Download - Semana VI-Control de Aplicacion TI
Facultad de Ingeniería y Arquitectura 2010-II
Auditoria Informática
Ing. Carlos Luis Vidal, CISA, CISSP, ITIL v3, Security+
Escuela: Ingeniería de Sistemas e Informática
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Semana VIAuditoria a los controles de Aplicación en
los Sistemas de Información(SI)Controles de Aplicación en los SIAuditoría a los Controles de Aplicación en los SI
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los controles de aplicación son controles sobre las funciones de entrada (input), procesamiento y salida (output) de datos.
Los cuales se refieren a las transacciones y a los datos relativos a cada sistema aplicativo basado en una computadora, y por lo tanto, son específicos para cada aplicación
Dichos controles pueden ser manuales y/o automáticos.
Controles de Aplicación en los SI
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los objetivos de los controles de aplicación son asegurar:
La completitud de los registrosLa exactitud de los registros La validez de las entradas realizadas
Tanto estos sean resultantes del procesamiento manual como programado.
Objetivos de los Controles de Aplicación en los SI
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los controles de aplicación, incluyen métodos para asegurar:
Que sólo datos completos, correctos y válidos son ingresados y actualizados en un sistema aplicativoQue el procesamiento realice la tarea correcta Que los resultados del procesamiento satisfagan las expectativasQue se mantengan apropiadamente los datos
Controles de Aplicación en los SI
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los controles de aplicación pueden tipificarse en:
Controles de Entrada/OrigenControles de ProcesamientoControles de Salida(Output)
Tipo de Controles de Aplicación
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los procedimientos de controles de entrada deben asegurar que toda transacción que vaya a ser procesada sea recibida, procesada y registrada correcta y completamente.
Estos controles deben asegurar que sólo se introduzca información válida y autorizada, y que estas transacciones sean procesadas una vez.
Controles de Entrada
Facultad de Ingeniería y Arquitectura
Auditoria Informática
En un ambiente de sistemas integrados, los datos de salida (output) generados por un sistema son los de entrada (input) para otro sistema.
Por lo tanto, las verificaciones de edición, las validaciones y los controles de acceso del sistema que genera la salida deben ser revisados como controles de entrada / origen, para que el sistema reciba esa información como su propia entrada (input) de datos.
Controles de Entrada
Facultad de Ingeniería y Arquitectura
Auditoria Informática
La autorización de ingreso verifica que todas las transacciones hayan sido autorizadas y aprobadas por la Gerencia.
Ejemplos :
Firmas en formulariosControles de acceso en líneaContraseñas únicasIdentificación de terminalesVerificación de documentos fuente(formularios numerados para registrar los datos)
Controles de Entrada/Origen: Autorización de entrada
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los controles de lote agrupan las transacciones de entrada para proveer totales de control.
Incluye:Importe monetario totalTotal de elementosTotal de documentosTotales calculados (Hash Totals)
Controles de Entrada/Origen: Lote y Balance
Facultad de Ingeniería y Arquitectura
Auditoria Informática
La suma total del lote debe estar combinada con procedimientos adecuados de seguimiento.Se deben seguir procedimientos para asegurar que todos los lotes son aceptados y procesados.
Los tipos de balance incluyen:
Registros de lote(captura manual de totales)Cuentas de control(archivo de edición)Reconciliaciones hechas por el computador(uso de encabezados)
Controles de Entrada/Origen: Lote y Balance
Facultad de Ingeniería y Arquitectura
Auditoria Informática
El procesamiento de los datos introducidos al sistema requiere que existan controles que permitan verificar que los datos son aceptados en el sistema correctamente, y que los errores que se presentan en su ingreso son reconocidos y corregidos.
Es necesario corregir los errores que se presentan durante el proceso de conversión de datos. Los errores se pueden originar en duplicación de transacciones e introducción de datos incorrectos. Estos causan un alto impacto en la integridad y la exactitud de los datos.
Controles de Entrada/Origen: Reporte de manejo de errores
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Las correcciones a los datos se deben realizar por medio de un proceso normal de conversión de datos y éstos deben ser verificados, autorizados y reingresados al sistema como parte el procesamiento normal.
El tratamiento que se le puede dar a los errores puede ser:Rechazar sólo las transacciones con erroresRechazar todo el lote de transaccionesAceptar el lote pero dejarlo en suspensoAceptar el lote pero marcar las transacciones con errores
Controles de Entrada/Origen: Reporte y Manejo de errores
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los controles de edición son controles preventivos que se usan antes que los datos sean procesados.
