Controles generales de TI y controles de aplicación
Los controles
generales son aquellos que están inmersos en los procesos y servicios de TI.
Algunos ejemplos son:
• Desarrollo de
sistemas
• Administración
de cambios
• Seguridad
• Operaciones de
cómputo
Los controles
incluidos en las aplicaciones de los procesos del negocio se conocen por lo
general como controles de aplicación. Ejemplos:
• Integridad
(Completitud)
• Precisión
• Validez
• Autorización
• Segregación de
funciones
COBIT asume que el diseño e implementación de
los controles de aplicación automatizados son responsabilidad de TI, y están
cubiertos en el dominio de Adquirir e Implementar, con base en los
requerimientos de negocio definidos, usando los criterios de información de COBIT. La responsabilidad operativa de
administrar y controlar los controles de aplicación no es de TI, sino del dueño
del proceso de negocio.
Por lo tanto, la
responsabilidad de los controles de aplicación es una responsabilidad conjunta,
fin a fin, entre el negocio y TI, pero la naturaleza de la responsabilidad
cambia de la siguiente manera:
• La empresa es
responsable de:
– Definir apropiadamente
los requisitos funcionales y de control
– Uso adecuadamente los
servicios automatizados
• TI es
responsable de:
– Automatizar e
implementar los requisitos de las funciones de negocio y de control
– Establecer controles
para mantener la integridad de controles de aplicación.
Por lo tanto, los
procesos de TI de COBIT abarcan
a los controles generales de TI, pero sólo los aspectos de desarrollo de los
controles de aplicación; la responsabilidad de definir y el uso operativo es de
la empresa.
La siguiente lista
ofrece el conjunto recomendado de objetivos de control de aplicaciones.
Identificados por ACn, de Control de Aplicación número (por sus siglas en
inglés):
AC1 Preparación y Autorización de
Información Fuente.
Asegurar que los
documentos fuente están preparados por personal autorizado y calificado
siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada
segregación de funciones respecto al origen y aprobación de estos documentos.
Los errores y omisiones pueden ser minimizados a través de buenos diseños de
formularios de entrada. Detectar errores e irregularidades para que sean
informados y corregidos.
AC2 Recolección y Entrada de Información
Fuente.
Establecer que la
entrada de datos se realice en forma oportuna por personal calificado y
autorizado. Las correcciones y reenvíos de los datos que fueron erróneamente
ingresados se deben realizar sin comprometer los niveles de autorización de las
transacciones originales. En donde sea apropiado para reconstrucción, retener
los documentos fuente originales durante el tiempo necesario.
AC3 Chequeos de Exactitud, Integridad y
Autenticidad
Asegurar que las
transacciones son exactas, completas y válidas. Validar los datos ingresados, y
editar o devolver para corregir, tan cerca del punto de origen como sea
posible.
AC4 Integridad y Validez del Procesamiento
Mantener la
integridad y validación de los datos a través del ciclo de procesamiento.
Detección de transacciones erróneas no interrumpe le procesamiento de
transacciones validas.
AC5 Revisión de Salidas, Reconciliación y Manejo
de Errores
Establecer
procedimientos y responsabilidades asociadas para asegurar que la salida se
maneja de una forma autorizada, entregada al destinatario apropiado, y
protegida durante la transmisión; que se verifica, detecta y corrige la exactitud
de la salida; y que se usa la información proporcionada en la salida.
AC6 Autenticación e Integridad de
Transacciones
Antes de pasar
datos de la transacción entre aplicaciones internas y funciones de
negocio/operativas (dentro o fuera de la empresa), verificar el apropiado
direccionamiento, autenticidad del origen e integridad del contenido. Mantener
la autenticidad y la integridad durante la transmisión o el transporte.
IMPULSADO POR LA MEDICIÓN
• Modelos de madurez que facilitan la
evaluación por medio de benchmarking y la identificación de las mejoras
necesarias en la capacidad
• Metas y mediciones de desempeño para los
procesos de TI, que demuestran cómo los procesos satisfacen las necesidades
del negocio y de TI, y cómo se usan para medir el desempeño de los procesos
internos basados en los principios de un marcador de puntuación balanceado
(balanced scorecard)
• Metas de actividades para facilitar el
desempeño efectivo de los procesos
Hola Mónica.
ResponderEliminarUna consulta, con respecto a este blog, Controles Generales de TI y controles de aplicación, con cual es equivalente en el COBIT 5 ? Gracias de antemano.
Mauricio Arguedas.
Una disculpa por meter mi comentario: Los controles Generales se diferencían por ser los controles de cada una de las áreas que deben de cumplir, según su normativa, así que cada área según su organización se identifican esos Controles Generales asociadas a su responsabilidad, y para
ResponderEliminarLos Controles de Apliciación son los Criterios específicos de los criterios que deben cumplir para lograr el objetivo de control (integridad, disponibilidad, confidencialidad, eficacia, eficiencia, efectividad, confiabilidad, etc...) por lo tanto corresponden los de COBIT de acuerdo a su marco de Control, todos los de cada Tipo de Requerimiento, Requerimiento, Característica o especificación de cada norma que debe cumplir.
En el ejemplo que se pone de COBIT, el área de Operación que puede ser la que recibe y revisa todas los documentos de entrada tiene varios controles generales que cumplir, por lo tanto para cumplir con el objetivo se tiene que apegar a varios criterios que el titular sea el dueño, el custodio debe cuidar para cada caso de proceso y control.
Muchas gracias Raúl por el comentario.
ResponderEliminarSaludos.
Buenas tardes en el registro de estudiantes en el sistema,registro de pagos,adhesión de materiales y registros de notas que controles de aplicación identifican y con que objetivo de los controles de aplicación se relacionan
ResponderEliminar