Ambiente de Control y Ambiente de Controles Generales de TI


En el ámbito de Auditorías TI, es recomendable entender algunas de las siguientes definiciones generalmente aceptadas a nivel mundial:


Ambiente de Control: El ambiente de control incluye las funciones de dirección y administración y las actitudes, concientización y acciones de los encargados de la dirección de la entidad y la gerencia sobre el control interno de la entidad y su importacia en la misma. El ambiente de control es un componenete de control interno.

Ambiente de Controles Generales de TI: Un ambiente de controles generales de TI es un ambiente de procesamiento en particular que comparte un conjunto común de políticas y procedimientos de controles generales de TI para respaldar el funcionamiento efectivo de los controles relevantes de aplicación.

Control Interno: El control interno es el proceso diseñado, implementado y mantenido por los encargados de la dirección de una entidad, la gerencia u otro personal para proveer una certeza razonable sobre el logro de los objetivos de la entidad con respecto a la confiabilidad de la emisión de informes financieros, la efectividad y la eficiencia de las operaciones, y el cumplimiento de las leyes y regulaciones aplicables. [NIA 315.4(c)].

Controles genereales de TI: Los controles generales de TI son políticas y procedimientos que corresponden a muchas aplicaciones y respaldan el funcionamiento efectivo de los controles de aplicación al ayudar a determinar la operación correcta continuada de los sistemas de información [NIA 315.A96].

Los controles generales de TI aplican a los ambientes de equipos principales, equipos secundarios y usuarios finales. Los controles generales de TI que mantienen la integridad de la información y la seguridad de los datos normalmente incluyen controles sobre lo siguiente: [NIA 315.A96]

  • El acceso a programas y datos
  • Los cambios a programas
  • El desarrollo de programas
  • Las operaciones computarizadas
Controles de Acceso: Los controles de acceso son procedimientos designados para restringir el acceso a equipos terminales, programas y datos en línea. Los controles de acceso consisten en "autenticación de usuarios" y "autorización de usuarios". La "autenticación de usuarios" normalmente intenta identificar a un usuario por medio de identificaciones, contraseñas, tarjetas de acceso o datos biométricos exclusivos de conexión. La "autorización de usuarios" consiste en reglas de acceso para determinar los recursos de computadora a los que cada usuario puede acceder. Específicamente, esos procedimientos están diseñados para prevenir o detectar:


a. el acceso no autorizado a equipos terminales, programas y datos en línea.
b. la entrada de transacciones no autorizadas
c. los cambios no autorizados a los archivos de datos
d. el uso de programas computarizados por personal no autorizado, y
e. el uso de programas computarizados que no se hayan autorizado.

Controles de Aplicación: Los controles de aplicación son procedimientos manuales o automatizados que característicamente funcionan a nivel de procesos y aplican al procesamiento de las transacciones por las aplicaciones individuales. Los controles de aplicación pueden ser de naturaleza preventiva o detectora y están diseñados para garantizar la integridad de los registros. Por lo tanto, los controles de aplicación corresponden a los procedimientos que se usan para iniciar, autorizar, registrar, procesar, corregir según sea necesario y presentar las transacciones u otra información financiera. Dichos controles contribuyen a garantizar que las transacciones ocurrieron, están autorizadas, y han sido registradas y procesadas con integridad y exactitud. [NIA 315.A97]


Ubicación: Isidora Goyenechea 3192-3312, Las Condes, Región Metropolitana de Santiago de Chile, Chile

Comentarios

Publicar un comentario

Entradas populares de este blog

7 Factores Integrales de la Seguridad de la Información

Introducción La Seguridad Informática o en su concepto actual y de mayor alcance, la Seguridad de la Información se ha transformado en una necesidad para todas las organizaciones. En el transcurso de este documento se revisarán siete factores que inciden en la seguridad de la información, estos han sido definidos por un grupo de académicos y profesionales de las tecnologías de la información en Chile como los de mayor relevancia a considerar en entornos que se requiera el tratamiento de información. En el transcurso de este documento revisaremos cómo estos factores inciden dentro de un a organización, para lo cual se ha seleccionado una empresa mediana la cual cuenta aproximadamente con 900 funcionarios, más de 750 estaciones de trabajo y un número mayor a 20 servidores con distintos niveles de servicio e importancia para la empresa. El documento está dirigido a profesionales vinculados a las Tecnologías de Información, sin embargo, el lenguaje utilizado permite que cualquier pers
Leer más

Elementos de un Proceso de Prueba de Software

El Proceso de Prueba, ayuda a asegurar que todas las partes del sistema funcionen como se espera, los elementos básicos para las actividades de prueba de software de aplicación son: Plan de Prueba: Se realizan en las primeras etapas del ciclo de vida y son ajustados hasta la etapa efectiva de prueba, estos planes identifican las porciones específicas del sistema que van a ser probadas. Los planes de prueba también especifican los niveles de severidad de los problemas encontrados. El examinador o tester determina la severidad del problema identificado durante la prueba. Dependiendo del nivel de severidad del problema identificado, el mismo puede ser reparado o bien permanecer en el sistema. A menudo los problemas de presentación en la Interfaz se clasifican como de severidad más baja y pueden no ser reparados si las limitaciones de tiempo se convierten en un problema para el administrador (lider, jefe) de proyecto. El sponsor del p
Leer más

QAT: Quality Assurance Test / UAT: User Acceptance Testing

QAT se enfoca en las especificaciones de documentación y en la tecnología empleada, verifica que la aplicación función como se documentó por medio de pruebas de diseño lógico y la tecnología misma. Asegura que la aplicación reúna las especificaciones técnicas documentadas y los productos. QAT se ejecuta en primera instancia por el dpto. SI. La participación del usuario final es mínima y a solicitud. No se enfoca a las pruebas de funcionalidad. UAT soporta el proceso de asegurar que el sistema esté listo para producción y que el mismo satisfaga todos los requisitos documentados. Los métodos incluyen: Definición de las estrategias y procedimientos de prueba   Diseño de casos y escenarios de prueba Ejecución de pruebas   Utilización de los resultados para verificar la preparación del sistema Los criterios de aceptación son criterios definidos que deben ser satisfechos por un producto para satisfacer las necesidades predefinidas del usuario. Un plan UAT debe ser documentado para
Leer más