Ambiente de Control y Ambiente de Controles Generales de TI


En el ámbito de Auditorías TI, es recomendable entender algunas de las siguientes definiciones generalmente aceptadas a nivel mundial:


Ambiente de Control: El ambiente de control incluye las funciones de dirección y administración y las actitudes, concientización y acciones de los encargados de la dirección de la entidad y la gerencia sobre el control interno de la entidad y su importacia en la misma. El ambiente de control es un componenete de control interno.

Ambiente de Controles Generales de TI: Un ambiente de controles generales de TI es un ambiente de procesamiento en particular que comparte un conjunto común de políticas y procedimientos de controles generales de TI para respaldar el funcionamiento efectivo de los controles relevantes de aplicación.

Control Interno: El control interno es el proceso diseñado, implementado y mantenido por los encargados de la dirección de una entidad, la gerencia u otro personal para proveer una certeza razonable sobre el logro de los objetivos de la entidad con respecto a la confiabilidad de la emisión de informes financieros, la efectividad y la eficiencia de las operaciones, y el cumplimiento de las leyes y regulaciones aplicables. [NIA 315.4(c)].

Controles genereales de TI: Los controles generales de TI son políticas y procedimientos que corresponden a muchas aplicaciones y respaldan el funcionamiento efectivo de los controles de aplicación al ayudar a determinar la operación correcta continuada de los sistemas de información [NIA 315.A96].

Los controles generales de TI aplican a los ambientes de equipos principales, equipos secundarios y usuarios finales. Los controles generales de TI que mantienen la integridad de la información y la seguridad de los datos normalmente incluyen controles sobre lo siguiente: [NIA 315.A96]

  • El acceso a programas y datos
  • Los cambios a programas
  • El desarrollo de programas
  • Las operaciones computarizadas
Controles de Acceso: Los controles de acceso son procedimientos designados para restringir el acceso a equipos terminales, programas y datos en línea. Los controles de acceso consisten en "autenticación de usuarios" y "autorización de usuarios". La "autenticación de usuarios" normalmente intenta identificar a un usuario por medio de identificaciones, contraseñas, tarjetas de acceso o datos biométricos exclusivos de conexión. La "autorización de usuarios" consiste en reglas de acceso para determinar los recursos de computadora a los que cada usuario puede acceder. Específicamente, esos procedimientos están diseñados para prevenir o detectar:


a. el acceso no autorizado a equipos terminales, programas y datos en línea.
b. la entrada de transacciones no autorizadas
c. los cambios no autorizados a los archivos de datos
d. el uso de programas computarizados por personal no autorizado, y
e. el uso de programas computarizados que no se hayan autorizado.

Controles de Aplicación: Los controles de aplicación son procedimientos manuales o automatizados que característicamente funcionan a nivel de procesos y aplican al procesamiento de las transacciones por las aplicaciones individuales. Los controles de aplicación pueden ser de naturaleza preventiva o detectora y están diseñados para garantizar la integridad de los registros. Por lo tanto, los controles de aplicación corresponden a los procedimientos que se usan para iniciar, autorizar, registrar, procesar, corregir según sea necesario y presentar las transacciones u otra información financiera. Dichos controles contribuyen a garantizar que las transacciones ocurrieron, están autorizadas, y han sido registradas y procesadas con integridad y exactitud. [NIA 315.A97]


Comentarios

Entradas populares de este blog

7 Factores Integrales de la Seguridad de la Información

Auto Evaluación del Control (Control Self Assessment)

QAT: Quality Assurance Test / UAT: User Acceptance Testing