manual control interno

MANUAL DE CONTROL INTERNO
Control Interno TI
El control se puede realizar a diferentes niveles. Se requiere un análisis
de interdependencia para evaluar el control de la tecnología de la
información. Por lo tanto, es importante tener un buen conocimiento de la
configuración del sistema, identificar los componentes, productos y
herramientas existentes, identificar dónde se pueden implementar los
controles y para identificar posibles riesgos.
La creación de un sistema de control informático es una responsabilidad
de la Gerencia y un punto destacable de la política en el entorno
informático.
Objetivo general
El establecer controles internos informáticos va encaminado a garantizar
la eficiencia y eficacia en el procesamiento, manejo, almacenamiento de
la información y de aquellos recursos que permitan mejorar el
funcionamiento de la empresa Dislectrick.
Objetivos específicos
1. Establecer como prioridad la seguridad y protección de la información.
2. Promover la confiabilidad, oportunidad y veracidad de la captación de
datos, su procesamiento en el sistema y la emisión de informes en la
empresa.
3. Implementar los métodos, técnicas y procedimientos necesarios para
coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de
los servicios computacionales, para satisfacer los requerimientos de
sistemas en la empresa.
4. Instaurar y hacer cumplir las normas, políticas y procedimientos que
regulen las actividades de sistematización de la empresa.
5. Establecer las acciones necesarias para el adecuado diseño e
implementación de sistemas computarizados, a fin de que permitan
proporcionar eficientemente los servicios de procesamiento de
información en la empresa.
Bitácora de Password
El jefe del Departamento de Informática deberá manejar una bitácora
de password de todo el personal registrado en el sistema.
Procedimientos:
1. El jefe del departamento de informática tendrá un detalle de todos
los password del personal registrado en el sistema, con los cuales podrá
tener acceso en un momento determinado.
2. El jefe del departamento de informática será el encargado de asignar
los passWord al personal que sea requerido.
3. La contraseña deberá contener caracteres alfa y numéricos.
Asignación de Usuario y Password
Cada miembro del departamento de informática tendrá un usuario con
su password, el cual será de identificación y registro para cada operación
realizada.
Procedimientos:
1. Toda operación realizada por el departamento de informática quedará
registradas con el código de identificación del usuario como una firma
digital
2. Establecer un password para cada usuario, el cual deberá estar
compuesto por un número de identificación del equipo.
3. La contraseña se cambiará cada 3 meses, con el propósito de
mantener controles de seguridad de la información almacenada.
Salida de Información
Se deben instalar controles de salida para asegurar la exactitud,
integridad, oportunidad, y distribución correcta de los datos.
Procedimientos:
1) El sistema deberá generar un registro de cómo fue extraída la
información, ya sea a través de reportes impresos, medios de
almacenamiento o previos de pantallas.
2) La salida deberá dirigirse inmediatamente a un área controlada, y esa
distribución solamente se hará entre personas autorizadas.
3) Los totales de controles de salida deberán conciliarse con los totales
de los controles de entrada para asegurar que ningún dato haya sido
modificado, perdido o agregado durante el procesamiento o la
transmisión, en caso de haber irregularidades, es decir, que no cuadren
los totales de control, se aplicarán las sanciones correspondientes, para
evitar futuros errores.
Control de Usuarios
Establecer medidas de control de los usuarios del sistema a través de
un sub-módulo dentro del sistema en la que se puedan verificar las
actividades del personal.
Procedimientos:
1) La gerencia deberá tener acceso a una ventana del sistema en el que
le indique los usuarios que lo están utilizando en un determinado
momento, con el fin de monitorear el tipo de información a la cual se está
accediendo.
2) Monitorear si existen datos compartidos, y que tipo de información se
está distribuyendo a través de la red y quienes son los usuarios.
3) En el caso que existan datos compartidos, entre departamentos que
no tengan ninguna relación directa, se debe verificar qué tipo de
información es y quiénes son los usuarios finales.
Estrategias de Respaldo y Recuperación
Se deberán implementar estrategias de respaldo y recuperación para
sistemas de procesamiento electrónico de datos en línea.
Procedimientos:
1. Deberán elaborarse copias de todas las bases de datos o grandes
porciones de la misma en un medio almacenamiento las cuales servirán
de respaldo.
2. Se crearán bitácoras de registro de entradas, indicadores de tiempo,
fechas, programas y diversos parámetros de modificación realizadas en
el sistema.
Acceso a los Sistemas
El área informática será la única para determinar la identificación,
autenticación y acceso a los sistemas.
Procedimientos:
1. El acceso lógico y el uso de los recursos del sistema debe estar
restringido a personas no autorizadas.
2. Se debe minimizar la cantidad de veces que un usuario autorizado
debe ingresar sus contraseñas.
3. Deben existir mecanismos de acceso que incorporen medidas de
seguridad efectiva, como lo es el cambio regular de contraseñas.
Implementación de la Seguridad Física y Lógica
Es responsabilidad de la gerencia la implementación de la seguridad
física y lógica.
Procedimientos:
1. La gerencia debe asignar formalmente la responsabilidad del
aseguramiento de la seguridad física y lógica de los activos.
2. Se debe crear un procedimiento para nombrar formalmente los
responsables de los datos y sistemas en cuanto a decidir respecto a la
seguridad y acceso a los sistemas.
Plan de organización y realización de operaciones.

