Boletin 3140

Controles generales

El propósito de los controles generales de TI, es un marco de referencia de control global sobre las actividades de TI y proporcionar un nivel razonable de certeza de que se logran los objetivos globales del control interno.

Los controles generales de TI pueden incluir:

1. Seguridad física y ambiental

2. Controles de organización y administración

3. Desarrollo de sistemas de aplicación y controles de mantenimiento

4. Controles de operación de computadoras y de seguridad

5. Controles de software de sistemas

6. Controles de entrada de datos y programas (control de acceso)

Aparte de los controles generales hay otras salvaguardas de TI que contribuyen a la continuidad del procesamiento de TI y a promover razonables prácticas de control, manuales o automatizaciones, durante una interrupción del sistema principal.

• Respaldo de datos y programas de computadora en otro sitio.

• Procedimientos de recuperación para usarse en caso de robo, pérdida o destrucción intencional o accidental.

• Provisión para procesamiento externo o en caso de desastre

• Procedimientos y controles alternos durante el incidente de interrupción

Controles de aplicación o específicos

Objetivo

Establecer procedimientos específicos de control sobre las aplicaciones contables para proporcionar certeza razonable de que todas las transacciones están autorizadas y registradas, y son procesadas completamente, con exactitud y con oportunidad. Los controles de aplicación incluyen:

a) Controles sobre datos de entrada

b) Controles sobre el procesamiento y sobre los archivos de datos de la computadora

c) Controles sobre datos de salida

d) Las restricciones sobre el acceso de los usuarios a las funciones de procesamiento de transacciones o a los registros de datos resultantes.

Revisión de controles de aplicación de TI

El control sobre los datos de entrada, procesamiento, archivos de datos y datos de salida puede desempeñarse por personal de TI, por usuarios del sistema, por un grupo de control separado, o pueden ser programados en el software de aplicación. Los controles de aplicación de TI que el auditor puede desear probar incluyen:

a) Controles manuales ejercidos por el usuario

b) Controles sobre los datos de salida del sistema

c) Procedimientos de control programados

Centro de cómputo externo

Cuando el procesamiento electrónico de datos se realiza en un centro de cómputo externo, la revisión, estudio y evaluación de control interno deberá considerar lo mencionado por el Boletín 5090 de las Normas y procedimientos de auditoria y Normas para atestiguar. Adicional se deben de considerar los siguientes aspectos:

1. Selección del centro de computo

2. Contrato de servicio

3. Control de datos

4. Personal

5. Otros controles: En general, la empresa que contrate servicios de TI a través de un centro de cómputo externo, debe asegurarse que dicho centro reúna los controles comentados en la selección de controles generales y de aplicación o específicos.

Conocimientos sobre la entidad de auditor de TI

El auditor debe adquirir suficiente conocimiento del sistema de información relacionada con reporte de información financiera a fin de entender:

• Las clases de transacciones dentro de las operaciones de la entidad que sean importantes para los entados financieros

• Los procedimientos, tanto automatizados como manuales, mediante los cuales se inicien, registren, procesen, y reporten desde que tienen lugar hasta su inclusión en los estados financieros.

• Los registros contables correspondientes, ya sean electrónicos o manuales, que sustenten la información, y cuentas específicas

...