UNIVERSIDAD NACIONAL “Jorge Basadre Grohoman”

Mgr. Erbert F. Osco M.

1

CONTROLESCONTROLESConjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.

- FinVigilar las funciones y actitudes Empresa

Permite verificar si todo se realiza conforme a los programas adoptados, ordenes y principios admitidos.

•Los datos son uno de los recursos más valiosos de las organizaciones y, aunque:

Son intangibles

Necesitan ser controladosSer auditados con el mismo cuidado de los demás inventariosde la organización

• La responsabilidad de los datos es compartida conjuntamente por alguna función determinada y el departamento de cómputo

2

Como realizar controles de:

ACESO A DATOS

3

1. Dueño de la Información2. Roles y Perfiles3. Autorización del diseño y perfiles x los dueños4. Registro (escrito)

BAJA DE USUARIOS

CAMBIOS EN LOS PROGRAMAS

1. Autorización2. Pruebas de ambiente3. Control de paso a producción

Principales Controles de una aplicación

ENTRADA PROCESO SALIDA

SISTEMA DE INFORMACION

Documentos Información

4

Esquema de implementación de controles

MAGU: Manual de audit gub 5

Controles a nivel de procesosControles a nivel de procesos• El auditor debe evaluar el entorno

informatizado basado en ERP

6

Visión Sistemática de la Auditoria InformáticaVisión Sistemática de la Auditoria Informática

7

ControlesControles

Definición del control interno

El control interno es un proceso establecido por el Directorio, la Gerencia y todos los niveles del personal, para brindar una seguridad razonable de que se lograrán los objetivos del negocio de la organización.

8

Estructura de control (COSO)

9

Committee of sponsoring organizations

ControlesEn el curso de la realización de un estudio de riesgo, un auditor de SI ha identificado amenazas e impactos potenciales. Inmediatamente después, un auditor de SI debe: A. Identificar y estudiar el proceso de análisis del riesgo usado por la gerenciaB. Identificar los activos de información y los sistemas subyacentesC. Revelar las amenazas y los impactos a la gerenciaD. Identificar y evaluar los controles existentes

10

EJEMPLO:1.- CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL La mayoría de los Delitos por computadora son cometidos por modificaciones de datos fuente al:

• Suprimir u omitir datos. • Adicionar Datos. • Alterar datos. • Duplicar procesos.

El primer nivel es el que puede hacer únicamente consultas. El segundo nivel es aquel que puede hacer captura, modificaciones y consultas. El tercer nivel es el que solo puede hacer todos lo anterior y además puede realizar

bajas

2.- CLAVES DE ACCESO DE ACUERDO A NIVELES

11

ControlesClasificación general de los controles

Controles Preventivos: frecuencia de que ocurran (“no fumar”, claves de acceso)

Controles Detectivos: detectan luego de ocurrido (pistas de auditoria)

Controles Correctivos (ayudan a investigación y corrección de la causa del riesgo)

Principales Controles físicos y lógicos Autenticidad verifica identidad, (passwords, firma digital)

Exactitud Coherencia datos(validación de campos, excesos)Totalidad Evitan omisión de registros (conteo de registros, cifras de control)Redundancia Evitan duplicidad de datos (cancelación de lotes, verificación

de secuencias)

12

…Principales controles físicos y lógicos

Privacidad Aseguran la protección de los datosEjm: Compactación, encriptación.

Existencia Aseguran la disponibilidad de los datosEjm: Bitácora de estados, mantenimiento de activos

Protección de Activos Destrucción o corrupción de

información o del hardware. Ejm: Extintores, Passwords Efectividad, Aseguran el logro de los objetivos

Ejm: Encuestas de satisfacción, Medición de niveles de servicio

Eficiencia Aseguran el uso óptimo de los recursosEjm: Programas monitores , Análisis costo-beneficio

13

Controles automáticos o lógicos Periodicidad de cambio de claves ( 3 meses)Combinación de alfanuméricos Individuales (realizar transacciones registra el cambio )Confidenciales (las claves son confidenciales)No significativas ( ejm: 123, fecha nac, nombres)Verificación de datos de entrada (tipo de dato, rango)Verificación de limites (mínimo, máximo)Verificación de secuencias (ascendente, desc, rutinas indepen)Digito autoverificador ( Ejm. Ultimo digito DNI X Nº Modulo 1)Software seguridad en pcs (WACHDOG, LATTICE,SECRET DISK, etc)

14

Claves teclado acróstico

Controles administrativos en un ambiente de procesamiento de datos

1.- Controles de Organización y Planificación2.- Controles de (desarrollo, adquisición y mantto de SI)

3.- Controles de Explotación de SI4.- Controles en aplicaciones5.- Controles específicos de ciertas tecnologias.6.- Controles de calidad

1.- Controles de Organización y Planificación okPolíticas: deben servir de base para planificación control y evaluación del Área de InformáticaEvitar que una misma persona tenga control de toda una operación.

