Existen varios esquemas para definir los controles internos, a

Anuncio
Existen varios esquemas para definir los controles internos, a continuación presentamos un esquema completo propuesto por David Li: (requiere actualización y adecuamiento a nuestro medio)
Diagrama de controles
Controles gerenciales
Controles de diseño, desarrollo y mantenimiento de sistemas
Controles de operación
Controles de aplicación
Controles de la tecnología
Controles gerenciales
•
•
•
•
•
Planeación para la organización y para los sistemas de información
o Planeación a largo plazo para la organización
o Comité de planeación/vigilancia para SI
o Planeación a largo plazo de los SI
o Planeación a corto plazo para la organización y para los SI
o Revisión de la planeación
Políticas, estándares y procedimientos
o Políticas
o Estándares
o Procedimientos
Responsabilidades organizacionales y administración de personal
o Ubicación organizacional del departamenro de SI
o Descripción y responsabilidad de la función de los SI
o Delimitación de tareas
o Descripción de puestos en SI
o Selección de personal
o Procedimiento para el aseguramiento de personal
o Procedimientos para la terminación de la relación laboral
o Capacitación de personal
o Capacitación en control de SI
o Evaluación del desempeño de los empleados
Control de calidad de los sistemas de información
o La responsabilidad del control de calidad
o Aspectos organizacionales de la función de control de calidad
o Requisitos que debe llenar el personal de control de calidad
o Revisión del logro de objetivos de los Si
o Revisión del cumplimiento de los estándares y procedimientos de los SI
o Revisión de los controles de los sistemas
o Revisión de otros aspectos de la función de los SI
o Revisión del plan
o Informes de las revisiones del grupo de control de calidad
Auditoria interna
o Organigrama de auditoría interna
o Responsabilidad de la función de auditoría interna
•
Requerimientos externos
o Requisitos legales relacionados con prácticas y controles contables
Controles de diseño, desarrollo y mantenimiento de sistemas:
• Ciclo de vida del desarrollo de sistemas (CVDS): • Metodología
• Funciones y responsabilidades
• Actualización
• CVDS: Fase de iniciación del proyecto
o Participación de la gerencia en la iniciación del proyecto
o Definición del proyecto
o Integración del equipo de trabajo y sus responsabilidades
o Definición de los requisitos de información
o Aprobación del proyecto
• CVDS: Fase de estudio de factibilidad
o Formulación de cursos alternativos de acción
o Estudio de factibilidad tecnológica
o Estudio de factibilidad económica
o Aprobación del proyecto
o Plan maestro del proyecto
o Control de costos
• CVDS: Fase de Diseño del sistema
o Definición y documentación de los requisitos de salida
o Definición y documentación de los requisitos de entrada
o Definición y documentación de los requisitos de archivo
o Definición y documentación de los requisitos de procesamiento
o Especificaciones de programas
o Diseño de documentos fuente
o Diseño de controles
o Diseño de pistas de auditoría
o Estándares de documentación de programas
• CVDS: Fases de desarrollo e implantación
o Objetivos de programación
o Descripción del programa
o Paquetes de software aplicativos
o Programación de aplicación del contrato
o Manual de operación
o Manual del usuario
o Estándares para pruebas de programas
o Estándares para pruebas de sistemas
o Documentación de las pruebas del sistema
o Documentación de las pruebas del sistema
o Evaluación de los resultados de la prueba
o Análisis de los documentos de la preconversión
o Plan de conversión
o Corrida en paralelo
o Prueba de aceptación final
• CVDS: Fases de operación y mantenimiento
o Procedimientos de control de operaciones
o Control de costos
•
o Modificaciones del sistema
CVDS: Fases de posimplantación
o Evalauación de los resultados del procesamienbto
o Evaluación del cumplimiento de los requisitos del usuario
o Evaluación del análisis de costo­beneficio
Controles de operación:
• Sistemas de información (SI): Planeación y administración de recursos
o Presupuesto anual de operación de sistemas de información
o Plan de adquisición de equipo
o Evaluación del rendimiento del equipo
• SI: Operación
o Programa de cargas de trabajo
o Distribución de personal
o Calendario de mantenimiento
o Evaluación de la efectividad de la calendarización
o Programación con cambios de recursos
o Contabilidad de los trabajos
o Procedimientos de facturación para el usuario
o Asignación de responsabilidades de almacenamiento de datos
o Sistema de administración de archivos
o Identificación de archivos
