i [2] controles_auditoria

7/29/2019 I [2] Controles_auditoria

1/32

UNIVERSIDAD NACIONAL

Jorge Basadre Grohoman

Escuela de Post Grado

Mag. Erbert F. Osco M.

1


2/32

CONTROLESConjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si

todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.

- FinVigilar las funciones y

actitudes Empresa

- Permite verificar si todo se realiza conforme a los programas adoptados,

ordenes y principios admitidos.

Los datos son uno de los recursos ms valiosos de las organizaciones

y, aunque:

Son intangibles

Necesitan ser controladosSer auditados con el mismo cuidado de los dems inventarios

de la organizacin

La responsabilidad de los datos es compartida conjuntamente por alguna

funcin determinada y el departamento de cmputo 2


3/32

Principales Controles de una

aplicacin

ENTRADA PROCESO SALIDA

SISTEMA DE INFORMACION

Documentos Informacin

3


4/32

Esquema de implementacin de controles

MAGU: Manual de audit gub4


5/32

Visin Sistemtica de la Auditoria Informtica

5


6/32

Controles

Definicin del control interno

El control interno es un proceso establecido por elDirectorio, la Gerencia y todos los niveles del

personal, para brindar una seguridad razonable de

que se lograrn los objetivos de negocios de la

organizacin.

6


7/32

ControlesEn el curso de la realizacin de un estudio de riesgo, unauditor de SI ha identificado amenazas e impactospotenciales. Inmediatamente despus, un auditor de SIdebe:

A. Identificar y estudiar el proceso de anlisis del riesgousado por la gerenciaB. Identificar los activos de informacin y los sistemassubyacentesC. Revelar las amenazas y los impactos a la gerenciaD. Identificar y evaluar los controles existentes

7


8/32

EJEMPLO:

1.- CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL

La mayora de los Delitos por computadora son cometidos por modificaciones de datos

fuente al: Suprimir u omitir datos.

Adicionar Datos.

Alterar datos.

Duplicar procesos.

El primer nivel es el que puede hacer nicamente consultas.

El segundo nivel es aquel que puede hacer captura, modificaciones y consultas.El tercer nivel es el que solo puede hacer todos lo anterior y adems puede realizar

bajas

2.- CLAVES DE ACCESO DE ACUERDO A NIVELES

8


9/32

Controles

Clasificacin general de los controles

Controles Preventivos: < frecuencia de que ocurran (nofumar, claves de acceso)

Controles detectivos: detectan luego de ocurrido (pistas deauditoria)

Controles Correctivos (ayudan a investigacin y correccin de lacausa del riesgo)

Principales Controles fsicos y lgicos

Autenticidad verifica identidad, (passwords, firma digital)

Exactitud Coherencia datos(validacin de campos, excesos)

Totalidad Evitan omisin de registros (conteo de registros, cifras

de control)

Redundancia Evitan duplicidad de datos (cancelacin de lotes,9


10/32

Principales controles fsicos y lgicos

Privacidad Aseguran la proteccin de losdatos

Ejm: Compactacin, encriptacin

Existencia Aseguran la disponibilidad de los datos

Ejm: Bitcora de estados, mantenimiento de activos

Proteccin de Activos Destruccin o corrupcin de

informacin o del hardware. Ejm: Extintores, Passwords

Efectividad, Aseguran el logro de los objetivos

Ejm: Encuestas de satisfaccin, Medicin de niveles de servicio

Eficiencia Aseguran el uso ptimo de los recursos

Ejm: Programas monitores , Anlisis costo-beneficio

10


11/32

Controles automticos o lgicos

Periodicidad de cambio de claves ( 3 meses)

Combinacin de alfanumricos

Individuales (realizar transacciones registra el cambio )

Confidenciales (las claves son confidenciales)

No significativas ( ejm: 123, fecha nac, nombres)Verificacin de datos de entrada (tipo de dato, rango)

Verificacin de limites (mnimo, mximo)

Verificacin de secuencias (ascendente, desc, rutinas indepen)

