuevo producto software usado en el desarrollo?.
34. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Controles Sobre El Desarrollo De Programas Y Su Documentación.
3.Delineamientos para el nuevo Sistema.
Se han definido los elementos que configuran el entorno tecnológico
para el proyecto -.Servidores, ordenadores personales, periféricos,
sistemas operativos, conexiones de red, protocolos de comunicación,
sistemas gestores de base de datos, compiladores, herramientas
CASE-.
• El sistema interactúa correctamente con el entorno y de las
interfaces con otros programas.
• Los módulos se diseñan para poder ser usado por otras aplicaciones
si fuera necesario.
• El tamaño de los módulos es adecuado.
• Se han detallado las interfaces de los datos y control con otros
módulos.
35. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Controles Sobre El Desarrollo De Programas Y Su Documentación.
4. Prueba para las aplicaciones en Desarrollo.
• Las pruebas se realizan y permiten verificar si el sistema cumple las
especificaciones funcionales.
• El sistema interactúa correctamente con el entorno y de las interfaces
con otros programas.
• Existen procedimientos de pruebas para las aplicaciones recién
desarrolladas.?
• Los Usuarios Finales de la aplicación realizan las pruebas globales de
calidad antes de su Implantación. ?
• La Auditoría hace sus propias pruebas ?.
• Se hace un Plan detallado de Implantación antes de poner a
Funcionamiento las Aplicaciones ?.
36. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Controles Sobre El Desarrollo De Programas Y Su Documentación.
Paralelos: Cuando Hay Procesos de Conversión de Datos
de un sistema antiguo a uno nuevo se emiten informes
antes y después del proceso y se hace en forma paralela
con la nueva aplicación?.
4.- Documentación De Sistemas.
• Se han documentado todas las actividades físicas que debe realizar
el sistema.
• Se documenta cada módulo de la Aplicación.?
• Se hacen gráficos de diseño de los archivos maestros y sus
interrelaciones?
• Hay Documentación sobre la estructura de las bases de datos.?
• Hay un Diccionario de Archivos, Programas y Variables.?
37. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Controles Sobre el Desarrollo de programas y su documentación
5.Rastros De Auditoria
En las Aplicaciones se acostumbra a dejar registros de las
Transacciones Realizadas..? Quién y Cuando actualizó un dato?
Ej.. Las Situaciones Excepcionales o que rompen la norma, necesitan
una autorización especial.
• Las excepciones se autorizan previamente.
• El control de Acceso deja huella de Auditoría.?
• Se Imprimen Periódicamente estos Informes.? Se revisan estos
Informes, Quién..?
• El Log`s es revisado periódicamente.? Deja información relativa a:
Código del usuario, Operaciones realizadas en la red.
Tiempo de conexión, equipos conectados.
Accesos infructuosos a la red.
38. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
Controles de Desarrollo Y Mantenimiento De Sistemas
6.- Efectividad Y Eficiencia De Las Operaciones.
Generalmente se alcanzan los propósitos operativos de la Compañía,
como despachos oportunos, gestión de recaudos de cartera, control de
inventarios, etc.?
Los Procesos Automatizados son realmente mas eficientes que los
Procesos Manuales.
• El desarrollo de los Proyectos debe tener objetivos concretos, como:
• . Disminuir el Tiempo de Pedidos a Clientes.
• . Minimizar el Nivel de Inventarios Promedio.
• . Optimizar el Costo de las Empresas.
(Costo / Beneficio)...Limitaciones del control Interno: El establecimiento
de Controles de Costos debe guardar una relación adecuada con la
probabilidad de ocurrencia o materialización de un Riesgo.( Esto varía
con la Determinación de cada Organización.)
39. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
III. CONTROL SOBRE LOS PROGRAMAS Y LOS
EQUIPOS
1.- Cambios al Sistema Operacional.
El S.O. Es la parte del Software más importante que viene con la máquina.
La Actualización de Versión debe ser Ejecutada por Personal Capacitado.
El SO permite soportar el SGBD en cuanto a control de memoria, gestión de
áreas de almacenamiento, manejo de errores, mecanismos de interbloqueo.
2.- Acceso a los Programas Utilitarios.
Los utilitarios son programas muy poderosos que permiten en algunos
casos, manejar los recursos del Computador, la memoria, el disco, las
impresoras, el sistema operacional y otros manipular directamente los
archivos de datos o los programas de aplicación, por ello estos programas
deben estar restringidos a personal no autorizado.