La redistribución de funciones que antes se realizaban de forma
independiente comporta un debilitamiento en la consistencia del control
interno, si no se adoptan los oportunos controles compensadores. Para
ello es fundamental una cuidada planificación de la organización, la
distribución de las funciones y la definición de responsabilidades. Los
departamentos de organización e información han de estar debidamente
relacionados dentro del organigrama de la empresa para coordinar
adecuadamente sus funciones.
Es conveniente la definición del sistema de información y de un plan
estratégico de la empresa, que partiendo de los medios actuales
establezca los sucesivos proyectos a emprender, evalúe alternativas y
asigne prioridades, en orden de optimizar la utilización de los recursos
informáticos.
Desarrollo y documentación de aplicaciones.
Deben establecerse documentos y procedimientos normalizados de
análisis y programación que faciliten la realización de las tareas. La
documentación relativa a cada aplicación formará un expediente, que
permitirá su revisión, dando una mayor seguridad y permitirá
independizar la relación de cambios, mantenimiento y perfeccionamiento
de los programas.
El desarrollo de un diccionario de datos es un elemento de gran utilidad
para optimizar el conocimiento y la utilización de la información
elaborada.
Controles propios del equipo (hardware) y de los programas
(software):
el PED lleva incorporados procedimientos intrínsecos de control cuyo
grado de seguridad depende de las especificaciones del propio
fabricante. Los más comunes son:
1. Paridad de bits: control automático de cualquier pérdida de las señales
binarias que componen los caracteres.
2. Doble lectura sucesiva y validación de todos los datos contenidos en
soportes de información antes de iniciar su tratamiento.
3. Registro cronológico de todas las operaciones realizadas por el
ordenador, con indicación de quien se ha ejecutado.
4. Control de secuencia: en los procesos que deben ser realizados
siguiendo un orden secuencial, el programa comprueba su seguimiento.
5. Aviso de sobrecarga: el programa avisa cuando, como consecuencia
de cálculos aritméticos más complejos de lo previsto, el campo reservado
a totales ha resultado insuficiente y el dato de salida es erróneo.
6. Control de archivos: comprobación de que la etiqueta de los archivos
es la adecuada según las instrucciones del programa.
7. Control de registros: ante todo proceso que implica la lectura íntegra
de un fichero, puede disponerse un mecanismo que compruebe que el
número de registros leídos coincida con el de existentes.
Controles de acceso.
Para salvaguardar la integridad de la información y su adecuada
utilización, se limita el acceso del personal a los diferentes elementos del
sistema. Especialmente en los sistemas basados en el empleo de
terminales operados por los propios usuarios debe establecerse un
riguroso cuadro de controles de acceso y de incompatibilidades.
En cada caso hay que limitar el acceso a los archivos de datos, módulos
y bibliotecas de programas, tanto en función de los terminales de que se
trate como del propio personal. Definida las funciones y necesidades de
información de cada empleado o grupo de empleados, se les otorga un
código de identificación o “password”, que el ordenador requerirá ante
cualquier acción que se le solicite.
El acceso a la sala del servidor central suele, igualmente, limitarse a
aquellos empleados que desarrollan labores específicas en las mismas.
Control de datos y procedimientos.
Debe definirse y establecerse una función de control del trabajo del PED,
que alcance a la recepción de datos para su proceso, garantice su
completo tratamiento, efectúe el seguimiento y corrección de los errores
