Ciclo II-2015

19 agosto 2015

19/08/2015

Papel de la Auditoria de Sistemas en la

auditoria interna, revisin fiscal y auditoria
externa (ltima parte unidad I)

UNIDAD II
Principales Controles en una Aplicacin

Controles, categoras, controles generales,

controles de aplicaciones.
19/08/2015

Papel de la Auditoria de Sistemas

en la auditoria interna, revisin
fiscal y auditoria externa

19/08/2015

AS requiere expertos en TI que entiendan:

Los principales aspectos relacionados con el negocio.
Los principios bsicos de auditora,
El enfoque y metodologa del rea de AI

AS no es un rea independiente de AI, es un rea

que complementa la funcin de AI

Por perfil, generalmente personal de AI no puede

tomar funciones de AS

Personal 100% tcnico puede ser capacitado en

aspectos de auditora y control

19/08/2015

En la planeacin debe definirse la necesidad de

involucrar expertos de Auditores de TI.
Deben definirse claramente los miembros que
integrarn el equipo de auditora, as como los roles
especficos

Deben definirse los papeles de trabajo y reportes

estndar

Deben definirse las herramientas de TI que se

utilizarn
De evaluacin (seguridad de ambiente, hackeo tico, etc.)
De apoyo de Herramientas TAAC ( IDEA, Querys,etc.)

19/08/2015

Los auditores financieros pueden llegar a tener

necesidades tcnicas especficas para desarrollar sus
tareas de auditora
Reportes especficos
Anlisis de datos
Conocimiento tcnico de clculos o reglas del negocio

Los auditores de TI debern

necesidades cuando sea posible

soportar

estas

Se requiere una adecuada integracin y comunicacin con los

auditores financieros
Se requiere entender el enfoque de la auditora
Apoyar a los auditores a definir sus necesidades claramente
19/08/2015

Controles, categoras, controles

generales, controles de
aplicaciones.

19/08/2015

Medidas encaminadas a evitar la materializacin de

amenazas.
Conjunto de disposiciones metdicas, cuyo fin es
vigilar las funciones y actitudes de las empresas y
para ello permite verificar si todo se realiza conforme
a los programas adoptados, ordenes impartidas y
principios admitidos.
La
palabra
control
proviene
del
trmino
francs
contrle
y
significa
comprobacin,
inspeccin, fiscalizacin o intervencin. Tambin
puede hacer referencia al dominio, mando y
preponderancia, o a la regulacin sobre un sistema.

19/08/2015

Controla diariamente que todas las actividades de los

sistemas de informacin sean realizadas cumpliendo los
procedimientos, estndares y normas fijados por la direccin
de la organizacin y/o la direccin informtica, as como los
requerimientos legales

Realizar
en
los
diferentes
sistemas
(centrales,
departamentales, redes locales, PCs, etc.) y entornos
informticos (produccin, desarrollo o pruebas) el control de
las diferentes actividades operativas.

19/08/2015

Controles preventivos
Reducen la frecuencia con que ocurren las causas del riesgo, permitiendo
cierto margen de violaciones.
Funcin
Descartar Problemas antes de que surjan
Monitorear tanto las operaciones como el ingreso de datos.
Tratar de predecir los problemas potenciales antes de que ocurran y hacer
ajustes.
Impedir que ocurra un error, una omisin o un acto malicioso.
Ejemplos
Emplear solo personal calificado
Segregar las tareas (factor disuasivo)
Control de acceso a instalaciones fsicas
Usar documentos bien diseados (prevenir errores)
Establecer proc. adecuados para autorizar transacciones.(aprobaciones)
Verificaciones programadas de edicin.
IPS, software o hardware de seguridad
Claves de acceso
19/08/2015

10

Controles detectivos
No evitan que ocurran las causas del riesgo sino que los detecta luego
de ocurridos. Son los mas importantes para el auditor. En cierta forma
sirven para evaluar la eficiencia de los controles preventivos.
Funcin
Controles que detectan que ha ocurrido un error, una omisin o un
acto malicioso y lo reportan
Ejemplos
Totales Brutos
Verificacin doble de los clculos
Realizacin peridica de reportes con variaciones.
Archivos y procesos que sirvan como pistas de auditora
Procedimientos de validacin

Registro de intentos de acceso no autorizados

Antivirus, antispyware

19/08/2015

11

Controles Correctivos
Ayudan a la investigacin y correccin de las causas del riesgo. La
correccin adecuada puede resultar difcil e ineficiente, siendo
necesaria la implantacin de controles detectivos sobre los controles
correctivos, debido a que la correccin de errores es en si una
actividad altamente propensa a errores.