Digito autoverificador ( Ejm. Ultimo digito DNI X N Modulo 1)

Software seguridad en pcs (WACHDOG, LATTICE,SECRET DISK, etc)

11


12/32

Controles administrativos en un ambiente de

procesamiento de datos

1.- Controles de Preinstalacin (adq Hw, sw adecuado)

2.- Controles de Organizacin y Planificacin

3.- Controles de Sistemas en Desarrollo yProduccin

4.- Controles de Procesamiento

5.- Controles de Operacin6.- Controles de uso de Microcomputadores

Texto Word12


13/32

1.- Controles de Preinstalacin (adq Hw, sw adecuado)

Actividades previas a adquisicin e instalacin de equipos de computo

Garantizar que el hw y sw sean los adecuados

Elaborar inf tcnico de hw y sw.

Formar comit de adquisiciones

Elaborar plan de instalacin de hw y sw

Elaborar procedimientos y normas

Asegurar mantto y asistencia tecnica.

2.- Controles de Organizacin y PlanificacinFunciones, lnea de autoridad, equipos de computo

Evitar que una misma persona tenga control de toda una operacin.

Informtica debe estar en el nivel mas alto en la gestin administrativa

Funciones de operacin, programacin, diseo de sistemas deben estar bien

definidas y delimitadas.

Debe existir una unidad de Control de calidad (in, out) del procesamiento

El manejo y custodia de backup debe ser por escrito

13


14/32

3.- Controles de Sistemas en Desarrollo y ProduccinJustificarC/B de los sistemas, documentacin de los sistemas y planificacin.

El personal de auditoria debe intervenir en el diseo, para sugerir rutinas de control

Se debe obedecer a planes, normas, estndares.

Cada fase concluida, debe estar documentada y acta.

Los programas para pasar a produccin deben ser probados con datos aleatorios.

Todos los sistemas deben estar documentados: diagrama bloque, lgico, objetivo,

listado prg, formatos de salida, pruebas.

Implantar procedimientos: solicitud, cambios, ejecucin a programas.

Sistema concluido ser entregado al usuario, con manuales

4.- Controles de ProcesamientoDesde la In hasta la out de la informacin (asegurar procesamiento de todos datos,

exactitud, garantizar las pistas de auditoria, disponibilidad de la informacin )

Validar datos de entrada (cdigo autoverificador, totales x lotes) Los datos son responsabilidad del usuario y su correccin.

Horarios para in de datos

Acciones para correccin de errores

Analizar la estandarizacin de formularios

Planificar mantto Hw, Sw, garantizando la integridad de la informacion 14


15/32

5.- Controles de Operacin

Operacindel equipo, almacenamiento, cintoteca, terminales, equipos decomunicaciones on line.

Ingreso al Centro de computo solo a personal autorizado

Implantar claves para el mainframe a personal autorizado

Polticas de seguridad, privacidad, proteccin ante: incendios, inundaciones, robo,

etc.

Registro permanente (bitcora)

Backup deben ser dos (padres e hijos) preferentemente bvedas bancos.

Todas las actividades del centro de computo deben estar normadas, reglamentos.

Los proveedores debern proporcionar ( manual de: operacin, manual

programador, utilitarios, SO.

Instalaciones: alarma de fuego, humo, extintores, red elctrica segura, etc.

Instalar: reguladores de voltaje, UPS, generadores de energa

Seguros para proteccin de informacin, personal, equipos,.

15


16/32

6.- Controles de uso de Microcomputadores

Los equipos son mas vulnerables, fcil acceso, fcil explotacin.

Adquirir: supresores de pico, estabilizadores, UPS.

Vencida la garanta, contratar mantto preventivo y correctivo Procedimientos para backup de paquetes y archivos.

Verificacin peridica de los DD para verificar software no relacionados a la

empresa.

Procedimientos para deteccin de virus

Propender a la estandarizacin de SO. Bd, procesador de textos, hoja electrnica,actualizar versiones.