detectados durante el mismo y se responsabilice de la distribución de los
resultados entre los usuarios.
El almacenamiento y rotación de memorias de alto almacenamiento
deben estar perfectamente controlados, tanto en informática como por
procedimientos, mediante etiquetas de identificación, registro de
inventario, documentación de rotación y recuentos físicos.
Periódicamente ha de revisarse el diario de operaciones con el objeto de
detectar acciones no autorizadas.
En los sistemas de cierta dimensión es aconsejable implantar la función
de administrador de datos, al que le incumbe el control de la integridad y
seguridad de la información. Participa en el desarrollo de nuevas
aplicaciones, controla la evolución de los sistemas existentes y revisa la
eficaz organización de las bases de datos.
Seguridad física.
Es importante la adopción de medidas de seguridad en prevención de
accidentes o destrucción intencionada de soportes que pueden ocasionar
un grave quebranto en la empresa. Las precauciones básicas a tal objeto
son:
● Deben mantenerse en otro lugar, duplicados de todos los archivos,
programas y documentación básica.
● Protección contra excesos de humedad, variaciones de temperatura,
caídas de tensión, cortes de suministro, campos magnéticos, actos
delictivos, entre otros.
● Protección contra incendios, inundaciones, desastres naturales, entre
otros.
● Plan de emergencia que prevea las actuaciones básicas y medios
alternativos disponibles ante distintos niveles de sucesos catastróficos.
● Designación de un responsable de seguridad y revisión periódica de la
operatividad de los medios dispuestos.
● Seguro que cubre el riesgo de interrupción del negocio y el costo de
recuperación de datos.
Controles para Auditores
A. El auditor de la empresa u organización de servicios debe preparar la
documentación necesaria que permita a algún auditor experimentado,
que no tenga relación previa con el trabajo, entender:
● La naturaleza, oportunidad y alcance de los procedimientos realizados
para cumplir con esta ISAE y los requerimientos legales y regulatorios
relativos.
● El resultado de los procedimientos realizados, y de la evidencia obtenida.
● Y los asuntos significativos que surgieron durante el trabajo, y las
conclusiones alcanzadas al respecto, así como los juicios profesionales
significativos realizados para llegar a esas conclusiones.
B. Al documentar la naturaleza, la oportunidad y alcance de los
procedimientos realizados, el auditor de la empresa u organización de
servicios debe documentar:
● Las características que identifican a las partidas o asuntos específicos
que están siendo probados.
● Quien realizó el trabajo y la fecha en que se completó dicho trabajo.
● Quien revisó el trabajo realizado, la fecha y alcance de la revisión.
C. Si el auditor de la empresa u organización de servicios llega a tener

conocimiento de incumplimiento con alguna ley o regulación, fraude o
errores no corregidos imputables a la empresa u organización de
servicios, que no sean claramente triviales y puedan afectar a una o más
entidades usuarias, debe determinar dicho asunto ha sido comunicado
apropiadamente a las entidades usuarias afectadas. Si el asunto no ha
sido objeto de dicha comunicación y la empresa u organización de
servicios no está dispuesta a llevar a cabo dicha comunicación, el auditor
de la empresa u organización de servicios debe tomar medidas
adecuadas.

manual control interno

Cargado por

Copyright:

Formatos disponibles

manual control interno

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

manual control interno

Cargado por

Copyright:

Formatos disponibles

MANUAL DE CONTROL INTERNO

Plan de organización y realización de operaciones.

C. Si el auditor de la empresa u organización de servicios llega a tener

También podría gustarte