• Planificación, PETI, POI, Plan de seguridad, Plan de contingencia• Informática debe estar en el nivel mas alto en la gestión administrativa• Procedimientos y Funciones, que describan la forma y responsabilidades • Asegurar que se revisan los informes de control y resuelve las excepciones que ocurran.• Debe existir una unidad de Control de calidad (in, out) del procesamiento

2.- Controles de Desarrollo, Adquisición y Mantenimiento de SI

Alcanzar eficacia, económica, eficiencia, integridad de datos, protección de recursos, cumplimiento de leyes y regulaciones.

• Metodología del ciclo de vida: – La alta dirección debe publicar la normativa y revisar periódicamente.– Establecer responsabilidades– Definir especificaciones del nuevo sistema por el usuario.– Estudio tecnológico de viabilidad y análisis costo beneficio.– Plan de validación, verificación y pruebas.– Estándares de prueba de programas, pruebas de sistemas.– Plan de conversión, prueba de aceptación final– Las políticas de adquisición de software deben seguir las políticas de adquisición de la organización.– Preparar manuales de operación y mantenimiento como parte de todo el proyecto.

• Explotación y mantenimiento (datos se tratan de forma congruente y exacta), seguimiento y control de cambios

16

3.- Controles de Explotación de Sistemas de Información• Planificación y gestión de recursos: Presupuesto del departamento, plan de

adquisiciones de equipos.• Controles para usar los recursos ordenadores:

– Calendario de carga de trabajo.– Programas de personal– Mantenimiento preventivo de material– Gestión de problemas y cambios– Procedimiento de facturación a usuarios.– Sistema de gestión de la biblioteca de soportes.– Los programas para pasar a producción deben ser probados con datos aleatorios.

• Procedimientos de selección de software• Seguridad física y lógica, revisar informes de violaciones y actividad de seguridad para idénticar y

resolver incidentes.– Acceso restringido a personas no autorizadas al departamento de informática– Personas externas a la institución deben ser acompañadas por un miembro de la plantilla.– Medidas de protección contra fuegos– Control de acceso a ordenadores.– Normas de regulación acceso a recursos informáticos

17

4.- Controles en AplicacionesLas aplicaciones deben garantizar entrada, actualizar, validez y mantenimiento.

• Control de entrada de datos: Los datos son responsabilidad del usuario y su corrección.

– Horarios para in de datos– Acciones para corrección de errores

• Controles de tratamiento de datos: no se den de alta, modifiquen o borrar datos no autorizados, garantizar la integridad.

• Controles de salida de datos: conciliación de salidas, gestión de errores, etc.

18

5.- Controles específicos de ciertas tecnologías• Controles en sistemas de Gestión de BD.

– Que asegure la integridad de BD, instrucciones de control que definen el entorno.– Definir responsabilidades sobre planificacion, organización, dotacion, control de activos, administracion de datos.– Procedimientos de administracion de cambios.– Controles en acceso de datos.– Controles para minimizar fallos, recuperar bd

• Controles en redes:– Planes y pruebas de administracion de red.– Compatibilidad de aplicciones cuando la red es distribuida.– Medidas y controles para seguridad de redes entre los distintos departamentos.– Identificar datos sensibles en red.– Procedimientos de respaldo de HW y SW.– Procedimientos de cifrado de informacion sensible.– Procedimienos automaticos para cierre de sistemas.– Revisar contratos de mantenimiento con proveedores.– Asegurar que existan pistas de auditoria, capacidad de rastrear datos entre terminal y usuario.– Considerar circuitos de conmutacion que usen rutas alternas (Telefonica, Claro, etc).

