Controles de Tecnología Informática

Controles de Implementación Los controles de implementación son diseñados para asegurar que, para nuevos sistemas o mejoras importantes, los procedimientos programados son apropiadamente diseñados, probados, autorizados e implementados.

Controles de Implementación Los procedimientos relacionados con desarrollos de nuevos sistemas son: · Administración del desarrollo de sistemas · Diseño de sistemas y preparación de programas · Prueba de programas y sistemas · Catalogación

Controles de Mantenimiento Los controles de mantenimiento intentan asegurar que los cambios a procedimientos programados y/o de control son apropiadamente diseñados, probados, autorizados e implementados.

Mantenimiento · Administración de los cambios al sistema · Prueba de programas · Catalogación

Efectividad de la Prueba · Naturaleza de la modificación · Diseño y alcance de la prueba · Participación de los usuarios · Aprobación de los usuarios de los resultados de las pruebas · Participación de la gerencia de sistemas

Objetivos de los controles en la operación del computador · Uso de las versiones correctas de los archivos. · Recupero de procesos en caso de fallas. · Los procedimientos programados autorizados son aplicados consistentemente.

Controles en la operación del computador · Scheduling (equipos poderosos - maiframe) · Preparación del JCL y ejecución · Uso de los archivos correctos · Monitoreo de la actividad · Procedimientos de back-up y recupero de datos

Scheduling · Implica el mantenimiento de un log de la secuencia de los trabajos que están siendo ejecutados. · Que archivos se van a usar. · Información de la ejecución de los trabajos es registrada en el log y comparada con el schedule. · Scheduling automatizado a través de un paquete, el apropiado uso de un paquete puede reducir el riesgo de que ocurran errores.

Uso de los archivos correctos · Existen varios elementos de control automatizados o manuales que pueden asegurar que las versiones correctas de los archivos están siendo usadas. · El JCL controla la ejecución de un JOB especificando que archivos serán usados. · La preocupación del auditor es averiguar si una vez que el JOB ha sido implementado, sus cambios son adecuadamente controlados.

Monitoreando la Actividad · Actividades y funciones efectuadas por los operadores · Uso de utilitarios · Log de actividad del sistema, sus operadores y usuarios

Back-up y recuperación datos Los procedimientos incluyen: · Back-up y almacenamiento de los archivos maestros (on-side y off-side) · Mantener un registro de la actividad de transacciones · Instrucciones fácilmente accesibles para recuperar fallas de los sistemas · Emisión de reportes de incidentes para ser revisados y aprobados por los usuarios

Seguridad de los Programas Los controles sobre la seguridad de los programas son aquellos que previenen o detectan cambios no autorizados a los programas de aplicación o utilitarios que procesan datos.

Seguridad de los Archivos de Datos Los controles sobre la seguridad de los archivos de datos son aquellos que previenen o detectan accesos o cambios no autorizados a los datos o la iniciación de transacciones no autorizadas.

Seguridad de Archivos y Programas · Software de control de accesos · Controles de acceso físicos · División de tareas

Software del Sistema · Sistemas operativos · Administrador de la base de datos · Telecomunicaciones · Software de seguridad · Manejo de librerías

¿Cómo instrumentarlos? · User-id · Password · Menú obligatorio · Programa Inicial · Comandos · Bibliotecas · Archivos

Atributos de las contraseñas · Rotación · Longitud mínima · Caracteres adyacentes · Secuencia · Repetición · Normas de Construcción · Encriptación

Controles sobre la conversión de archivos Son controles diseñados para asegurar que el proceso de conversión no producirá errores en los archivos de datos que puedan resultar en errores materiales.

Conversión de archivos · Transferencia de datos estáticos. · Transferencia de datos transaccionales. · Preparación de nuevos datos.

Controles en las Aplicaciones

Totalidad del ingreso Totalidad de la actualización Exactitud del ingreso Exactitud de la actualización Información generada por el computador Mantenimiento de la información en los archivos Procedimientos de calculo, resumen y clasificación Seguridad de sistemas en línea Controles en las aplicaciones

Totalidad del ingreso Los controles están diseñados para asegurar que: todas las transacciones son registradas inicialmente ingresadas al computador aceptadas por el computador y que cada transacción es procesada solo una vez

Totalidad del ingreso TECNICAS DE CONTROL Control de la secuencia numérica de documentos prenumerados. Apareo con información procesada previamente. conciliación de totales de lote. control detallado de listados de salida (control uno por uno).

Totalidad del ingreso CONTROL DETALLADO DE LISTADOS DE SALIDA (CONTROL UNO POR UNO) Copia retenida del documento fuente. Verificación manual y detallada entre listado y copia documento fuente. El mejor control, pero el mas costoso. Utilizable para transacciones importantes y de poco volumen, por ejemplo: Actualización de información permanente Ajuste de información clave Rechazos reingresados

Totalidad del ingreso TIPOS DE TOTALES DE LOTE Cantidad de documentos Cantidad de líneas o ítems Total de valores Totales “hash” En sistemas en línea el control de totales es por Documento

Totalidad del ingreso RECHAZOS Los procedimientos manuales deben asegurar: Investigación inmediata, corrección y reingreso al proceso Totales de control ajustados Evidencia suficiente para revisión Es necesario emitir y mantener: Informe impreso Archivo transitorio Registro para seguimiento de rechazos

Totalidad de la Actualización OBJETIVOS Los controles deben asegurar que: Todas las transacciones son totalmente procesadas en los pasos intermedios y grabadas en los archivos adecuados.