La validación de datos permite identificar errores de datos, datos incompletos e inconsistencias entre datos relacionados.
La falta de estos controles puede causar el procesamiento de datos incorrectos.
Controles de Procesamiento: Edición y/o Validación de Datos
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Aseguran la completitud y exactitud de los datos acumulados. Algunos tipos de mecanismos para la validación de datos son:
Controles de Procesamiento: Edición y/o Validación de Datos
Secuencia LímiteRango ValidezRazonabilidadParámetros
ExistenciaDigitaciónDígito de ControlIntegridadDatos DuplicadosRelacionamiento lógico
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Estos controles aseguran que los datos contenidos en un archivo /base de datos sigan siendo completos y exactos hasta cuando que sean cambiados como resultado de un procesamiento o de rutinas de modificación autorizadas.
Las siguientes son técnicas de control de procesamiento que pueden ser usadas para tratar el aspecto de integridad y exactitud:Recálculos Manuales(de una muestra)Edición(Subrutina de verificación)Totales de Proceso a Proceso
Controles de Procesamiento: Técnicas
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Continuación…Controles Programados(P.ej:si archivo es incorrecto) Verificación de Razonabilidad de los Valores Calculados
Verificaciones de Límite sobre los Valores Calculados
Reconciliación de los Totales de los Archivos(rutinaria con archivo auxiliar)
Reportes de Excepción
Controles de Procesamiento: Técnicas
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los archivos de Datos o tablas de Base de Datos, caen generalmente en las siguiente categorías:
Parámetros de control de sistema(Se usa los mismo controles que para cambios de programas)
Datos vigentes(P.ej. Maestro de Clientes, se usa Pistas de Aud.)
Datos Principales /datos de balance(Producto de cálculos, se usa Pista de Aud.)
Archivos de transacción(Se usan verificación de validad, totales de control y reportes de excepción)
Controles de Procesamiento: Control de Archivos de Datos
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los controles de archivo deben asegurar que únicamente se realicen procesamientos autorizados sobre los datos almacenadosEjemplo:Reporte de Registro Anterior y posterior
Mantenimiento, Reporte y Manejo de Errores(seguimiento de que las diferencias son conciliadas y errores soluciones)
Retención de documentación Fuente
Etiquetado Interno y Externo(de los medios removibles)
Uso de Versiones
Controles de Procesamiento: Control de Archivos de Datos
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Seguridad de los Archivos de Datos
Verificación Uno a Uno
Datos de entrada previamente registrados
Registros (log) de Transacciones
Autorización para Actualización y Mantenimiento de los Archivos
Verificación de Paridad(En especial para archivos vitales)
Controles de Procesamiento: Control de Archivos de Datos
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Los controles de salida proveen una garantía de que los datos entregados a los usuarios serán presentados, formateados y entregados en una forma consistente y segura. Los controles de salida incluyen:Registro y Almacenamiento de Formularios Negociables, Sensitivos y Críticos en un Lugar Seguro: (Robo o Daño) y reconciliado periódicamente con registro manualGeneración automatizada de Instrumentos Negociables, Formularios y Firmas(comparar registrados vs recibidos)Distribución de Reportes (registrados antes de su distribución)Balance y ReconciliaciónManejo de Errores en las SalidasRetención de Reportes(Considerar legislación vigente)Verificación de Recibo de los Reportes(Reportes sensitivos debe poseer cargo de recepción)
Controles de Salida
Facultad de Ingeniería y Arquitectura
Auditoria Informática
Las tareas del auditor de SI incluyen las siguientes:Identificar los componentes significativos o importantes en la aplicación y el flujo de las transacciones.Identificar las fortalezas y debilidades de control (Impacto).Probar los controles para asegurar su adecuada implementación y efectividadEvaluar el ambiente de controlConsiderar los aspectos operativos de la aplicación, analizando los procedimientos definidos
Auditoría de los Controles de Aplicación en los SI- Análisis
Facultad de Ingeniería y Arquitectura
Auditoria Informática
La documentación del sistema de aplicación provee un entendimiento de la funcionalidad de la aplicación.
Como Auditor debería revisarse la siguiente documentación:
Metodología de desarrollo de sistemas(ROI y Req. Usuarios)Especificaciones de diseño funcional(Puntos Control Claves)Cambios en los programas(documentados y referencia cruz.)Manuales de usuarioDoc. Referencias técnicas(debe contener reglas de acceso y reglas lógicas)
Auditoría de los Controles de Aplicación en los SI- Documentación
Facultad de Ingeniería y Arquitectura
Auditoria Informática
¿Preguntas?