• Controles sobre ordenadores personales y redes de area local– Implantar herramientas de gestion de red (valorizar el rendimiento, control, planificacion)– Uso de UPS, Grupos electrogenos, etc– Proteccion contra incendios, inundaciones, humos, estatica– Control de acceso fisico a datos, aplicaciones– Identificacion de usuarios (bajas, altas, cambios de passwords, explotacion del log)

19

6.- Controles de calidad ok• Existencia de un plan de Calidad a largo plazo de Tecnología, filosofía «mejora

continua».• Esquema de garantía de calidad ( revisiones, auditorias, inspecciones) para lograr

objetivos del Plan de Calidad. • Metodología de desarrollo de sistemas: (normas para metodología de desarrollo

de sistemas).• Relaciones con proveedores que desarrollen sistemas: acuerdo de criterios de

aceptación, administración de cambios, problemas durante el desarrollo, herramientas, normas, procedimientos.

• Normas de documentación de programas: Metodología para documentación.• Normas para pruebas de programas: requisitos de las pruebas de programas

pruebas de unidades de software.• Pruebas piloto o en paralelo: circunstancias bajo los cuales se realizaran las

pruebas piloto o paralelas.• Documentación de pruebas de Sistemas: documentar los resultados de las

pruebas de sistemas.• Evaluación del cumplimiento de Garantía de Calidad de las normas de desarrollo.

20

Controles de Aplicativos

21

Ley Sarbanes-Oxley; Julio 2002, surge como rpta escándalo contabilidad corporativa de los 90 EEUU. Disponibilidad de la informaci. a auditores externos asi como a la empresa22

INFORME DE GARANTIA SAS 70Diferencias entre SAS 70 Y LA ISO Seg Inf. 27001

23

Statement on Auditing Standards (SAS) No. 70, Service Organizations, was a widely recognized auditing standard developed by the American Institute of Certified Public Accountants

24

2525

AUDITORIA A APLICACIONES EN FUNCIONAMIENTO

OBJETIVO DE LA AUDITORIA A APLICACIONES EN FUNCIONAMIENTOEvaluar la efectividad de los controles existentes y sugerir nuevos controles con el fin de minimizar riesgos y fortalecer el control de dichas aplicaciones.PRINCIPALES CONTROLES A UNA APLICACIÓN

ENTRADA PROCESO SALIDA

SISTEMA DE INFORMACION

Documentos Información

I. Controles In Datos

II. Controles Procesamiento de datos

III. Controles en la salida

26

I. CONTROLES EN LOS INGRESOS DE DATOS

Detectan posibles errores en la digitación

Ingresos de datos incompletos

Ingresos repetidos u omisiones

PRINCIPALES CONTROLES EN LA CAPTURA DE DATOS

La pantalla de captura de datos debe ser similar a los documentos fuente

La aplicación debe tener adecuados mensajes de ayuda (help desk)

Restringir el acceso de usuarios a las diferentes opciones de la aplicación

Verificar que cada pantalla de captura de datos sea de obligatoria digitación

Controlespreventivos

26

27Mag. Erbert F. Osco M.

En toda la aplicación cada campo debe tener un formato de dato apropiado

Establecer un limite para los datos numéricos y campos fecha para asegurar que los datos estén dentro de un limite. Por ejemplo que la fecha de vencimiento de un crédito debe ser posterior a la fecha de otorgamiento.

En la captura o modificación de datos críticos debe dejarse una pista de auditoria donde se identifique lo siguiente:

-Nombre del usuario-Fecha y hora de creación -Valor del campo antes de actualizar-Valor del campo después de la actualización

Verificar que las pistas de auditoria sean revisadas por los responsables

Al ingresar datos, el sistema debe ir verificando con los registros de los archivos maestros para determinar su validez

Las pantallas con captura de datos numéricos deben incluir el ingreso totales de control

… I. CONTROLES EN LOS INGRESOS DE DATOS

2828/04/23 Ing. Erbert F. Osco M.

La aplicación debe permitir imprimir listados de datos ingresados

La aplicación no debe permitir que los datos de los archivos maestros, después de haber tenido movimientos, puedan ser borrados del sistema

Los números de los documentos fuente o el numero de lote no debe permitir ser ingresados para el procesamiento mas de una vez.

Lo anterior se debe tener en cuenta para los documentos ya existentes que requieran ser modificados

Si existen documentos rechazados por la aplicación, ésta debe permitir mantener un archivo en suspenso para que estas sean revisadas, analizadas y corregidas.

… I. CONTROLES EN LOS INGRESOS DE DATOS

2928/04/23 Ing. Erbert F. Osco M. 29

Los controles para este tipo de transacción son los siguientes:

-Controlar y mantener un registro de las transacciones rechazadas en un archivo-La aplicación debe permitir la impresión de los documentos o transacciones rechazadas-Antes de realizar un proceso de cierre el sistema debe validar que las transacciones rechazadas hayan sido corregidas o pendientes en el archivo en suspenso.