16


17/32

Controles de Aplicativos

17


18/32

Ley Sarbanes-Oxley; Julio 2002, surge como rpta escndalo contabilidad corporativa de los 90 EEUU. Disponibilidad de la informaci. a auditores externos asi como a la empresa18


19/32

19


20/32

2020

AUDITORIA A APLICACIONES EN FUNCIONAMIENTO

OBJETIVO DE LA AUDITORIA A APLICACIONES EN FUNCIONAMIENTOEvaluar la efectividad de los controles existentes y sugerir nuevos controlescon el fin de minimizar riesgos y fortalecer el control de dichas aplicaciones.

PRINCIPALES CONTROLES A UNA APLICACIN

ENTRADA PROCESO SALIDA

SISTEMA DE INFORMACION

Documentos Informacin

I. Controles

In Datos

II. Controles

Procesamiento

de datos

III. Controles

en la salida


21/32

21

I. CONTROLES EN LOS INGRESOS DE DATOS

Detectan posibles errores en la digitacin

Ingresos de datos incompletos

Ingresos repetidos u omisiones

PRINCIPALES CONTROLES EN LA CAPTURA DE DATOS

La pantalla de captura de datos debe ser similar a los documentos fuente

La aplicacin debe tener adecuados mensajes de ayuda

Restringir el acceso de usuarios a las diferentes opciones de la aplicacin

Verificar que cada pantalla de captura de datos sea de obligatoriadigitacin

Controlespreventivos

21


22/32

22Mag. Erbert F. Osco M.

En toda la aplicacin cada campo debe tener un formato de datoapropiado

Establecer un limite para los datos numricos y campos fecha para

asegurar que los datos estn dentro de un limite. Por ejemplo que lafecha de vencimiento de un crdito debe ser posterior a la fecha deotorgamiento.

En la captura o modificacin de datos crticos debe dejarse una pista deauditoria donde se identifique lo siguiente:

-Nombre del usuario-Fecha y hora de creacin-Valor del campo antes de actualizar-Valor del campo despus de la actualizacin

Verificar que las pistas de auditoria sean revisadas por los responsables

Al ingresar datos, el sistema debe ir verificando con los registros de losarchivos maestros para determinar su validez

Las pantallas con captura de datos numricos deben incluir el ingreso

totales de control



23/32

2320/09/2013 Ing. Erbert F. Osco M.

La aplicacin debe permitir imprimir listados de datos ingresados

La aplicacin no debe permitir que los datos de los archivosmaestros, despus de haber tenido movimientos, puedan serborrados del sistema

Los nmeros de los documentos fuente o el numero de lote no debepermitir ser ingresados para el procesamiento mas de una vez.

Lo anterior se debe tener en cuenta para los documentos yaexistentes que requieran ser modificados

Si existen documentos rechazados por la aplicacin, sta debepermitir mantener un archivo en suspenso para que estas sean

revisadas, analizadas y corregidas.



24/32

2420/09/2013 Ing. Erbert F. Osco M. 24

Los controles para este tipo de transaccin son los siguientes:

-Controlar y mantener un registro de las transacciones rechazadasen un archivo-La aplicacin debe permitir la impresin de los documentos otransacciones rechazadas-Antes de realizar un proceso de cierre el sistema debe validar quelas transacciones rechazadas hayan sido corregidas o pendientesen el archivo en suspenso.


25/32

25

II.CONTROLES EN EL PROCESAMIENTO DE DATOS

Los controles en el procesamiento de datos permiten identificar las

transacciones que son actualizadas en forma incorrecta o incompleta El ingreso de los documentos fuente para su procesamiento debe

generar nmeros consecutivos

Incluir en la aplicacin controles de balanceo programados tales como:

- Balanceo de crditos y dbitos- Saldo inicial del ciclo de procesamiento actual debe ser igual al saldofinal del ciclo anterior

- El saldo inicial ms las transacciones procesadas debe ser igual alsaldo final del ciclo

Incluir en la aplicacin controles de limite y razonabilidad sobre losclculos

Cuando la aplicacin esta realizando algn proceso debe mostrar unmensaje al usuario

