TEXTO PAGINA: 230
l 1.0s papeles de trabajo (programas de auditoria, evidencia de trabajo realizado, y apoyo para los resulta- dos de investigacion en la auditoría) son incompletos. 07. POLÍTICAS DE PERSONAL l Las políticas para contratos de personal y retención de personas capaces son inadecuadas. l Las normas y procedimientos para contratos, pro- moción, transferencia. retiro. y término de servicios per- sonales son insuficientes. l Los programas de capacitación no ofrecen adecuada- mente a los empleados la oportunidad de mejorar su desempeño o motivar!os cn su progrtso. l L.as descripciones escritas de trabajo y manuales de referencia no están mantenidos adecuadamente. l La comunicación de políticas de personal y procedi- mientos es inadecuada. l Los canales de comunicación para el reporte de personal son inapropiados. l Las políticas en la supervisión de empleados son inapropiadas u obsoletas. 08. INFLUENCIAS EXTERNAS l Las autoridades del Poder Ejecutivo o el Congreso muestran especial interés por la entidad o por alguno de sus promamas. l Los medios de comunicación han mostrado un inte- res especial en la entidad o uno de sus programas. l La acción de seguimiento de la administraciún en respuesta a comunicaciones de los cuerpos legislativos o reglamentarios no es oportuna o adecuada. 9. METODOS DE CONTROL SOBRE EL CUM- PLIMIENTO DE LEYES Y REGLAMENTOS. l La administración ignora las leyes aplicables, regla- mentos y los problemas potenciales. l No existen mecanismos para informara la adminis- tración sobre la ocurrencia de actos ilegales o irregulares. * La administración descuida su reacción ante casos identificados de incumplimiento de leyes y reglamentos. l Casos repetidos de incumplimiento o debilidades en el control son revelados en los informes de auditoría interna 0 externa. l La administración es renuente a proveer las eviden- cias necesarias para evaluar si ha ocurrido el incumpli- miento do leyes y reglamentos. l Las políticas y procedimientos para promover el cumplimiento de leyes y reglamentos son débiles o no existen. l Las políticas sobre prácticas aceptables de negocios, conflicto de intereses o códigos de conducta son débiles o no existen. 01. Los controles relativos al amhiente SIC puedenser clasificados en: l Conkoles generales, l Controles de aplicaciones; y, l Controles de usuarios. CONTROLES GENERALES 02. Los controles generales son las políticas y procedi- mientos que se aplican a la totalidad de operaciones computarizadas de una entidad y crean el medio ambien- te en el cual los controles de aplicación y ciertos técnicas de control del usuario operan. Ellas se clasifican como: l Organización y segregación de funciones; l Diseño de sistemas, desarrollo. modificación, y. l Seguridad. Organización y Segregación de Funciones 03. Los controles relacionados a la organización del ambiente SIC se dirigen hacia los siguientes objetivos:S r 1 ( I 1 / 1l Las operaciones computarizadas deben ser supervi- iadas adecuadamente y el procesamiento de información ,ealizado por personal autorizado. l La segregación de funciones dentro del ambiente iIC debe ser apropiada. l La administración debe tener un seguimiento en las ,ecomendaciones efectuadas durante las revisiones in- ernas y externas en las operaciones. Diseño de sistemas, desarrollo y modificación 04. Los controles sobre el diseño, desarrollo, imple- nentación y modificación de sistemas y programas son mportantes para proveer certeza razonable que todo el lesarrollo de información, las modificaciones y lógica del irograma son aprobados. En adición, el diseño efectivo de jistemas e implementación, ayuda a proveer una razona- rle certeza que el software en línea servirá adecuada- nente a su propósito. Los controles específicos para diri- +-estos temas se detallan seguidamente: l Los sistemas de software son modificados y mante- ridos de acuerdo a la autorización apropiada, aprobación, I procedimientos de prueba. l Las metodologías formales y efwtivas en la aplicación le1 desarrollo de sistemas y mantenimiento son usadas. l Los usuarios son parte integral del desarrollo de la aplicación y procedimientos de mantenimiento. l Los sistemas de aplicación son modificados y mante- lidos de acuerdo con autorización apropiada y procedi- nientos aprobados. Seguridad 05. Los controles de seguridad proveen la certeza que 10s recursos computarizados están protegidos en contra del acceso fisico y lógico no autorizado y pérdida o deterio- ro. El acceso físico al sistema de la computadora en sí mismo deberá controlarse con medidas apropiadas, tales Torno facilidades de cierre, claves etc., con acceso permi- tido sólo a personas autorizadas. Los controles generales relativos al acceso lógico incluyen el uso de acceso a software de seguridad y permiten la programación de rontroles dentro de las aplicaciones. Los controles de seguridad deben: (11 Proteger a la entidad de la pérdida de recursos computarizados, debido a robo, destrucción, desastres naturales, u otros medios; y, ran. Por ejemplo, la entidad debe tener copias apropia- das de respaldo, almacenadas fuera del lugar de trabajo, prevención contra virus informáticos. 06. Los controles generales están establecidos en una (alentidad yio instalaciónkvel de sistema y (blnivel de aplicación. Por ejemplo, considerar los siguientes contro- les generales relativos a un acceso seguro: l Al evaluar los controles generales en la entidad o nivel de la instalación, el especialista considera la segu- ridad en una base total. En consecuencia, el especialista en auditoria SIC puede evaluar como la entidad utiliza el acceso al software de seguridad, incluyendo su implemen- tación apropiada. l Al evaluar los controles generales en el nivel de aplicación, el especialista en auditoría SIC, revisa los controles de seguridad que limitan el acceso a aplicacio- nes particulares y archivos relativos. De ser así, el espe- cialista en auditoría puede enfocarse en como el acceso a software de seguridad restringe el acceso a aplicaciones en planillas y archivos relativos a usuarios autorizados. l Finalmente. la seguridad es edificada dentro de la aplicación en sí misma, para apoyar la restricción del acceso autorizado. Esta seguridad usualmente se cumple por medio de menús v otras restricciones programadas dentro del software de aplicación. Del mismo modo, el empleado encargado de la planilla puede tener acceso a aplicaciones en la planilla, pero puede estar limitado