Auditoria Sistemas
Los procesos informáticos han cambiado notablemente las condiciones
internas de las organizaciones, motivando de tal modo importantes consecuencias
en materia de control interno.
Se aconseja a los efectos de evitar fraudes la separación de funciones entre quienes son encargados de manejar el sistema, los programadores y quienes controlan los inputs, los cuales deberían ser efectuados por tres técnicos o grupos de técnicos en informática diferentes. Sin embargo tanto por el tamaño de las empresas, como por las nuevas características que tienen lugar en los procesos fabriles y de servicios los controles deben adaptarse a esta nueva situación. La creación de mecanismos paralelos e independientes al sistema para el control comparativo es adonde apuntan las nuevas metodologías destinadas a salvaguardar los procesos informáticos.
Poner los sistemas informáticos al resguardo del accionar de los “piratas”, como de los “virus” resulta fundamental por las enormes pérdidas que las mismas pueden ocasionar a la empresa.
No menos importante resulta no sólo el control de acceso a la información, sino la posibilidad de acceder a archivos de gran valor estratégico como son los relacionados con los clientes y su respectivas evoluciones comerciales. Muchos tienen interés en hacerse de dichas bases de datos a los efectos de su venta a la competencia.
En el control de sistemas del procesamiento electrónico de datos (EDP) podemos diferenciar tres aspectos:
a) Controles de la organización del proceso de datos. Podemos estudiar en el cuatro aspectos:
1. División de responsabilidades
2. Control sobre los operadores del ordenador
3. Biblioteca de programas
4. Sistemas de seguridad ante incendios u otros accidentes
A los efectos de mantener la integridad del sistema cuando las funciones de autorización y registro están comprendidas en el propio programa es necesario separar la función de operación y manejo de las máquinas y la de mantenimiento del programa y de la memoria o biblioteca. Esta separación de funciones es importante por cuanto, proporciona una eficaz verificación cruzada de la exactitud y corrección de los cambios introducidos en el sistema, impide al personal de operaciones efectuar revisiones sin plena autorización y verificación, evita que el personal ajeno a la operación tenga acceso al equipo, y por último mejora la eficiencia, puesto que las capacidades y el adiestramiento que se requieren para desempeñar tan diversas actividades difieren.
Es importante la separación entre el personal encargado de las bibliotecas, y el de la sección de adquisición y control de datos.
b) Controles de procedimientos. Se refieren a cuatro puntos específicos:
1. Datos fuente y controles de salida. Es preciso un control sobre los datos de entrada que permita verificar que éstos han sido autorizados e introducidos una sola vez. La función de los controles de salida es determinar que los datos procesados no incluyen ninguna alteración desautorizada por la sección de operaciones del ordenador y que los datos son correctos o razonables.
2. Controles del proceso. Los objetivos principales son descubrir la pérdida de datos o la falta de su procesamiento, determinar que las funciones aritméticas se ejecuten correctamente, establecer que todas las transacciones se asienten en el registro indicado, asegurar que los errores descubiertos en el procesamiento de datos se corrijan satisfactoriamente.
3. Controles del archivo o biblioteca. Si éstos son defectuosos pueden deformar la contabilización.
4. Controles sobre las salidas
c) Controles administrativos. Hacen referencia al diseño, programación y operaciones del EDP.
Seguridad física. Las precauciones básicas a tal objeto son:
1. Deben mantenerse en otro lugar, duplicados de todos los archivos, programas y documentación básica.
2. Protección contra excesos de humedad, variaciones de temperatura, caídas de tensión, cortes de suministro, campos magnéticos, actos delictivos, etc.
3. Protección contra incendios, inundaciones, desastres naturales, etc.
4. Plan de emergencia que prevea las actuaciones básicas y medios alternativos disponibles ante distintos niveles de sucesos catastróficos.