• Se puede listar fácilmente el LOG obligatorio de Acceso..? .
• Utiliza con frecuencia el programa de consulta a las bases de datos.?
40. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
3.- Mantenimiento de Hardware y Software
Existe y/o hay una Póliza de Mantenimiento Preventivo que cubra los
equipos en caso de presentar fallas..? - Asi no existan fallas, debe haber
mantenimiento preventivo.
• El Administrador de Centro de Cómputo mantiene un libro donde
registra las fallas de los equipos.?, la Atención es oportuna.
• En la compra del Computador este aspecto se estuvo en cuenta.
• Hay Procedimientos claros sobre las labores de mantenimiento
preventivo y correctivo de los programas.?
• El mantenimiento es oportuno y de buena calidad.
• Existen políticas de seguridad, uso y administración de los equipos de
cómputo.
• Existe un cronograma para el mantenimiento de los equipos?t
41. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
3.- Mantenimiento de Hardware y Software.
• Existe un cronograma para el mantenimiento de los equipos?
• El cubrimiento de las pólizas es total?
• Se Actualiza la documentación después del Mantenimiento.?
• Se consideró los aspectos documentales en cuanto a evaluar y aprobar
la petición de cambio.
• Se Informa a los Usuarios Sobre los Cambios que se han instalado en
una aplicación.?
• Quién autoriza los cambios en una aplicación..?
• Se realizó una revisión de aceptación final para asegurar que toda la
arquitectura software fue actualizada y aprobada y se procedió a los
cambios adecuadamente.
42. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
4.- Ambiente Físico Apropiado de los equipos.
El Sitio en el cuál está Instalado el Computador, la CPU, Las Unidades de
Disco, están acondicionadas según las especificaciones del fabricante en
lo relativo a: Temperatura, Humedad Relativa, Luz.?,¿ Los cables están en
Completo Orden..?;¿ Hay Extintores, Alarmas contra Incendios, Señales
de Evacuación..?,¿ Hay Tableros Eléctricos ?.
5.-Cambios No Autorizados A Programas.
Las modificaciones que hacen los programas al Software de aplicaciones
deben ser Autorizadas por el Director de Proyectos de su área y deben
documentarse en forma inmediata.
Están previamente autorizadas las modificaciones que hacen los
programadores al Software de Aplicación.? Si no se hace,..... .se estaría
corriendo el Riesgo de Fraudes por alteraciones en los programas de
Computador.
El Auditor debe verificar que los programas de la libraría fuente son los
mismos instalados en la librería de Producción.
43. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
IV. CONTROLES DE ACCESO
1.-ACCESO A LOS PROGRAMAS EN PRODUCCION.
Como Medida de Seguridad se recomienda separar los programas
fuentes de los programas compilados en librerías diferentes. Es decir:
Separar los Ambientes de Producción con los de Desarrollo. Los
Programadores no deben tener acceso a los programas en producción.
¿ Se cuenta con un ambiente de Desarrollo en el cual actúan los
Programadores y un Ambiente de Producción en el que trabajan los
usuarios directos de la aplicación.
Este tipo de controles sirven para detectar y/o prevenir errores
accidentales o deliberados, causados por el uso o la manipulación
inadecuada de los archivos de datos y por el uso incorrecto o no
autorizado de los programas.
44. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
¿ Los programadores tienen acceso directo a la librería de Producción.?
Están Autorizados en el Log del sistema? Riesgo: Podrían Ejecutar los
Programas de la Aplicación y Altera la Información.
Se recomienda tener un Computador por ambiente (Desarrollo -
Producción). Especialmente cuando el lenguaje del Computador se basa
en un interpretador, por que es posible que se interrumpa la ejecución
de un proceso y se altere alguna de las instrucciones.
2.- ACCESO A LOS ARCHIVOS DE DATOS.
La Integridad de los datos es fundamental debido a que la información es
vital para la toma de decisiones. Se deben proteger los datos - Información
sensible y Valiosa. (Activos como Efectivo - Mercancías). Por eso se deben
establecer mecanismos que protejan los datos de posibles alteraciones o
de fugas de información, Por Ejemplo:Los Costos de Producción Le
Interesan a la Competencia.
45. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
• Dispositivos de control de contraseñas y verificación del usuario
• Cambio obligado de contraseñas.