Funcin
Minimizar el impacto de una amenaza.
Remediar problemas descubiertos por los controles de deteccin.
Identificar la causa de un problema.
Corregir los errores que surjan de un problema.
Modificar el o los sistemas de procesamiento para minimizar que el
problema ocurra en el futuro.
Ejemplos
Planificacin de contingencias.

Recuperacin de un archivo daado o perdido a partir de las

copias de seguridad
19/08/2015

12

Controles generales organizativos.

Controles
de
desarrollo,
adquisicin
mantenimiento de sistemas de informacin.
Controles de
informacin.

explotacin

de

sistemas

y
de

Controles en aplicaciones.

19/08/2015

13

Los controles generales de TI son aquellos que

tienen que ver con el ambiente de proceso de TI en
el cual operan los controles de aplicacin. Entre los
controles generales estn por ejemplo:

Control de cambios a programas

Controles de acceso fsico
Controles de acceso lgico
Controles de continuidad operativa
Controles de aplicaciones

19/08/2015

14

Los controles de aplicacin consisten de actividades

manuales y/o automatizadas que aseguran que la
informacin cumple con ciertos criterios:
Efectividad,
Eficiencia,
Confidencialidad,
Integridad,
Disponibilidad,
Cumplimiento y
Confiabilidad.

Controles de ingreso de datos, procesamiento y salida

19/08/2015

15

La
mayora
de
las
transacciones
de
procesamiento electrnico de datos comienza
con procedimientos de entrada de datos.
Se hace necesario efectuar el control de ingreso
para asegurar que cada transaccin a ser
procesada cumpla con requisitos:
Se debe recibir y registrar con exactitud e ntegramente.
Se deben procesar solamente datos vlidos y autorizados.
Se deben ingresar los datos una vez por cada transaccin.

19/08/2015

16

Los
controles
en
el
ingreso
de
datos
son preventivos, pues tratan de evitar la
produccin de errores exigiendo el ajuste de los
datos introducidos a patrones de formato y
estructura (fecha valida, dato numrico, dato
dentro de un rango especifico, introduccin de
dgitos de chequeo, etc.).

19/08/2015

17

Transacciones en lnea.
Usuario y operador.
Terminal o dispositivo de entrada de datos.

19/08/2015

18

Los objetivos generales:

Disponer de mecanismos de control que minimicen la exposicin

a riesgos derivados de amenazas como las siguientes:
Ingreso de transacciones que no cumplan con lo establecido
por las regulaciones vigentes.
Ingreso de transacciones errneas o incompletas.
Ajustes indebidos a transacciones.
Deterioros o degradacin a la base de datos.
Carencia de pistas de auditora.

Asegurar la continuidad de las actividades mediante vas

alternativas de entrada de datos.

19/08/2015

19

Identificar y registrar todos los tipos de transacciones aceptadas por el sistema

Identificar y registrar a los operadores autorizados para ingresar las
transacciones aprobadas.
Desplegar en pantalla formatos especficos para orientar al operador acerca de
los datos que debe ingresar en cuanto a dimensin, secuencia, rango o limites
dentro de los cuales se deben mantener los valores a ingresar.
Exhibir rangos de validez de los datos, de manera que sirvan de orientacin
tambin al operador.
Aplicar dilogos interactivos de control.
Evitar el ingreso, como dato, de fechas inexistentes. Por ejemplo, da superior a
31.
Suministrar pistas de auditora de actividad.
Mantener en las terminales logs que sirvan como pistas de auditora para
posibilitar la reconstruccin de transacciones desde todas las estaciones de
usuarios.
Verificar que en las transacciones contables los dbitos balanceen con los
crditos.
Prever la efectivizacin de un profundo entrenamiento por parte de los usuarios y
operadores de los sistemas en lnea y en tiempo real, asegurar que los
programas de entrenamiento no afecten los archivos de operacin normal.

19/08/2015

20

Los objetivos generales:

Minimizar la posibilidad de que se cometan errores humanos

durante la transmisin de entrada de datos.
Asegurar que las funciones que ejecutan los operadores de
datos sobre reas reservadas se ajustan a las polticas y
prcticas de control de la organizacin.

19/08/2015

21

Facilitar y simplificar la tarea del operador.

