Política de Control de Hojas de Cálculo. Prorrectoría

Transcripción

1 Política de Control de Hojas de Cálculo Prorrectoría

2 ÍNDICE O CONTENIDO 1. PROPOSITO DE LA POLÍTICA ALCANCE GLOSARIO DESCRIPCIÓN DE LA POLÍTICA... 5 Control de cambios... 5 Control de versiones... 5 Control de accesos... 5 Control de Entrada / Salida... 5 Seguridad... 5 Documentación... 6 Copias de Seguridad... 6 Almacenamiento Histórico PROTOCOLIZACIÓN

3 1. PROPOSITO DE LA POLÍTICA El propósito de este documento es describir los roles y responsabilidad de: La Dirección General de Tecnología de Los usuarios y desarrolladores de hojas de cálculo y otras herramientas de escritorio utilizadas por la Institución para cumplir con los requisitos SOX de los controles sobre la información financiera en relación a hojas de calculo y otras herramientas de escritorio. Además, esta política describe los procedimientos para evaluar el nivel de riesgo de las hojas de calculo y otras herramientas de escritorio, define una herramienta de escritorio financiera y financieramente significativa, y describe las normas mínimas de control de necesarias para todas aquellas herramientas de escritorio. 2. ALCANCE Esta política se aplica no solo a los usuarios financieramente significativos que desarrollan o mantienen las hojas de calculo Microsoft Excel, sino también se hace extensiva a las herramientas de escritorio tales como base de datos Access, Crystal Reports, Consultas y otras herramientas de escritorio financieramente significativas identificadas por la organización. En conjunto, estas herramientas serán referidas en este documento como herramientas computacionales de usuario final o HCUP. 3. GLOSARIO Término Información Confidencialidad Integridad Disponibilidad Colaborador Usuario Servicios de la DGTI Información Analítica / de Gestión Definición Es todo conjunto de datos relacionados valorados por la organización. Característica de la información que busca garantizar que la información sea accesible sólo por aquellas personas autorizadas a tener acceso a la misma. Característica de la información asociada a la exactitud y completitud de la información y los métodos de procesamiento. Característica de la información relacionada al nivel de acceso que los usuarios autorizados tengan y a los recursos relacionados con la misma, toda vez que lo requieran. Es toda persona natural que participa, consume o aporta en los servicios que presta la DGTI. Es todo colaborador que consume servicios que presta la DGTI. Aquellos servicios especificados en el Catálogo de Servicios de la DGTI. Estos incluyen Servicios Tecnológicos y Proyectos Tecnológicos. Se utiliza para asistir la revisión analítica la toma de decisiones en cuanto a la gestión. Puede ser utilizado para evaluar la razonabilidad de los importes financieros. 3

4 HCUF Herramientas computacionales de usuario final. Usuarios financieramente significativos que desarrollan o mantienen las hojas de cálculos Microsoft Excel, herramientas de escritorio tales como bases de datos Access, Crystal Reports, Consultas, y otras herramientas de escritorio financieramente significativas.todos los archivos que sean especificados al tiempo de ejecutarse el respaldo. Bases de datos financieras Hojas de cálculo financieras Riesgo Cualquier base de datos Access utilizada por Finanzas para asistir, justificar, conciliar, o validar los datos financieros. Por definición, todas las bases de datos financieras son financieramente significativas, por lo que todos los controles de HCUF señalados más adelante, serán aplicables. Excepciones a la inclusión de una base de datos como financieramente significativas deben ser documentadas y aprobadas por el Vicerrector de Administración y Finanzas. Hojas de cálculo utilizadas para determinar los montos de transacción de los estados financieros o los saldos que son poblados en el libro mayor de contabilidad y / o en los estados financieros, incluyendo notas a pie de página. La extensión de los controles necesarios dependerá del nivel de riesgo potencial (tratado más adelante). En general, las hojas de cálculo financieras incluyen hojas de cálculo y otras herramientas de escritorio que se encuentran en Finanzas. Las hojas de calculo financieras adicionales que están fuera de Finanzas deben ser identificadas mediante el proceso de inventario descrito a continuación. Se relaciona con la aplicación bajo criterios específicos, definidos por la organización. La aplicación del riesgo determina cuales HCUF son complejas y financieramente significativas, y de este modo ser incluidas en el ámbito de la Gestión para evaluar el diseño y la efectividad operativa de los controles de HCUF. Luego de la aplicación de los criterios de riesgo, las hojas de calculo serán categorizadas como ALTA (Cumple todos los criterios), MEDIA (cumple más de la mitad de los criterios, pero no todos) o BAJA (cumple con menos de la mitad de los criterios). La Institución considera los siguientes atributos de la herramienta de escritorio para determinar si una HCUF es financieramente significativa: Complejidad de la hoja de cálculo y cálculo Utilización final de los resultados de la hoja de cálculo Propósito y uso de HCUF Número de usuarios de HCUF Potencial para la entrada, la lógica y los errores de la interfaz, como: o pegar. Fallo de entrada de datos, referencias inexactas o errores de cortar y o Se crean fórmulas inadecuadas son creadas y generan resultados incorrectos. o Errores de la importación o la exportación de datos con otros sistemas. o Definición inadecuada de los rangos de celdas, células referenciadas inapropiadamente u hojas de cálculo enlazadas incorrectamente. Tamaño de la HCUF 4