5. Designación de un responsable de seguridad y revisión periódica de la operatividad de los medios dispuestos.
6. Seguro que cubra el riesgo de interrupción del negocio y el costo de reconstrucción de ficheros.
Se aconseja a los efectos de evitar fraudes la separación de funciones entre quienes son encargados de manejar el sistema, los programadores y quienes controlan los inputs, los cuales deberían ser efectuados por tres técnicos o grupos de técnicos en informática diferentes. Sin embargo tanto por el tamaño de las empresas, como por las nuevas características que tienen lugar en los procesos fabriles y de servicios los controles deben adaptarse a esta nueva situación. La creación de mecanismos paralelos e independientes al sistema para el control comparativo es adonde apuntan las nuevas metodologías destinadas a salvaguardar los procesos informáticos.
Poner los sistemas informáticos al resguardo del accionar de los “piratas”, como de los “virus” resulta fundamental por las enormes pérdidas que las mismas pueden ocasionar a la empresa.
No menos importante resulta no sólo el control de acceso a la información, sino la posibilidad de acceder a archivos de gran valor estratégico como son los relacionados con los clientes y su respectivas evoluciones comerciales. Muchos tienen interés en hacerse de dichas bases de datos a los efectos de su venta a la competencia.
En el control de sistemas del procesamiento electrónico de datos (EDP) podemos diferenciar tres aspectos:
a) Controles de la organización del proceso de datos. Podemos estudiar en el cuatro aspectos:
1. División de responsabilidades
2. Control sobre los operadores del ordenador
3. Biblioteca de programas
4. Sistemas de seguridad ante incendios u otros accidentes
A los efectos de mantener la integridad del sistema cuando las funciones de autorización y registro están comprendidas en el propio programa es necesario separar la función de operación y manejo de las máquinas y la de mantenimiento del programa y de la memoria o biblioteca. Esta separación de funciones es importante por cuanto, proporciona una eficaz verificación cruzada de la exactitud y corrección de los cambios introducidos en el sistema, impide al personal de operaciones efectuar revisiones sin plena autorización y verificación, evita que el personal ajeno a la operación tenga acceso al equipo, y por último mejora la eficiencia, puesto que las capacidades y el adiestramiento que se requieren para desempeñar tan diversas actividades difieren.
Es importante la separación entre el personal encargado de las bibliotecas, y el de la sección de adquisición y control de datos.
b) Controles de procedimientos. Se refieren a cuatro puntos específicos:
1. Datos fuente y controles de salida. Es preciso un control sobre los datos de entrada que permita verificar que éstos han sido autorizados e introducidos una sola vez. La función de los controles de salida es determinar que los datos procesados no incluyen ninguna alteración desautorizada por la sección de operaciones del ordenador y que los datos son correctos o razonables.
2. Controles del proceso. Los objetivos principales son descubrir la pérdida de datos o la falta de su procesamiento, determinar que las funciones aritméticas se ejecuten correctamente, establecer que todas las transacciones se asienten en el registro indicado, asegurar que los errores descubiertos en el procesamiento de datos se corrijan satisfactoriamente.
3. Controles del archivo o biblioteca. Si éstos son defectuosos pueden deformar la contabilización.
4. Controles sobre las salidas
c) Controles administrativos. Hacen referencia al diseño, programación y operaciones del EDP.
Seguridad física. Las precauciones básicas a tal objeto son:
1. Deben mantenerse en otro lugar, duplicados de todos los archivos, programas y documentación básica.
2. Protección contra excesos de humedad, variaciones de temperatura, caídas de tensión, cortes de suministro, campos magnéticos, actos delictivos, etc.
3. Protección contra incendios, inundaciones, desastres naturales, etc.
4. Plan de emergencia que prevea las actuaciones básicas y medios alternativos disponibles ante distintos niveles de sucesos catastróficos.
5. Designación de un responsable de seguridad y revisión periódica de la operatividad de los medios dispuestos.
6. Seguro que cubra el riesgo de interrupción del negocio y el costo de reconstrucción de ficheros.
No hay comentarios:
Publicar un comentario