Utilizar opciones limitadas entre las posibles de un men
conforme a las autorizaciones otorgadas a cada usuario
por medio de tablas, entregar a cada usuario una
contrasea basada en algn factor.
Introducir el software rutinas del bloqueo que solo pueda
ser des afectadas por medio de contraseas autorizadas.
Desactivar terminales despus de tres intentos fallidos de
ingreso de datos, mantener registros internos frustrados.
Disponer de procedimientos especficos de seguridad en el
caso en que se restauren operaciones ocurridas luego de
un periodo de inactividad por fallas de una terminal.
Efectuar control de duplicacin.

19/08/2015

22

Objetivos generales:

Asegurar, por medio de operadores autorizados y desde

lugares autorizados.
Asegurar la continuidad de los negocios (procesamiento de
transacciones), aun en el caso de que se produzcan fallas en
el sistema.
Mantener la confidencialidad y privacidad de los datos
agrupados y transmitidos para su procesamiento dentro de
un ambiente protegido.

19/08/2015

23

Utilizar el software establecido.

Separar tcnicamente las terminales de uso general.
Delimitar los men
Evitar personas ajenas al operador autorizado.
Registrar los datos a transmitir.
Establecer procedimientos alternativos en caso de cualquier
anomala.
Establecer lmites de tiempo para el mantenimiento.
Asignar llaves funcionales especiales a los usuarios.
Utilizar cables blindados.
Que solo la nicamente una persona autorizada sea quien cambie
los cdigos de encriptacin.
Verificar si todas las terminales quedan afuera de servicio al finalizar
la jornada laboral.

19/08/2015

24

Los programas de computacin deben ser sometidos a

pruebas antes de ser lanzados a produccin rutinaria, el
auditor debe revisar las condiciones bajo las cuales se realiza
el procesamiento interno.
Programar controles sobre el procesamiento ya que un
programa puede ser modificado indebidamente (con
intencin o accidentalmente).
El auditor no debe confiar en que una vez controlados los
datos de entrada, controlados los archivos y probados los
programas, no puedan ocurrir errores de procesamiento que
den por resultado salidas incorrectas.

19/08/2015

25

Errores de codificacin
Errores u omisiones en el diseo lgico del
procesamiento
Modificaciones incorrectas al programa

19/08/2015

26

Importe totales predeterminados,

procesamiento de todas los datos.

conciliacin

al

final

del

Controles de razonabilidad y de lmites de importes calculados por

programa, los programas deben comprobar la razonabilidad de un
clculo efectuado durante el procesamiento, comparando el
resultado obtenido en cada operacin con lmites fijos o flexibles
predeterminados (intervalos).
Prueba de sumas horizontales, control cruzado que consiste en
llegar a un importe neto final por dos caminos diferentes. Si las
cifras finales obtenidas a travs de estos dos caminos no coinciden,
se deber indicar el error en el procesamiento.

19/08/2015

27

La informacin de salida de un procesamiento

computarizado se refleja en listados o tabulados
impresos en papel o formularios continuos.

19/08/2015

28

Custodia de los formulario crticos o negociables, los formularios en

blanco que sern destinados para ser impresos por computadora
deben estar protegidos adecuadamente contra robos o daos.
Tambin debern mantenerse adecuados registros sobre la
existencia y uso de los mismos, y cumplirse con planes de recuentos
fsicos peridicos.

Conciliacin entre formularios salidos del inventario y aquellos

procesados (impresos), Una persona ajena a quien genere la
impresin deber conciliar y fundamentar las razones de las
diferencias por errores de impresin, mutilaciones, etc.

19/08/2015

29

Conciliacin de importes totales contenidos en las salidas, El

encargado de Mesa de Control o de la seccin Control de Datos
deber conciliar los importes totales de salida con los respectivos
importes totales de datos de entrada. Al auditor de sistemas tendr
que verificar si en el diseo del sistema la existencia de pistas de
auditoria permitir el rastreo del procesamiento de las transacciones
en caso de ausencia de balanceo.
Control de distribucin y verificacin de recepcin, El control de
distribucin obedece a la necesidad de mantener la confidencialidad
de la informacin reservada. Debido a que actualmente la mayora
del
procesamiento
de
informacin
pasa
por
procesos
computarizados.

19/08/2015

30

Tiempo de retencin de informes, La poltica de retencin deber

determinar los tiempos fijados desde el punto de vista legal y desde
la normativa interna de la empresa.
Informacin de salida para correccin de errores, Los programas
prevn mtodos de detencin de errores, en estos casos, los errores
se imprimen en un listado o bien se muestran por pantalla pero lo
realmente importante es verificar que los mismos queden
registrados en almacenamiento transitorio hasta tanto se verifique
su correccin y reingreso al proceso. El auditor revisara el
procedimiento que utiliza el usuario para corregir y retornar los
datos al proceso.

19/08/2015

31