COBIT Y LOS CONTROLES DE APLICACIÓN

Los controles de aplicación consisten de actividades manuales y/o automatizadas que aseguran que la información cumple con ciertos criterios, los que COBIT refiere como requerimientos de negocio para la información. Estos criterios son:

  • Efectividad
  • Eficiencia
  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Cumplimiento
  • Confiabilidad

Los controles de aplicación se establecen para proporcionar una seguridad razonable de que los objetivos que la gerencia establece sobre las aplicaciones, se alcanzan. Estos objetivos se articulan típicamente a través de funciones específicas para la solución, la definición de las reglas de negocio para el procesamiento de la información y la definición de procedimientos manuales de soporte. Ejemplo de ello son:

  • Totalidad (Integridad)
  • Exactitud
  • Validez
  • Autorización
  • Segregación de funciones

Es necesario asegurarse de que existen suficientes controles para mitigar los riesgos y que están operando con la efectividad necesaria para proveer información confiable.

Durante el ciclo de vida de los sistemas, diversas partes de la organización realizan actividades, responsabilidades y roles asociados con los controles de aplicación.

DISEÑO E IMPLANTACIÓN DE LOS CONTROLES DE APLICACIÓN

Una parte importante de esta etapa tanto para los sistemas nuevos como para los existentes, es identificar los objetivos de control, evaluar los riesgos y determinar la suficiencia de los controles de aplicación. Si no fue así, se deberán plantear las acciones correctivas necesarias.

1.PNG

OPERACIÓN Y MANTENIMIENTO DE LOS CONTROLES DE APLICACIÓN

El ambiente de proceso de TI en el cual operan los controles de aplicación, necesita ser controlado para asegurar la confiabilidad del proceso de los sistemas. Los cambios en los procesos y en los requerimientos de negocio, deben ser considerados para actualizar y/o mejorar los controles de aplicación.

2.PNG

DEPENDENCIA DE LOS CONTROLES GENERALES DE TI

Los controles generales de TI son aquellos que tienen que ver con el ambiente de proceso de TI en el cual operan los controles de aplicación. Entre los controles generales están, por ejemplo:

  • Control de cambios a programas
  • Controles de acceso físico
  • Controles de acceso lógico
  • Controles de continuidad operativa

El hecho de que los controles generales sean adecuados, no garantiza que los controles de aplicación serán adecuados.

Pero si los controles generales son deficientes, los controles de aplicación muy probablemente lo serán también.

MARCO DE TRABAJO GENERAL COBIT

Para proporcionar la información que la empresa necesita para lograr sus objetivos, es necesario administrar los recursos de TI a través de un conjunto estructurado de procesos de TI.

3.PNG

OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT

AC1 PREPARACIÓN Y AUTORIZACIÓN DE INFORMACIÓN FUENTE

Asegurar que los documentos fuente están preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregación de funciones respecto al origen y aprobación de estos documentos. Detectar errores e irregularidades para que sean informados y corregidos.

AC2 RECOLECCIÓN Y ENTRADA DE INFORMACIÓN FUENTE

Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvíos de los datos que fueron erróneamente ingresados se deben realizar, sin comprometer los niveles de autorización de las transacciones originales. En donde sea apropiado para la reconstrucción, retener los documentos fuente originales durante el tiempo necesario.

AC3 CHEQUEOS DE EXACTITUD, INTEGRIDAD Y AUTENTICIDAD

Asegurar que las transacciones son exactas, completas y válidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible.

AC4 INTEGRIDAD Y VALIDEZ DEL PROCESAMIENTO

Mantener la integridad y validación de los datos a través del ciclo de procesamiento. Detectar transacciones erróneas y que no interrumpan el procesamiento de transacciones válidas.

AC5 REVISIÓN DE SALIDAS, RECONCILIACIÓN Y MANEJO DE ERRORES

Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisión; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la información proporcionada en la salida.

AC6 AUTENTICACIÓN E INTEGRIDAD DE TRANSACCIONES

Antes de pasar datos de la transacción entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad durante la transmisión o el transporte.

TIPOS DE CONTROLES DE APLICACIÓN

CONTROLES DE APLICACIÓN MANUALES: Son controles ejecutados sin la asistencia de sistemas automatizados. Ejemplos:

  • Autorizaciones escritas, como firmas en cheques.
  • Reconciliación de órdenes de compra con los formatos de recepción de mercancías.

CONTROLES DE APLICACIÓN AUTOMATIZADOS: Son controles que han sido programados e integrados en una aplicación computacional. Ejemplos:

  • Validaciones de edición y contenido de datos de entrada.
  • Dígitos verificadores para validar números de cuenta.

CONTROLES DE APLICACIÓN HÍBRIDOS O DEPENDIENTES DE CONTROLES DE APLICACIÓN AUTOMATIZADOS: Son controles que consisten de una combinación de actividades manuales y automatizadas. Ejemplo:

El proceso de llenado de órdenes de embarque puede incluir un control donde el gerente de embarques revisa un reporte de órdenes no embarcadas.

Para que este control sea efectivo, la actividad automatizada (generación de un reporte completo y seguro de órdenes no embarcadas) así como la actividad manual (revisión y seguimiento por el gerente), son necesarias para que el control sea efectivo.

CONTROLES DE APLICACIÓN CONFIGURABLES: Son controles automatizados que están basados y por lo tanto son dependientes de la configuración de parámetros dentro de la aplicación. Ejemplo:

Un control en un sistema de compras automatizado, que permite órdenes hasta un límite de autorización, es dependiente de controles sobre los cambios en los límites preconfigurados de autorización.

En muchos casos, las aplicaciones comerciales o desarrolladas en casa, son altamente dependientes de la configuración de varias tablas de parámetros.

Es apropiado considerar el diseño del control sobre las tablas como un elemento separado.

ATRIBUTOS DE LOS CONTROLES

  • Frecuencia del Control: Esta característica se relaciona con que tan frecuentemente es aplicado un control (diaria, semanal, mensual, etc.). Esta necesita ser considerada en el contexto de riesgo. Tal vez la frecuencia anual de revisión de la nómina no sea suficiente y por otro lado, una revisión de un balance diario, pueda dar lugar a errores y debe hacerse mensualmente.
  • Proximidad del Control al evento de Riesgo: Esta característica considera dónde, dentro del proceso, se aplica la actividad de control. Si la entrada de datos es una preocupación, entonces la actividad de control debe ser más efectiva entre más cerca esté de dicho evento dentro del proceso.
  • Ejecución de la actividad de Control: Saber quién ejecuta el control es una característica relevante, sobre todo en los controles manuales, ya que ello implica roles y responsabilidades por las decisiones y aprobaciones relacionadas con el control. Esta característica considera si las responsabilidades han sido apropiadamente segregadas de otras responsabilidades incompatibles.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s