o Revisión de las operaciones
• Software del sistema
o Selección de software del sistema
o Análisis de costo­beneficio del software del sistema
o Instalación del software del sistema
o Mantenimiento del software del sistema
o Procedimientos de cambios en el software del sistema
o Implantación de cambios en el software del sistema
o Registro de cambios en el software del sistema
o Seguridad del software del sistema
• Acceso y seguridad física
o Responsabilidad para control de acceso y seguridad física
o Acceso al centro de cómputo
o Escolta de visitantes
o Acceso a terminales
o Reporte de actividades de las terminales
o Acceso a bibliotecas de programas
o Acceso en linea a programas y datos
o Prácticas de seguridad
o Protección contra incendio
o Protección física de archivos
o Medidas de seguridad para formatos y documentos
o Capacitación en conocimientos y procedimientos de seguridad
• Respaldo y recuperación
o Plan de recuperación en caso de siniestro
o Procedimientos de urgencia y capacitaciónpara seguridad del personal
o Aplicaciones críticas
o Recursos críticos
o
o
o
o
o
o
o
Servicios de comunicación
Equipos de resplado
Programación de operaciones de respaldo
Procedimientos para respaldo de archivos
Suministros de respaldo
Reconstrucción del centro de SI
Procedimientos manuales de respaldo
Controles de aplicación:
• Control de datos fuente
o Procedimientos para la preparación de datos
o Diseño de documentos fuente
o Control de documentos fuente
o Procedimientos de autorización de entrada
o Procedimientos para documentación y control de la operación
o Vigencia de los documentos fuente
• Control de los datos de entrada
o Procedimientos de conversión y entrada de datos
o Procedimientos de conversión y entrada en línea
o Validación y edición de datos
o Manejo de errores en la entrada de datos
• Control del procesamiento de datos
o Integridad del procesamiento de datos
o Condiciones de los programas
o Validación y edición en el procesamiento de datos
o Manejo de errores en el manejo de datos
o Prohibición de anulación de etiquetas o errores en dispositivos
o Restricción de la intervención de los operadores
o Procedimientos de reproceso
o Identificación y seguimiento de errores de procesamiento
o Informe de errores auxiliares por computadora
o Procedimientos de alto y reinicio en caso de mal funcionamiento del equipo
o Bitácora del sistema o del servidor
• Control de salida de información
o Revisión de la salida
o Conciliación y balanceo de resultados
o Distribución de las salidas o resultados
o Manejo de errores en salidas
o Manejo y retención de salidas
o Medidas de seguridad para los reportes de salida
Controles de la tecnología:
• Sistemas soportados en bases de datos
o Sistemas de administración de bases de datos
o Responsabilidad de la administración de las bases de datos
o Descripciones y cambios de datos
o Acceso y control recurrente de los datos
o Procedimientos de recuperación de la base de datos
o Integridad de la base de datos
• Operaciones de procedimientos distribuidos y redes
•
•
o Comprensión de los objetivos de la gerencia
o Plan de implantación
o Estándares para el control de la red
o Facilidades de control de hardware y software
o Distribución de bases de datos
o Estándares de datos de las redes
o Acceso a los datos de la red
o Mecanismos de revisión de datos de la red
o Medidas de respaldo de software y hardware
o Operación de la red
o Software de comunicaciones
o Acceso a los sistemas operativos del software de la red
o Acceso a las facilidades de procesamiento de la red
o Decodificación
o Seguridad de la red
o Revisión de la seguridad de la red
o Documentación y capacitación del personal de operaciones de la red
o Revisión de posimplementación de la red
o Control de rendimiento de la red
o Planes de respaldo y contingencia de la red
Microcomputadoras
o Políticas de la gerencia
o Adquisición de microcomputadoras
o Software aplicativo
o Documentación de programas
o Biblioteca de programas
o Archivos de datos
o Archivos de transacciones
o Acceso a los recursos de la microcomputación
o Documentación del procesamiento
o Facilidades de control
o Seguridad y respaldo de datos y programas
o Seguridad física
o Revisión de la gerencia
Tiempo compartido
o Análisis de costo­beneficio
o Selección del proveedor de servicios
o Contrato de servicios de tiempo compartido
o Identificación y verificación del usuario
o Controles para la protección de programas
o Controles de seguridad de archivos
o Manual del usuario
o Tiempo de respuesta
o Facturación del servicio
o Servicios de respaldo de tiempo compartido
Descargar