5 4. DESCRIPCIÓN DE LA POLÍTICA La frecuencia y magnitud de los cambios y modificaciones a las fórmulas/lógicas de HCUF. Grado de comprensión de los requisitos por usuario. Pruebas de la HCUF antes de que sea utilizado y de los cambios a partir de entonces. Control de cambios El usuario de HCUF obtendrá la aprobación de un gestor/ superior directo antes de solicitar un cambio a una fórmula o cálculo. Todos los cambios deben ser aprobados antes de usar la hoja de cálculo (en muchos casos la prueba es el uso real, y la aprobación de cambios provienen del supervisor durante la revisión). Para las herramientas de escritorio de alta complejidad, el usuario de HCUF obtendrá una aprobación formal por parte de un individuo independiente de que el cambio está funcionando según lo previsto. La evidencia de aprobación y de pruebas debe ser retenida para fines de auditoría. Control de versiones Todas las HCUF seguirán la convención de nomenclatura del departamento o grupo. La convención de nomenclatura se puede definir en el nombre del archivo / herramientas de escritorio, o el nombre de los directorios / carpetas y subdirectorios / carpetas y sus correlativos. Control de accesos El servidor de la Institución contiene un sistema de directorio, que restringe el acceso sólo a determinado personal. En la medida en que la protección adicional de los archivos sea necesarios (por ejemplo, a través de la protección de contraseña para los archivos que contienen información confidencial), los propietarios de HCUF usan su criterio en cuanto a qué archivo requieren protección adicional. La DGTI es responsable sólo de aplicar la restricción de acceso basado en las instrucciones que reciban por parte de los usuarios con validación de sus Directivos o Jefaturas. Adicionalmente la DGTI es la responsable de proporcionar la ruta del recurso compartido en donde se almacenaran todos los HCUF. Control de Entrada / Salida Conciliación y / o verificación de figuras para entradas y / o salidas, si aplica, en comparación con libro mayor de contabilidad o de otra fuente de datos válidos es necesario y debe tenerse en cuenta (ya sea como nota en el documento electrónico o con una referencia en la edición impresa). Esto deberá presentarse en el documento como una tabla cuya función sea cuadrar cifras, o hacer referencia a una clave que indique la fuente de conciliación. Seguridad Todas las HCUF financieramente significativas (hojas de cálculo, bases de datos de escritorio, consultas, e informe) deben estar aseguradas para evitar el acceso no autorizado. Estas herramientas de escritorio se encuentran en un directorio seguro proporcionado por la DGTI dentro de la red. La seguridad aplicables a cada una, serán determinadas por Finanzas. La DGTI es responsable sólo de la aplicación de las seguridades. 5

6 a. Seguridad de los Datos: Para fórmulas críticas y complejas en hojas de cálculo financieramente significativas y macros que no cambian de mes a mes, el propietario de la contraseña debe proteger las celdas y los macros. Documentación Todas las herramientas de escritorios financieramente significante debe poseer suficiente documentación para facilitar su actualización permanente, y mantenimiento. a. Para ellos, las HUCF serán inventariadas anualmente. Como punto de partida, el inventario debe ser ensamblado desde la documentación de procesos SOX. Las HUCF adicionales serán identificados a través de la investigación con los controladores del equipo de finanzas. La siguiente información se incluirá en el inventario para asistir a la gestión en su evaluación de las principales HUCF Financieramente significativas. Nombre de la HUCF Ruta del Directorio entrego por la DGTI para las HUCF Breve descripción de las entradas, procesamiento, salida y destino de la salida. Cuentas del estado financiero o notas a pie de página afectadas Desarrollador o creador de la hoja de cálculo Usuario (s) de la hoja de cálculo Frecuencia de las actualizaciones (diaria, semanal, mensual) Copias de Seguridad Todas las HUCF financieras identificadas en la sección Inventario HUCF deben residir en el lugar asignado por la DGTI en lugar del disco duro de un individuo. Esto asegurará que las HUCF estén incluidas en los procedimientos de copia de seguridad del servidor de la Institución. Almacenamiento Histórico Cada año, Finanzas notificará a DGTI a través de un correo al Director de Infraestructura TI y al Oficial de Seguridad de la Información de la DGTI en cuanto a qué archivos se respaldaran a histórico. Una vez identificados y segregados en una carpeta de archivo, serán bloqueados como sólo lectura 5. PROTOCOLIZACIÓN 6