Control General Y De Aplicacion

Controles en el Área de Tecnología de la Información y las Comunicaciones

Generalmente, en el campo de la Auditoría en Tecnología de la Información y las Comunicaciones, la estructura de control interno se puede definir bajo dos conceptos, a saber:

• Controles Generales

• Controles de Aplicación

Controles Generales:

Los controles Generales están constituidos por los procedimientos, políticas y estándares que afecta las operaciones en general en materia de tecnología y que deben ser considerados en la evaluación de los sistemas de información automatizados, ya que tienen efectos importantes sobre el desarrollo y operación de los mismos.

Tal y como su nombre lo indica, estos controles tienen impacto sobre el desarrollo tecnológico de una organización, y por lo tanto, cualquier deficiencia existente, generalmente repercute en la mayor parte de los proyectos, servicios o sistemas computadorizados.

La evaluación de los controles generales comprende los siguientes aspectos:

Planificación Estratégica en Tecnología de la Información.

Se refiere a la planificación de los proyectos informáticos, tomando como punto de partida: la misión, la visión, así como los objetivos y metas de la organización. Considera aspectos tales como:

• Factores críticos de éxito

• Análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas)

• Definición de la Situación Actual (organización, plataforma tecnológica, recursos humanos y materiales, servicios y sistemas informáticos, problemas identificados, requerimientos de información, entre otros).

• Arquitectura de datos

• Definición de proyectos tecnológicos que deben ser desarrollados, lo cual debe incluir requerimientos en cuanto a:

• Cambios organizacionales

• Rediseño de procesos

• Plataforma tecnológica requerida (hardware y software)

• Recursos humanos, incluyendo nuevos perfiles

• Capacitación

• Implicaciones en la Infraestructura (instalaciones, comunicaciones, red eléctrica)

• Estimación de Tiempos

• Estimación de Costos

• Requerimientos de tipo legal.

• Prioridades

• Etc.

Aspectos organizacionales y de personal

Deben ser analizados tomando en cuenta el tipo de empresa y su nivel de complejidad. A continuación se indican los principales aspectos que deben ser considerados en este tipo de evaluación:

• Estructura organizativa del área de Tecnología de la Información y Comunicaciones

• Ubicación del área de tecnología, dentro del organigrama.

• Dispersión geográfica.

• Centralización o descentralización de funciones

• Conformación de comités o comisiones para la toma de decisiones

• Existencia o no de una organización matricial para el desarrollo de proyectos tecnológicos

• Segregación de funciones

• Infraestructura disponible

• Recurso humano disponible

• Motivación del personal

• Nivel de rotación

• Etc.

Políticas Institucionales:

Las políticas institucionales son pautas generales para la toma de decisiones. Establecen límites de las decisiones, especificando aquellas que pueden tomarse y excluyendo las que no son permitidas. De este modo se canaliza el pensamiento de los miembros de la organización para que sea compatible con los objetivos institucionales.

Las políticas en materia de tecnología generalmente son formuladas por personal técnico de esta área y son remitidas a la Administración Superior para su aprobación y posterior divulgación. Al respecto, se pueden citar políticas en temas tales como:

• Adquisición de Hardware y Software

• Distribución de recursos de cómputo.

• Desarrollo de sistemas

• Contratación de personal

• Capacitación

• Mantenimiento de equipos

• Contratación de servicios profesionales

• Salarios e incentivos

• Servicio a los usuarios –internos y externos –

Estándares de Desarrollo

Los estándares están constituidos por una serie de normativas y lineamientos que deben ser utilizados en forma consistente en las diferentes actividades relacionadas con la instalación de servicios o desarrollo sistemas de información computadorizados. Los estándares deben ser definidos por personal de tecnología, establecidos o aprobados por la Administración Superior y divulgados para su correcta utilización. Como parte de los estándares requeridos se pueden citar los siguientes:

• Metodología para el desarrollo de sistemas

• Estándares de documentación

• Estándares de programación

• Estándares para la organización e identificación de: software, archivos, bases de datos, etc.

• Estándares de seguridad

• Estándares de comunicación

Procedimientos operativos

Se refiere a la definición de pasos o actividades que deben llevarse a cabo para la ejecución de tareas relacionadas con el desarrollo o funcionamiento de los sistemas de información computadorizados, así como otras actividades relacionadas con la materia tecnológica, las cuales pueden ser rutinarias o excepcionales. Como parte de estos procedimientos se puede citar lo siguiente:

• Solicitud y aprobación de nuevos sistemas

• Solicitud y mantenimiento de sistemas

• Desarrollo de sistemas de información con recursos internos, mediante contratación externa o una combinación de ambas modalidades.

• Adquisición de sistemas de información disponibles en el mercado, conocidos como “paquetes de software”

• Compra de productos de hardware, software y comunicaciones.

• Encendido y apagado de los equipos

• Mantenimiento preventivo y correctivo de los equipos de cómputo

• Respaldo y recuperación

• Evacuación en caso de contingencia

• Control de garantías de cumplimiento.

• Monitoreo de los recursos tecnológicos.

Seguridad física y lógica

Se refiere a las previsiones que se han establecido en la organización para el acceso a las instalaciones y recursos de cómputo. Al respecto se pueden citar las siguientes:

• Acceso a las instalaciones

• Ubicación de los recursos de cómputo.

• Dispositivos para el

...