1. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. EVALUACIÓN DE CONTROLES AL AMBIENTE DE PROCESAMIENTO ELECTRÓNICO DE DATOS

2. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Por Medio de los Controles se Asignan Responsabilidades Para Proteger los Activos de la Compañía. Para Documentar todas las Transacciones y garantizar que solamente DATOS CORRECTOS y AUTORIZADOS sean registrados en la Contabilidad y para RESTRINGIR el Uso de la Información a las Necesidades Legítimas de la Organización. CONTROLES DE PROCESAMIENTO ELECTRONICO DE DATOS

3. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. ¿ Qué objetivos considera usted deben acompañar un buen sistema de Control Interno.? El propósito del S.C.I . En esencia es Preservar la Existencia de Cualquier Organización y Apoyar su desarrollo. Objetivo del S.C.I. : Contribuir con los resultados esperados en la Organización.

6. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Controles Generales . Son aquellos que se encuentran en el entorno en el cual se ejecutan el Desarrollo y las Operaciones de la Aplicación. Son externos a la aplicación y no dependen de sus características. (Relacionado con el ambiente de la Aplicación) Controles Específicos . Son aquellos relacionados con la captura, entrada y registro de datos en un sistema informático, así como los relacionados con su procesamiento cálculo y salida de la información y distribución. ( Particular a cada Aplicación).

11. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. I. CONTROLES DE ADMINISTRACION Y ORGANIZACION Deben servir de base para la planificación, control y evaluación por la Dirección de las actividades del Departamento de Informática o de todo el Sistema de Información . Quien verifique el control relacionado con el Sistema P.E.D., debe crear su metodología necesaria para auditar los distintos aspectos o áreas .

12. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. I. Controles De Administración Y Organización El objetivo de este tipo de controles está diseñado para establecer un marco de referencia organizacional sobre las actividades del sistema de información computarizado, incluyendo los siguientes aspectos: 1.1. Políticas y Planes de Dirección Tecnológica. Deben ser definidas por parte de la administración, políticas precisas y procedimientos claros para el logro de objetivos específicos y además dependiente del tipo de organización crear la administración de la seguridad o auditoría de sistemas de información.

13. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. P. Planes de D. Tecnológicas. Planificación: -. Plan Estratégico de Sistemas de Información. -. Plan general de seguridad. (física y lógica)‏ -. Plan de Contingencias . ¿Durante el proceso de planificación se presta adecuada atención al plan estratégica de la empresa? ¿Revisar la lectura de las actas de sesiones del Comité de Informática dedicadas a la planificación estratégica? ¿Se consideró la adecuada asignación de recursos, la evolución tecnológica?.

14. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. P. Planes de D. Tecnológicas. ¿Hay un plan escrito para cambios futuros que se vayan a realizar al sistema? ¿El estudio de factibilidad técnico está apoyado por un estudio de costos y beneficios? 1.2. Segregación de funciones entre el servicio de información y los usuarios. Este control está basado en el Principio de Auditorìa que recomienda que una misma persona no debe tener posibilidad de ejecutar todos los pasos de una Operación; ya que esta acumulación de Funciones dificulta el control y descarga mucho poder sobre personas que posiblemente no son las más Idóneas.

15. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Segregación de Funciones en un ambiente P.E.D En relación con la Adecuada segregación de Funciones …… ¿ Qué aspectos usted podría considerar en la Evaluación del Control Interno ?:

16. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Segregación de Funciones en un ambiente P.E.D ¿ El Usuario que diseñó el Programa Fuente, tiene Acceso al Programa Aplicacional ?. ¿ El Digitador de los documentos verifica su propio Trabajo. ? ¿ Están separadas de la operación de computador las funciones de trabajo y diseño de sistemas y programación.? ¿Está restringido el acceso de los digitadores del computador a los datos y a la información del programa que no son necesarios para efectuar las labores que tienen asignadas?. ¿ Los Programas Aplicacionales no distinguen entre varios Niveles de Usuarios.?. ¿ Las Autorizaciones “especiales” para el ingreso de datos en el programa aplicacional las dá el mismo usuario que digita los datos ?

19. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. ¿ Se determina las responsabilidades de los usuarios del Sistema de Información en relación con el manejo del Software Aplicacional? ¿Se prepara un manual de procedimientos para la ejecución del programa aplicacional? ¿ Se prepara un documento de instrucciones para el operador del Computador por cada proceso a ejecutar en el sistema? ¿Son adecuadas las prácticas de documentación (manual del usuario?. Éstas Incluyen: -. Descripción de los errores -. Diagramas de flujo de los procesos a ejecutar en el sistema -. Configuración de los registros. -. Datos de prueba -. Resumen y detalle de los controles Manual de Procedimientos .

21. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 1.4.- Capacitación Y Entrenamiento De Puestos. La descripción de puestos está expresada por escrito, presenta claramente la delegación de autoridad y la asignación de responsabilidades? ¿Hay Personal preparado para asumir las funciones de personas claves en el área para reemplazarlas de manera eventual.? Con un debido entrenamiento y capacitación en los diferentes puestos de trabajo se podría tener una adecuada rotación de personal y estos reemplazos serían competentes. ¿Hay Perfiles de cargo definidos para los Administradores y personal que opera el Software Aplicacional ? ¿Se desarrollan Planes de Capacitación en el Dpto. de Sistema.?.

22. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Capacitación y entrenamiento de Puestos . ¿ El personal requerido para el área de desarrollo de sistemas, es vinculado exclusivamente con base en criterios técnicos y profesionales? ¿El personal que manejan los equipos de cómputo están debidamente capacitados para brindar soporte y apoyo a los usuarios del Sistema Información computacional? ¿Se tienen en vigencia políticas y procedimiento de seguridad tipo pólizas de seguro para los empleados del área informática? ¿La organización debe propender por aumentar las habilidades de las personas hasta un nivel donde sepan qué hacer sin recurrir a procedimientos detalladas o por escrito ?

23. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Identificación y autenticación del Usuario en el sistema Las medidas contra el fuego y el agua, y otras similares . La seguridad física, la ubicación de los centros de procesos 1.5. Seguridad Física Y Lógica

24. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Deberá establecerse si las instalaciones físicas son las adecuadas para el personal y los equipos de cómputo, si hay reguladores de voltaje , acondicionadores de línea para regularizar la energía eléctrica, extintores de incendio , para reducir las pérdidas por deflagración, puestas en práctica la prohibición de fumar y la existencia de salidas de evacuación y conocidas por el personal. Controles de acceso Físicos y Lógicos: Cada usuario del S.I. pueda acceder a los recursos a que esté autorizado y realizar sólo las funciones permitidas: Lectura, Variación, Ejecución, Borrado, Copias …. Quedan las pistas necesarias para el control de la auditoría, tanto de accesos producidos como de los recursos más críticos e intentos de ingresos al Sistema. Seguridad Física Y Lógica

26. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Seguridad Física y lógica Las amenazas pueden ser muy diversas: Sabotaje, vandalismo, terrorismo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, asì como otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, otros. Protección de los soportes magnéticos en cuanto acceso, almacenamiento y posible transporte, además de otras protecciones no físicas, todo bajo un sistema de inventario, así como protección de documentos impresos y de cualquier tipo de documentación clasificada.

27. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Seguridad física y lógica La seguridad lógica , como el control de accesos a la información exigiendo la identificación y autenticación del usuario, o el cifrado de soportes magnéticos intercambiados entre entidades o de respaldo interno, o de información transmitida por línea. Entre éstas pueden estar la realización de la firma con reconocimiento automático por ordenador, el análisis del fondo de ojo, la huella u otras.

29. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Seguridad Física y Lógica ¿Se han diseñado políticas de seguridad informática, en el área de desarrollo de sistemas? ¿Las políticas de seguridad se fundamentan en estudios de análisis de riesgos técnicamente diseñados? ¿El sistema de seguridad contempla una vigorosa función de control de calidad, en el desarrollo de Software?. ¿Se identifican y se autentican los usuarios en el sistema? ¿Quién asigna la contraseña: inicial y sucesivas? ¿Las contraseñas están cifradas y bajo qué sistemas?

31. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Plan de Contingencias ¿Ha emitido y distribuido la empresa políticas o normas dirigidas al plan de contingencias?. ¿Se mantiene una estrategia corporativa en el plan? ¿Proporciona el Centro alternativo suficiente capacidad? ¿Cuándo fue la última vez que se probó el Centro Alternativa? ¿Cómo está estructurado el plan de contingencias? ¿ Cómo se activa el plan de contingencias ante un desastre? ¿Quién es el responsable de actualizar el plan de contingencias? Control de Instrumentos negociables y de Valor . Se ha considerado un estricto control sobre Documentos que son de valor, como facturas, cheques, Etc....?

43. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. IV. CONTROLES DE ACCESO 1.-ACCESO A LOS PROGRAMAS EN PRODUCCION . Como Medida de Seguridad se recomienda separar los programas fuentes de los programas compilados en librerías diferentes. Es decir: Separar los Ambientes de Producción con los de Desarrollo . Los Programadores no deben tener acceso a los programas en producción. ¿ Se cuenta con un ambiente de Desarrollo en el cual actúan los Programadores y un Ambiente de Producción en el que trabajan los usuarios directos de la aplicación. Este tipo de controles sirven para detectar y/o prevenir errores accidentales o deliberados, causados por el uso o la manipulación inadecuada de los archivos de datos y por el uso incorrecto o no autorizado de los programas.

44. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. ¿ Los programadores tienen acceso directo a la librería de Producción .? Están Autorizados en el Log del sistema? Riesgo : Podrían Ejecutar los Programas de la Aplicación y Altera la Información. Se recomienda tener un Computador por ambiente (Desarrollo - Producción). Especialmente cuando el lenguaje del Computador se basa en un interpretador, por que es posible que se interrumpa la ejecución de un proceso y se altere alguna de las instrucciones. 2.- ACCESO A LOS ARCHIVOS DE DATOS. La Integridad de los datos es fundamental debido a que la información es vital para la toma de decisiones. Se deben proteger los datos - Información sensible y Valiosa . (Activos como Efectivo - Mercancías). Por eso se deben establecer mecanismos que protejan los datos de posibles alteraciones o de fugas de información, Por Ejemplo:Los Costos de Producción Le Interesan a la Competencia.

47. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 5.- ACCESO POR TELECOMUNICACIONES. Los Sistemas distribuidos generalmente tienen usuarios en diferentes lugares geográficos por ello se usan cada día más la telecomunicaciones para integrarlos a la operación de la Aplicación. TECNICAS DE CONTROL : Claves Especiales por Terminal; Horarios Fijos de Trabajo Fijos; Monitoreo permanente. 6 .- ACCESO A RESPALDO DE ARCHIVOS. Las Cintas y Discos magnéticos que se utilizan para respaldo o backup de la información y los programas deben estar debidamente protegidos. La Auditoría debe realizar chequeos periódicos del contenido de estos respaldos. Recordar que los Respaldos en cintas son un elemento fundamental de cualquier plan de contingencias.

48. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. V. CONTROLES SOBRE LOS PROCEDIMIENTOS Y LOS DATOS. 1.- USUARIOS VERIFICAN LOS RESULTADOS. Los usuarios son las personas que más conocen acerca del origen y el proceso de sus datos por lo tanto son ellos quienes deben verificar su validez. 2.- CONTROL AUTOMATICO DE CIERRES. Los cierres de periodo son procesos que generalmente constan de varias etapas que se deben cumplir secuencialmente, por ello es recomendable utilizar tablas de control de los procesos que permiten verificar automáticamente que la etapa previa al paso actual fue ejecuta exitosamente.

49. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 3.- INFORMES DE PERDIDA DE INTEGRIDAD. Cuando los datos nos son consistentes se debe contar con un reporte que saque a flote los problemas. 4 .- PROCEDIMIENTOS DE REINICIO . Son técnicas de recuperación de los procesos cuando estos han sido interrumpidos. Consiste en Identificar con precisión el punto en que se presentó la interrupción y continuar con lo que quedó Pendiente. 5.- PROCEDIMIENTO DE OPERACIÓN DE APLICACIONES. Toda aplicación debe contar con un procedimiento escrito de operación elaborado por el encargado del área usuaria. El Procedimiento debe contener instrucciones claras para el operador de la aplicación.