30

II.CONTROLES EN EL PROCESAMIENTO DE DATOS

Los controles en el procesamiento de datos permiten identificar las transacciones que son actualizadas en forma incorrecta o incompleta

El ingreso de los documentos fuente para su procesamiento debe generar números consecutivos

Incluir en la aplicación controles de balanceo programados tales como:

- Balanceo de créditos y débitos- Saldo inicial del ciclo de procesamiento actual debe ser igual

al saldo final del ciclo anterior- El saldo inicial más las transacciones procesadas debe ser

igual al saldo final del ciclo

Incluir en la aplicación controles de limite y razonabilidad sobre los cálculos

Cuando la aplicación esta realizando algún proceso debe mostrar un mensaje al usuario

31

La ejecución de procesos debe ser secuencial, el sistema debe controlar que al realizar determinados proceso estén listos los procesos previos a su ejecución

Al realizar un proceso de cierre de todos los documentos deben estar procesados completamente y no deben existir documentos pendientes en el archivo en suspenso

Verificar la existencia totales de control para confirmar la confiabilidad de las interfaces entre los diferentes módulos o aplicaciones

En los procesos críticos de la operación debe dejarse una pista de auditoria

…. II.CONTROLES EN EL PROCESAMIENTO DE DATOS

32

III.CONTROLES EN LA SALIDALos controles en la salida sirven para verificar la exactitud, funcionalidad, además del adecuado uso y distribución de los reportes

Generar reportes por excepción para verificar aspectos tales como: cantidades poco frecuentes, transacciones que no cumplen con las políticas de la compañía.

Generar listados o consultas por pantalla de los datos producidos por el sistema con el fin de que sean revisadas y/o autorizadas por los usuarios.

Los reportes que genera la aplicación debe indicar en la ultima página que ha finalizado. Para reportes confidenciales se debe indicar la distribución a los usuarios el tiempo de conservación e indicar que se debe hacer después de su uso.

Cuando se anulan documentos en la aplicación, esta no debe permitir imprimirlos y para control se debe generar un reporte de documentos anulados

33

En la petición de nuevos reportes por usuarios debe existir una petición escrita autorizada por el jefe del área usuaria con su respectiva justificación

Verificar que los reportes generados sean lo suficientemente completos para facilitar la toma de decisiones

Para los documentos que son titulo valor, verificar que tanto los que se encuentran en blanco como los diligenciados, estén adecuadamente controlados y se les haya asignado una persona responsable de su inventario.

…. III.CONTROLES EN LA SALIDA

El departamento de SI de una organización quiere asegurarse de que los archivos de computadora/ordenador usados en la instalación de procesamiento de información, estén respaldados adecuadamente para permitir la recuperación apropiada. Este es un:

A. procedimiento de control.B. objetivo de control.C. control correctivo.D. control operativo.

Controles

Los objetivos de control de SI especifican el conjunto mínimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organización.

34

Controles Detectivos ¿Cuál de las opciones siguientes es un control

de detección?A. Controles de Acceso FísicoB. Segregación de funcionesC. Procedimientos de Respaldo de SeguridadD. Rastros de Auditoría

Los rastros de auditoría captan información, la cual puede ser usada para detectar los errores. Por lo tanto, se consideran como controles de detección. Los controles de acceso físico y de segregación de funciones son ejemplos de controles preventivos mientras que los procedimientos de respaldos de seguridad son controles correctivos..

35

¿Cuál de los siguientes es un objetivo de control de SI?A. Los reportes de salida están bajo llave en un lugar

seguroB. No ocurren transacciones duplicadasC. Los procedimientos de respaldo y/o

recuperación del sistema son actualizados periódicamente

D.El diseño y el desarrollo del sistema reúnen los requerimientos de los usuarios

Controles

Es un sistema Interno de Control

Es un Control Operativo

Es un Control Administrativo

36

ControlesRequerir que las contraseñas sean cambiadas periódicamente, asignar una nueva contraseña de una sola vez cuando un usuario se olvide de la suya, y requerir que los usuarios no escriban sus contraseñas son todos ejemplos de:

A. objetivos de auditoria.

B. procedimientos de auditoria.

C. objetivos de control.

D. procedimientos de control.Por que es una práctica que establece

la gerencia para lograr objetivos específicos

37

Tarea

• Revisar en que se relaciona la ley SOX, con auditoria de TI

• Realizar un contrato de auditoria de TI para una Empresa X

38