Totalidad de la Actualización TECNICAS DE CONTROL Similares a las utilizadas para control de la totalidad del ingreso: Control de listados de salida (control uno por uno). Totales de lotes. Totales de control (cantidad, importes y corrida a corrida).

Totalidad de la Actualización TECNICAS DE CONTROL Para sistemas en línea: Seguridad en las comunicaciones Validación y actualización simultánea Reproceso batch de la actualización de archivos. Estas técnicas se apoyan en la evaluación de los controles de integridad.

Exactitud del Ingreso OBJETIVOS Los controles están diseñados para asegurar que: Los errores en los campos de información se detectan cuando las transacciones son: Registradas inicialmente Convertidas a medios de ingreso al computador (sistemas batch) Ingresadas al computador Son controles sobre los campos de información (cantidades, fechas, Referencias) no sobre documentos.

Exactitud del Ingreso TECNICAS DE CONTROL Las mismas utilizadas para la totalidad del ingreso. Controles programados de validación o edición. Información preimpresa.

Exactitud del Ingreso TECNICAS DE CONTROL Revisión del listado de salida (control uno por uno) tarea manual sobre información importante y de poco volumen. Conciliación de totales de lote (sistema batch). Conciliación de totales por documento (sistema en línea). Solo para los campos incluidos en los totales. Pareoo con información procesada previamente.

Exactitud del Ingreso TECNICAS DE CONTROL Controles programados de validación o edición: Razonabilidad Doble comparación Dependencia Formato Existencia

Exactitud del Ingreso Información preimpresa sobre formularios: Números correlativos utilizados en el control de secuencia numérica. Códigos en caracteres ópticos o magnéticos, por ejemplo cheques, facturas de servicios, documentos de salida. Indicadores del tipo de transacción que identifica los diferentes tipos de documentos. Indicadores de departamentos, sucursales, sobre los documentos.

Exactitud de la Actualización OBJETIVOS Los controles diseñados deben asegurar que: Las transacciones aceptadas actualizan exactamente los archivos adecuados.

Exactitud de la Actualización TECNICAS DE CONTROL Revisión de listados de salida (control uno por uno). Totales de control. Estas técnicas se apoyan en: Los controles de integridad sobre los medios de archivo, por ejemplo: Registro del contenido Registro de versiones Controles por software (Fechas, rótulos, etc...) Los controles de integridad en los sistemas en línea.

Autorización de la Información OBJETIVOS Deben diseñarse e implementarse controles que aseguren que, solamente aquellas transacciones que son correctas y han ocurrido de acuerdo con la intención del usuario son procesadas por el computador.

Autorización de la Información La información es autorizada normalmente en el momento que se introduce por primera vez al sistema. No es común autorizarla en el momento que es utilizada. En sistemas en línea la autorización esta vinculada con los controles de acceso a terminales y archivos.

Autorización Manual Efectiva SISTEMA BATCH Realizada sobre los documentos después que se ha establecido un total de control o controlada después que se ha establecido un total de control o controlada después del proceso. SISTEMA EN LINEA Realizada sobre los documentos antes de ser ingresados por la terminal o controlada después del proceso.

Autorización automática La información ingresada es verificada y aceptada en base a cierta autorización predeterminada. Bajo ciertas condiciones se genera información de salida.

Autorización selectiva Luego de la autorización automática interviene un nivel de decisión superior.

Autorización de la Información RECHAZOS Pueden permitir cambios no autorizados a la información previamente autorizada. Aconsejable nueva autorización de las correcciones.

Información Generada por el Computador Las aplicaciones pueden generar información, en forma programada o por excepción, cuando: Al procesar una transacción se cumplen condiciones determinadas Por medio de entradas o parámetros se solicita su emisión, por ejemplo: materiales bajo stock mínimo, operaciones vencidas al dd/mm/aa.

Información Generada por el Computador Los controles sobre la generación de información deben asegurar su totalidad, exactitud y actualización. OBJETIVOS

Información Generada por el Computador Generación de información desde otros archivos en base a rutinas de cálculo Maestro decalculo deintereses Prestamosintereses devengados MaestroCalculo depedidos de precios Preciosvalorizados CALCULO

Información Generada por el Computador Acumulación de los valores de las transacciones de un archivo para generar totales. RESUMEN

Procedimientos de Cálculo, Resumen y Clasificación TECNICAS DE CONTROL Totales de control en listados de salida (control cruzado con otras salidas). Revisión de listados de salida (con impresión de datos completos para control uno por uno). Controles para el desarrollo y mantenimiento de programas. Controles de integridad en el centro de cómputos.

Mantenimiento de la Información Conciliación de los totales de archivo mediante: Cuentas de control Registro de control en el archivo Comparación con otro archivo. Comparación de versiones de un mismo archivo. Informes por excepción. Revisión manual de vuelcos cíclicos del contenido. Controles de seguridad e integridad de archivos. TECNICAS

Mantenimiento de la Información Cantidades o importes negativos o en cero (stock, precios, saldos). Comparación de valores (costo vs. precio de venta). Registros sin movimientos (artículos, cuentas, etc...). Variaciones significativas en el valor actual y anterior (precios, saldos, sueldos). INFORMES POR EXCEPCION

Seguridad en Sistemas en Línea Identificación de usuario Password Menú (obligatorio: si o no) Biblioteca Ayudas Responsable de seguridad

Protección de archivo y bibliotecas: Nombre del archivo Archivo principal o padre Acceso por omisión y acceso por usuario : O.Propietario C. Cambio U.Actualización N. Sin acceso R.Lectura E. Ejecución Seguridad en Sistemas en Línea