Controles Aplicables a las PYMES

Los conceptos básicos de control interno son aplicables a todo tipo de organización, sin importancia de su tamaño, pero la aplicación práctica es más directa, flexible e informal en las pequeñas empresas. En este tipo de entidades, generalmente, no es posible mantener todos los mecanismos de control que se implantan en las grandes organizaciones. La dirección debe apoyarse en sus empleados, acudir a los terceros y otros asesores externos, en cuestiones de informática. . Los Pc´s necesitan de controles específicos para protegerlos contra la pérdida de datos y programas, ya sea por robo o accidente, tales como restricciones físicas de acceso a los equipos; controles aplicados al software, tales como claves de acceso y realización periódica de copias de seguridad; protección contra el robo de equipos por medio de mecanismos convenientes de seguridad en el lugar donde están instaladas las máquinas.

tener en cuenta los siguientes elementos críticos:

 Controles de software en uso: Tienen como fin garantizar la consistencia de la operación del software instalado en los Pc´s, de tal forma que se pueda impedir la instalación de programas no autorizados, la modificación indebida del software instalado, entre otros riesgos.

 Seguridad: Se utilizan para controlar el acceso a los recursos informáticos, datos y programas. Así se protegen contra modificaciones indebidas, robo, divulgación de documentos confidenciales, entre otros riesgos.

 Controles sobre la operación: El objetivo de su implantación es proteger los recursos de información contra perjuicios y daños causados por falta de capacitación o conocimiento del personal y de mantenimiento apropiado.

A continuación, se presentan procedimientos que el auditor deberá comprender para realizar una evaluación de controles en este tipo de empresa, que debe ser

complementado por las guías sobre controles generales y de aplicaciones. [2.1

CONTROLES GENERALES 2.1y 2.2 CONTROLES DE APLICACIÓN. CAPITULO 2].

2.3.2.1 Controles de software en uso

El auditor debe constatar la existencia de:

 Políticas, estándares y procedimientos debidamente documentados para

adquisición y uso de computadores y del software asociado, incluyendo también datos sobre desarrollo y prueba de aplicaciones; documentación; controles de entrada, salida y procesamiento; backup y recuperación de datos y programas; autorización para el uso de software, hardware y datos.

 Un inventario actualizado de los recursos informáticos, incluyendo hardware y

software, su ubicación física, los usuarios, software en uso.

 Un análisis costo/beneficio y de la compatibilidad de los recursos informáticos

con el ambiente ya instalado previo a la adquisición de recursos nuevos.

 Supervisión periódica de los equipos de cómputo y de su uso.

 Normas que prohíben la instalación de programas personales de los empleados

detectar el uso o instalación de programas sin licencia (software pirata).

 La documentación del software de cada equipo se mantiene actualizada y en

un lugar seguro.

 Procedimientos documentados para que los usuarios cataloguen, almacenen y

realicen copias de seguridad de archivos de datos y programas, y que estos procedimientos se cumplen.

2.3.2.2 Controles de Seguridad

En lo que respecta a la seguridad el auditor deberá constatar que:

 Los recursos informáticos se encuentran catalogados u organizados de acuerdo

con su importancia y vulnerabilidad, con lo que se permite que los mecanismos de control estén encaminados a la protección de los recursos que representen mayores riesgos.

 Se dispone de mecanismos de identificación de usuarios y verificación del nivel

de acceso a los equipos, ya sea por códigos o claves de identificación, por ejemplo, y que no se permite su uso compartido.

 Los equipos conectados a la red pública tienen mecanismos de protección

contra acceso externo indebido.

 Los procedimientos para documentación y respaldo de programas, archivos de

datos y aplicaciones son adecuados y que estos se cumplen.

 Los respaldos de datos críticos o confidenciales están resguardados en un

lugar seguro.

 Se ha elaborado un plan de contingencias también para el entorno informático.

 Los programas de aplicación son protegidos contra actualizaciones indebidas.

 Los recursos físicos de informática contienen identificación única y son

inventariados.

 Se utilizan reguladores de voltaje, como mínimo, u otros dispositivos similares

para protección de los equipos de cómputo.

 En todos los equipos se han instalado, como medida mínima de seguridad,

 Se disponen de procedimientos para que los usuarios pasen las unidades externas, como memorias usb y discos externos, por el programa antivirus.

 Se ha capacitado al personal en el uso seguro y adecuado de equipos

computarizados, así como sobre la concientización acerca de la importancia de la seguridad en ambientes informáticos.

 El personal y la administración están conscientes de los riesgos que implican el

uso de equipos de computación y que ellos actúan de forma adecuada, siguiendo los procedimientos establecidos para minimizarlos.

2.3.2.3 Controles sobre la operación

En este apartado, el auditor deberá constatar que:

 Los usuarios reciben entrenamiento y capacitación adecuados.

 Se programan mantenimientos periódicos preventivos en todos los equipos de

cómputo.

 El contenido de los discos rígidos es supervisado y controlado.

 Existe un centro de soporte al usuario capaz de dar informaciones, deshacer de

dudas de utilización y registrar problemas con el procesamiento.

Existen también requisitos mínimos identificados con la seguridad en las empresas pequeñas, más simples, que también el auditor, según su criterio, pudiera examinar, para determinar si al menos se cuenta con estos requisitos:

 Comprobación de contraseña segura, asegurándose que todas ellas deben tener

algún grado de complejidad, con al menos ocho caracteres alfanuméricos y símbolos combinados.

 Las contraseñas se encuentran guardadas en un lugar seguro, no son compartidas

entre funcionarios y no están escritas en un lugar visible en el entorno de trabajo.

 La información confidencial de la red de la empresa se encuentra restringida sólo a los

usuarios autorizados y dentro del perímetro del local donde funciona la empresa. Que solo puede acceder a la información crítica y confidencial, el personal designado con esta responsabilidad.

que la contraseña de protección se habilite de forma automática si el equipo no está siendo utilizado en un período de tiempo corto, por ejemplo, la iniciación del protector de pantalla o hibernación que sólo se puede desbloquear mediante la contraseña.

 La presencia de software antivirus, como mínimo, en todos los equipos, y que este

software esté actualizado, con la opción automática de actualización activada. También debería, de ser posible, existir software anti-spyware instalado y actualizado en todos los equipos.

 Los sistemas operativos se mantienen actualizados, con los parches de seguridad

instalados y que la opción de descarga e instalación automática de estos paquetes esté activada y programada.

 La disponibilidad de un firewall, ya sea basado en software o en hardware. En

empresas pequeñas con pocos terminales, se suele utilizar el primero.

 Que las unidades para discos Usb estén deshabilitados para reproducción automática,

así como tener instalado un software que realice un análisis de virus apenas se conecte uno de estos dispositivos.

CAPÍTULO III

DESARROLLO DE UNA BASE DE INFORMACIÓN

Cuando se va a iniciar un proceso de auditoría, el auditor debe empezar por conocer la estructura general de la empresa en la que va a realizar su trabajo, así como el ámbito del negocio en el que se desenvuelve, cómo se procesan las transacciones, entre otros componentes que deben ser analizados por el profesional, para obtener un conocimiento cierto del entorno en el que va a desarrollar su labor.

Entre los componentes que deberá analizar el auditor informático, se encuentra la obtención de una comprensión global del sistema informático que está implementado en la organización. En este contexto, se incluyen los siguientes elementos de estudio, que deberán ser considerados por el auditor en su evaluación: estructura y administración del sistema informático; hardware y software; bases de datos y procedimientos de comunicaciones de datos que se usan en el entorno informático.