TEXTO PAGINA: 15
cl ~~~0 Pág. 167801 l La manera de documentar los programas de confor- midad con los estándares apropiado<. En un enfoque de confianza, haga referencia a laì: pruebas de controles: EVALUACIÓN GENERAL (Cuando se planea un enfoque de cs)nfianza) Objetivos de los Controles Generales en el ambiente SIC Acceso: l Prevenir camblos no autorizados a los programas. l Sólo el personal autorizado, que IX. tenga deberes incompatibles, tiene acceso a los prograntas. l Los datos se procesan vIo modifican solamente por medio de programas aprnpiàdos. Desarrollo de Sistemas y Cambios a Programas: l Los programas nuevos y que se hayan modifkado se autorizan, se prueban, se documentan y funcionan según los planes. Basados en la revislón y prueba-; de las políticas y procedimientos de control establecidos por la entidad para lograr los objetivos antes mencionados, la evaluación general de la efectividad de los controles generales SIC (marque con un aspa: 1 v--No Rerpalda j las evaluaciones preliminares de ric+g:cJ de control como moderado o bajo con respecto a 1~1s objetivos de auditorla que se indican ;i continuación. Indique los objetivos de auditoría con respecto a los que se tiene la intención de dar confianza al control interno. Resuma las bases de la evaluackn nenera de los controles generales SIC CRITERIOS A TENER EN CIJENTA Objetivos de Control de Acceso 1. Prevenir cambios no autorizados a los pro- gramas 1.1 Los programas que procesan datos c* Intables deben ser segregados. l Biblioteca de produccion separadas dr. bibliotecas de prueba y de no produccion. l Separación física de bibliotecas. l 1Jso de convencionr> para denominar programas. l Revisión gerencia1 periódica de las bibliotecas de producci<in. 1.2 Los programas nuwos y los cambIoa a programas existentes deben ser identificados y registrados en el momento de su instalacion. l Mantenimiento de un listado de mvtntario de pro- gramas actualizados, qw incluye la fecha <le instalación. la fecha de la última rcvlsión y el individuo que efectuó el cambio. l Comparación periodlca del listado de inventario dc programas con rl contenIdo real de las bihiiotecas. l Documentaci<in de soporte para el proceso de con- versik de prueba a producción tal c<rrno ‘os listados dr códigos fuente, sohcitudw de cambio par;; probwamas y listados.1.3 Deben existir procedimientos para asegurar que se autoricen debidameute las adiciones, eliminaciones y cambios a los programas. l Realización de Ia funcion de transferencia de progra- mas por un grupo dca control de datos u otro individuo independiente. l Suficientes niveles de contraseñas e identifkadores de usuario para mantener una separación de deberes y funciones. l Restricciones sobre el uso autorizado de “software” de biblioteca o utilitarios del sistema usados para propó- sitos de catalogar. 1.4 Deben existir procedimientos para evitar que per- sonas sin responsabilidad de instalar los programas y los cambios a los programas no modifiquen el contenido de la biblioteca. l Suficientes niwles de contraseñas e identifkado- res de usuarios para proteger las btbliotecas de produc- ción para mantener una separackn de deberes y funcio- nes. l Procedimientos para registrar y vigilar intentos de acceso no autorizados a las bibliotecas de producción. l Procedimientos para impedir que los programadores cataloguen los programas de prueba a las bibliotecas de producción. l Procedimientos para impedirquelos programadores camblen el contenido de la biblioteca fuente de programas de producción. l Plazos definidos para ciclos de desarrollo de progra- mas. l Almacenamientc~ bkico separado (repones y parti- ciones) para procesar ciclos de producción y de prueba. l Cso de bitácoras de actividad dr programas Cmanua- les y legibles por máqilina). l Revisión periódica de horarios de procesamiento y bitácoras de actividad de procesamiento. 1.5 Deben existir controles para asegurar que los programas en desuso sean segregados de la versión actual o eliminados de la biblioteca de produccióll. l Procedimientos para asegurar que se incluya en la biblioteca de carga dcb producción sólo el código fuente compilado y editado. l Procedimientos de respaldo ‘; wtencicin para versio- nes previas de los pro::ramas. 2. Sólo el personal autorizado, que no tenga deberes incompatibles, tiene acceso a los progra- mas. 2.1 LOS usuarios deben tener un identificador único al obtener acceso al sistema. l Contraseñas l Identificadores de terminal l Tarjetas magnéticas. llaveskwjetas. l Códigos de identificación que corresponden a un nombre de usuario. l Procedimientos administratrvos que cubren la dis- tribuciólt, revocación y cambio de estos artículos. l Pnlitlcas y normas. 2.2 Los usuarios deben estar restringidos a los progra- mas (y funciones dentro de esos programas) para los cuales tienen necesidades legítimas. l Políticas y normas que rigen la propiedad de los datos T la protección de datos confidenciales. l “software” dr control de acceso que restringe ciertas funciones a ciertos individuos o terminales. l La estructuración de contraseña e identificadores de usuario de tal manera que los usuarios sólo puedan rrallzar funcione9 espt*cíficas. l Suficientes niveles de contraseñas e identificadores de usuario para impedir el acceso no autorizado a recur- sos mediante ctidigos de idcntificacion, códigos de acceso a programas y archivos dr datos. ccidigos de transacción y límites de tiempo de procesamiento. l Segundad dr menú ies decir. los usuarios ven pan- tallas que etilo presenlan las opciones disponibles a ese nivel dr respon~abilid:tcl de accesoI.