Actividades de Control
Principio 10 de COSO III: Selecciona y desarrolla actividades de control
Principio 11: Selecciona y desarrolla controles generales sobre tecnología
La organización selecciona y desarrolla actividades de control general sobre la tecnología para apoyar el cumplimiento de los objetivos. Las actividades de control y la tecnología se relacionan de dos formas:
- La tecnología apoya los procesos del negocio: Cuando la tecnología está integrada en los procesos del negocio, se necesitan actividades de control para mitigar el riesgo de un funcionamiento adecuado.
- La tecnología se utiliza para automatizar las actividades de control: Muchas actividades de control de una organización están parcial o completamente automatizadas.
Las actividades de control en los sistemas de información pueden agruparse en dos categorías, Controles generales y controles de aplicación:
Controles generales: Incluyen las actividades de control sobre la infraestructura tecnológica, seguridad de la administración y adquisición, desarrollo y mantenimiento de los sistemas de información y herramientas tecnológicas. Estas actividades se aplican en todos los aspectos relacionados con la tecnología: sobre las operaciones del centro de proceso de datos, la adquisición y mantenimiento de software, el control de acceso y el desarrollo y mantenimiento de aplicaciones. Incluyen las medidas y procedimientos manuales que permiten garantizar el funcionamiento continuo y correcto del sistema de información.
La tecnología requiere de una infraestructura para operar, establecer redes de comunicación, desarrollo de aplicaciones, y demás elementos que puede ser complejos dependiendo las características de la organización. Esta puede ser compartida por las unidades de la entidad, o contratada a proveedores de servicios externos. Dichas características pueden generar riesgos que deben ser entendidos y manejados por la entidad.
Los procesos de seguridad de la administración incluyen las actividades de control para controlar el acceso a la infraestructura tecnológica de la organización, previniendo así accesos y usos no autorizados o inapropiados. Además tienen en cuenta las amenazas tanto internas como externas que pueden afectar a la infraestructura tecnológica.
La adquisición, desarrollo y mantenimiento de tecnologías son soportados por los controles generales de tecnología. Estos supervisan los cambios, autorizaciones, uso de licencias, aprobaciones, con el fin de asegurar un adecuado uso de las tecnologías y sistemas de información. Algunos controles generales son:
- Controles sobre las operaciones del centro de procesamiento de datos: Este control está relacionado con la estructura del centro de procesamiento de datos, determinando responsable del sector, separación de funciones, niveles de autorización. Las normas COBIT complementarias de las COSO, aconsejan la existencia de un comité de sistemas y controles gerenciales sobre el área de procesamiento de datos. El área de sistemas debe estar definida como un sector autónomo que no supervisa ni es supervisado por ninguna de las áreas usuarias.
- Normativas y procedimientos: Pautas o instrucciones básicas que refieren a las buenas prácticas, que son deseables dentro del ambiente de sistemas, estas normas y procedimientos se refieren al desarrollo y mantenimiento de programas, pruebas de programas, pasajes de programas a producción y documentación de sistemas.
- Normas sobre continuidad del procesamiento: Estar normas preservan a la organización ante un posible colapso de los sistemas de información. Controles que están dirigidos al análisis de criticidad de los procesos, biblioteca de operaciones, back up de archivos, plan de contingencias, creación y mantenimiento, capacitación y entrenamiento, y pruebas.
- Proveedores externos: Se deben implementar en la organización los mecanismos necesarios para el control de las aplicaciones que puedan llegar a adquirirse a proveedores externos. Para esto se debe tener en cuenta: contrataciones formales, disposición de programas fuentes, documentación de desarrollo del sistema, acceso irrestricto a sistemas, datos y documentación.
- Controles sobre la seguridad física: Se deben establecer restricciones a la utilización del sistema apersonas no autorizadas. Así como la creación y mantenimiento de condiciones ambientales adecuadas que ayuden al funcionamiento de los medios en que se procesa la información. Para esto se debe tener en cuenta: acceso restringido al área de procesamiento de datos central, instalaciones adecuadas, energía interrumpible, medios de detección y extinción de incendios, y aire acondicionado.
- Controles sobre la seguridad lógica: Controles relacionados con las redes de telecomunicaciones, para proteger al sistema contra el acceso y uso no autorizados, incluso para prevenir la piratería informática. Actividades de control aplicables son: identificación o login, autenticación, autorización, registración. La autenticación o identificación se sustentan en algo conocido, contraseña, algo poseído, tarjeta, clave, algo personal, reconocimiento, firma, huellas dactilares.
Controles de Aplicación: Para asegurar el correcto funcionamiento y la confiabilidad del procesamiento de transacciones el sistema de información debe ser controlado debidamente. Los sistemas de información deben contar son mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas. Con una flexibilidad que permita cambios o modificaciones cuando sea necesario. El sistema debe dar apoyo y controlar todas las actividades de la organización como registrar y supervisar las actividades y eventos que ocurran, además de mantener registros financieros.
Equipo Auditool
Y luego Agregar a la pantalla de inicio.
Escribir un comentario