• Author / Uploaded
• Liliana Garcia

Citation preview

LOS SISTEMAS DE CONTABILIDAD EN AMBIENTE DE PED Cuestionario 2 Tema VII Debe de completar las preguntas siguientes: 1. ¿Por qué surge la necesidad de implantar controles en ambientes de PED? La creciente tecnología tanto de hardware como de software, ha permitido mecanizar los diversos sistemas de información y de manera especial el sistema de información contable. Este fenómeno requiere tomar en cuenta factores que derivan de la naturaleza de las funciones propias de PED. Por ejemplo, las operaciones de actualización de registros contables, tales como la transcripción de un asiento al libro diario, y el luego el pase al libro mayor son llevadas a cabo por cualquier software de contabilidad. Aunque los procedimientos de control utilizados en los sistemas manuales no pierden totalmente su vigencia con la implantación de sistemas mecanizados, estos son insuficientes, e incluso llegan a ser inadecuado dentro del contexto de PED. Al mecanizar procedimientos contables es indispensable implantar procedimientos de control que tomen en cuenta la naturaleza del flujo de la información, esto obedece a la necesidad de identificar la manera en la cual la información puede y es almacenada o modificadas en los registros de computadoras, para así determinar la naturaleza de los controles a implantar. 2. ¿Cuáles son las diferentes básicas entre controles de PED y controles manuales? Los controles internos de PED se diferencia de los controles manuales, en la intervención que tiene el elemento máquina y el cual deja gran parte de la responsabilidad de aprobación a un computador. 3. ¿Qué elementos constituyen un sistema de información? Hardware, Software o programas, entre los cuales podemos distinguir varios tipos de aplicación, Del sistema, Utilitario, Manuales de los sistemas, Personal, entre los cuales se pueden distinguir: Programadores del sistema, Operadores del sistema, Soportes de sistemas 4. ¿Por qué el control interno contable de PED forma parte del ambiente de control interno de los sistemas de información de la organización? El control interno es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: " Eficacia y eficiencia de las operaciones. " Fiabilidad de la información financiera. " Cumplimiento de las leyes y normas aplicables. 5. ¿Qué debemos definir e identificar para establecer un esquema de control de acceso?

 La identificación se refiere las cosas como nombres de usuario y tarjetas de identificación. Es el medio por el cual un usuario del sistema identifica quiénes son. Este paso se realiza generalmente al iniciar sesión. La autenticación es el segundo paso del proceso de control de acceso. Contraseñas, reconocimiento de voz, y escáneres biométricos son métodos comunes de autenticación. El objetivo de la autenticación es para verificar la identidad del usuario del sistema. La autorizacion se produce después de que un usuario del sistema se autentica y luego es autorizado a utilizar el sistema. El usuario esta generalmente sólo autorizado a usar una porción de los recursos del sistema en función de su papel en la organización. Por ejemplo, el personal de ingeniería tiene acceso a diferentes aplicaciones y archivos que el personal de finanzas, o recursos humanos no. 6. ¿Qué es una política de control de acceso? Control de accesos en red Política de uso de los servicios de red Autenticación para conexiones externas Identificación de equipos en la red Protección a puertos de diagnóstico remoto y configuración Segregación en las redes Control de conexión a las redes Control de enrutamiento en red. 7. ¿En qué consiste una clave de acceso? Una clave de acceso es una combinación de letras, números y signos que debe teclearse para obtener acceso a un programa o partes de un programa determinado, un terminal u ordenador personal, un punto en la red, etc. Muchas veces se utiliza la terminología inglesa (password) para referirse a la clave de acceso. 8. ¿Qué tipos de mecanismos se pueden implantar para contribuir a la eficacia de los controles de acceso? Un mecanismo de control de acceso controla qué clientes o aplicaciones tienen acceso al servidor X11. Sólo a los clientes debidamente autorizados pueden conectar con el servidor; Acceso basado en el usuario Un mecanismo basado en el usuario, o basado en la autorización le permite conceder acceso explícito a un usuario determinado de cualquier sistema principal. El sistema cliente de ese usuario pasará los datos de autorización al servidor. Si dichos datos coinciden con los datos de autorización del servidor, al usuario se le permitirá el acceso. Acceso basado en el computador principal Un mecanismo basado en el computador principal es un mecanismo de uso general. Le permite conceder el acceso a un computador principal determinado, de forma que todos los usuarios de dicho computador principal puedan conectar con el servidor. Es el método más impreciso para controlar el acceso: si ese computador principal tiene acceso al servidor, entonces todos los usuarios de dicho computador principal podrán conectar con el servidor. 9. ¿Qué es una matriz de acceso?       La matriz de control de accesos es un elemento básico a la hora de definir una política de seguridad ya que permite formalizar las distintas relaciones entre los sujetos activos y pasivos. Esta matriz no cambia los derechos en cada dominio

durante su ejecución. Es decir que es una estructura de protección estática. Con la finalidad de ofrecer flexibilidad y de implementar eficientemente la protección, un sistema operativo debe soportar cambios en los derechos de acceso. Para esto se requiere implementar una estructura de protección dinámica. Un modelo de protección puede ser visto abstractamente como una matriz, llamada matriz de derecho. Los renglones de la matriz representan dominios y las columnas representan objetos.

10. ¿Cuáles mecanismos de control podemos tener para el acceso mediante el hardware? El mecanismo de protección es la matriz, junto con todos los elementos que se han de añadir para que se cumplan de manera efectiva todas las restricciones de acceso a los objetos.