. II.CONTROLES EN EL PROCESAMIENTO DE DATOS


26/32

26

La ejecucin de procesos debe ser secuencial, el sistema debe

controlar que al realizar determinados proceso estn listos los procesosprevios a su ejecucinAl realizar un proceso de cierre de todos los documentos deben estarprocesados completamente y no deben existir documentos pendientesen el archivo en suspenso

Verificar la existencia totales de control para confirmar la confiabilidadde las interfaces entre los diferentes mdulos o aplicaciones

En los procesos crticos de la operacin debe dejarse una pista deauditoria

. II.CONTROLES EN EL PROCESAMIENTO DE DATOS


27/32

27

III.CONTROLES EN LA SALIDA

Los controles en la salida sirven para verificar la exactitud, funcionalidad,adems del adecuado uso y distribucin de los reportes

Generar reportes por excepcin para verificar aspectos tales como:cantidades poco frecuentes, transacciones que no cumplen con laspolticas de la compaa.

Generar listados o consultas por pantalla de los datos producidos por elsistema con el fin de que sean revisadas y/o autorizadas por los usuarios.

Los reportes que genera la aplicacin debe indicar en la ultima pginaque ha finalizado. Para reportes confidenciales se debe indicar ladistribucin a los usuarios el tiempo de conservacin e indicar que sedebe hacer despus de su uso.

Cuando se anulan documentos en la aplicacin, esta no debe permitirimprimirlos y para control se debe generar un reporte de documentosanulados

. III.CONTROLES EN LA SALIDA


28/32

28

En la peticin de nuevos reportes por usuarios debe existir una peticinescrita autorizada por el jefe del rea usuaria con su respectiva

justificacin

Verificar que los reportes generados sean lo suficientemente completospara facilitar la toma de decisiones

Para los documentos que son titulo valor, verificar que tanto los que se

encuentran en blanco como los diligenciados, estn adecuadamentecontrolados y se les haya asignado una persona responsable de suinventario.

. III.CONTROLES EN LA SALIDA


29/32

El departamento de SI de una organizacin quiereasegurarse de que los archivos de

computadora/ordenador usados en la instalacin de

procesamiento de informacin, estn respaldados

adecuadamente para permitir la recuperacin apropiada.

Este es un:

A. procedimiento de control.

B. objetivo de control.C. control correctivo.

D. control operativo.

Controles

Los objetivos de control de SI

especifican el conjunto mnimo de

controles para asegurar la eficiencia

y efectividad en las operaciones y

funciones dentro de una organizacin.

29


30/32

Controles Detectivos

Cul de las opciones siguientes es un control

de deteccin?

A. Controles de Acceso Fsico

B. Segregacin de funciones

C. Procedimientos de Respaldo de Seguridad

D. Rastros de Auditora

Los rastros de auditora captan informacin,

la cual puede ser usada para detectar los

errores. Por lo tanto, se consideran como

controles de deteccin. Los controles de acceso

fsico y de segregacin de funciones sonejemplos de controles preventivos mientras

que los procedimientos de respaldos de

seguridad son controles correctivos..

30


31/32

Cul de los siguientes es un objetivo decontrol de SI?

A. Los reportes de salida estn bajo llave en un lugarseguro

B. No ocurren transacciones duplicadas

C. Los procedimientos de respaldo y/o recuperacindel sistema son actualizados peridicamente

D. El diseo y el desarrollo del sistema renen losrequerimientos de los usuarios

Controles

Es un sistema Interno de Control

Es un Control Operativo

Es un Control Administrativo

31


32/32

ControlesRequerir que las contraseas sean cambiadas

peridicamente, asignar una nueva contrasea de una

sola vez cuando un usuario se olvide de la suya, y

requerir que los usuarios no escriban sus contraseas

son todos ejemplos de:

A. objetivos de auditoria.

B. procedimientos de auditoria.

C. objetivos de control.

D. procedimientos de control.Por que es una prctica que establece

la gerencia para lograr objetivos especficos

32

i [2] controles_auditoria

Documents