• Restringir el acceso a la Documentación de programas fuentes
• Auto-Logout, mecanismos automáticos de salidas del sistema
• Firma digita
• Codificación de datos - Encriptar datos Susceptibles de Alteración
• Controlar el Uso de las Unidades de Copia en Cinta
• El Sistema de Seguridad “LOG” puede servir de prevención
• Utilizar Campos de Chequeo de Integridad dentro de los Registros.
• Asignar Niveles de Acceso – perfiles de Usuarios a Datos Críticos.
2.1. METODOS PARA PROTEGER LOS
DATOS
46. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
3.- ACCESO A LA DOCUMENTACION RELACIONADA.
La Documentación escrita facilita las tareas de Mantenimiento de los
Sistemas, pero debe conservarse en un lugar con acceso restringido por
que puede ser utilizada para penetrar nuestro sistema de seguridad.
Otro Riesgo: La Destrucción de la Documentación .
4.- ACCESO A LOS EQUIPOS.
A un Posible Infractor, hay que ponerle todas las trabas que se
justifiquen, para disuadirlo de sus intenciones. Uno de estos controles es
restringir el acceso a las instalaciones al personal no autorizado.
Señalemos algunos controles, Físicos:(Guardas, Cerraduras,
Cámaras de Video, Léctores de Tarjetas); Software(Claves de
Entrada, Huellas Digitales, Biométricosde Mano, Retina de Ojo)
Recuerde, no siempre los Riesgos son de Fraude, pueden
presentarse cosas peores como: Sabotaje o el Robo de
Información Confidencial.
47. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
5.- ACCESO POR TELECOMUNICACIONES.
Los Sistemas distribuidos generalmente tienen usuarios en diferentes
lugares geográficos por ello se usan cada día más la
telecomunicaciones para integrarlos a la operación de la Aplicación.
TECNICAS DE CONTROL: Claves Especiales por Terminal; Horarios
Fijos de Trabajo Fijos; Monitoreo permanente.
6.- ACCESO A RESPALDO DE ARCHIVOS.
Las Cintas y Discos magnéticos que se utilizan para respaldo o backup
de la información y los programas deben estar debidamente protegidos.
La Auditoría debe realizar chequeos periódicos del contenido de estos
respaldos. Recordar que los Respaldos en cintas son un elemento
fundamental de cualquier plan de contingencias.
48. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
V. CONTROLES SOBRE LOS PROCEDIMIENTOS Y
LOS DATOS.
1.- USUARIOS VERIFICAN LOS RESULTADOS.
Los usuarios son las personas que más conocen acerca del origen y el
proceso de sus datos por lo tanto son ellos quienes deben verificar su
validez.
2.- CONTROL AUTOMATICO DE CIERRES.
Los cierres de periodo son procesos que generalmente constan de
varias etapas que se deben cumplir secuencialmente, por ello es
recomendable utilizar tablas de control de los procesos que permiten
verificar automáticamente que la etapa previa al paso actual fue ejecuta
exitosamente.
49. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
3.- INFORMES DE PERDIDA DE INTEGRIDAD.
Cuando los datos nos son consistentes se debe contar con un reporte
que saque a flote los problemas.
4.- PROCEDIMIENTOS DE REINICIO.
Son técnicas de recuperación de los procesos cuando estos han sido
interrumpidos. Consiste en Identificar con precisión el punto en que se
presentó la interrupción y continuar con lo que quedó Pendiente.
5.- PROCEDIMIENTO DE OPERACIÓN DE APLICACIONES.
Toda aplicación debe contar con un procedimiento escrito de operación
elaborado por el encargado del área usuaria.
El Procedimiento debe contener instrucciones claras para el operador de
la aplicación.
50. 05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
05/20/09 Prof.Omar Javier Solano R.- Univalle-
Seminario Controles PED.
VI. ACTIVIDADES DE AUDITORIA INTERNA
1.- PARTICIPACION EN DESARROLLO.
La Auditoría debe participar en el desarrollo de todas las aplicaciones
computarizadas. Son Funciones:
• Asesorar en el diseño de controles específicos.
• Definir los requerimientos de Información para su dpto. y velar por el
cumplimiento de las políticas y procedimientos de la CIA en el
desarrollo e instalación de sistemas computarizados.
2.- REVISION DE CONTROLES ESPECIFICOS Y
GENERALES
El Departamento de Auditoría tiene personal capacitado para efectuar
periódicamente evaluaciones de los controles y seguridades que afecten
una aplicación.