•  La política consiste en decidir cómo rellenar las distintas celdas de la matriz. •  La MA permite implementar operaciones de cambio de domino. •  El objeto sobre el que trabajamos es el Dominio → aparecen tantas columnas como dominios haya en el sistema. •  La operación es la conmutación de un dominio a otro. •  También la MA es un objeto que se puede modificar.  11. ¿Qué tipo de controles se pueden implantar sobre la información? Sujeto:  Una entidad capaz de acceder a los objetos. En general, el concepto de sujeto es equiparable con el de proceso. Cualquier usuario o aplicación consigue acceder en realidad a un objeto por medio de un proceso que representa al usuario o a la aplicación.  Objeto:  Cualquier cosa cuyo acceso debe controlarse. Como ejemplo se incluyen los archivos, partes de archivos, programas y segmentos de memoria. Derecho de acceso: la manera en que un sujeto accede a un objeto. Como ejemplo está Leer, Escribir y Ejecutar. El modelo considera un conjunto de recursos, denominados objetos, cuyo acceso debe ser controlado y un conjunto de sujetos que acceden a dichos objetos. Existe también un conjunto de permisos de acceso que especifica los diferentes permisos que los sujetos pueden tener sobre los objetos (normalmente lectura, escritura, etc., aunque pueden ser diferentes, en general, dependiendo de las operaciones que puedan realizarse con el objeto). 12. Explique los siguientes términos:

a. Intervalos de aceptabilidad: Un formato de archivo es un estándar que define la forma en que la información se organiza y se codifica en un archivo informático. Dado que una unidad de disco o de cualquier memoria solo puede almacenar bits, el ordenador o computadora debe tener algún método para convertir la información en datos binarios. b. Formato de los datos: Un formato de archivo es un estándar que define la forma en que la información se organiza y se codifica en un archivo informático. Dado que una unidad de disco o de cualquier memoria solo puede almacenar bits, el ordenador o computadora debe tener algún método para convertir la información en datos binarios. c. Transacciones duplicadas: Esta función permite crear una nueva transacción con las mismas características que la transacción que sirvió de base para la duplicación. Una transacción duplicada tiene las mismas características que todas las demás transacciones, y puede a su vez ser duplicada. Durante la duplicación de una transacción, se realiza una nueva solicitud de autorización con el número de tarjeta correspondiente a la transacción de origen.

d. Identificación de campos faltantes: En informática, un campo es un espacio de almacenamiento para un dato en particular. En las bases de datos, un campo es la mínima unidad de información a la que se puede acceder; un campo o un conjunto de ellos forman un registro, donde pueden existir campos en blanco, siendo este un error del sistema operativo. e. Controles de correlación: El concepto de correlación está estrechamente vinculado al concepto de regresión, pues, para que una ecuación de regresión sea razonable los puntos muéstrales deben estar ceñidos a la ecuación de regresión; además el coeficiente de correlación debe ser: 

Grande cuando el grado de asociación es alto (cerca de +1 o -1, y pequeño cuando



Es bajo, cerca de cero.



Independiente de las unidades en que se miden las variables.

f. Controles de integridad de los datos: El término integridad de datos se refiere la correctitud y completitud de la información en una base de datos. Cuando los contenidos se modifican con sentencias INSERT, DELETE o UPDATE, la integridad de los datos almacenados puede perderse de muchas maneras diferentes. g. Controles de totales: El control de acceso informático o control de acceso a sistemas informáticos, en seguridad informática, consiste en la autenticación, autorización de acceso y auditoría. h. Controles de digito verificador: El dígito verificador o de control es el último dígito (el que se encuentra más a la derecha) del GTIN. Se calcula a partir de todos los otros dígitos en el número y se utiliza para asegurar que el código de barras haya sido escaneado de manera correcta o que el número se haya compuesto correctamente.

i. Controles sobre partidas en suspenso: Toda aquella partida pendiente de aplicación, por no haberse decidido aún su destino final. 13. ¿Qué implicaciones y/o riesgos se pueden anticipar cuando las transacciones se procesan a través de la voz humana? La incorporación a gran escala, en el mundo de los negocios, del procesamiento de voz abre amplias posibilidades para las organizaciones.

14. ¿Por qué considera usted que algunas empresas no asignan la importancia debida a los controles sobre la seguridad de los sistemas? esto puede llevar a que se den situaciones no previstas y con un impacto financiero, como ser malversación o pérdida de activos, incumplimientos de normas ya sean legales o impositivas que generen un pasivo contingente, fraudes asociados a información financiera fraudulenta que podrían dañar la reputación de la empresa, entre otros. Dichas situaciones podrían ser prevenidas gestionando el control interno con anticipación. 15. Investigue acerca de lo que se considera como una pista de auditoria. La función de auditoria de sistemas (ADS) es una herramienta indispensable para mantener un adecuado control interno en las empresas que cuentan con la función de procesamiento electrónico de datos (PED). En cualquier empresa donde exista un centro de PED, la función de auditoria debe considerar que toda aplicación tiene procesos manuales y computarizados. Esto trae como consecuencia que, entre las responsabilidades de ADS, se deben incluir los siguientes aspectos de control interno: Auditorias del control alrededor del computador: incluye la revisión y evaluación de las aplicaciones o sistemas de información. Auditorias de control de seguridad: incluye la revisión de la función de seguridad de datos, tanto a nivel de su organización, políticas y estándares.