7/29/2019 I [2] Controles_auditoria
1/32
UNIVERSIDAD NACIONAL
Jorge Basadre Grohoman
Escuela de Post Grado
Mag. Erbert F. Osco M.
1
7/29/2019 I [2] Controles_auditoria
2/32
CONTROLESConjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si
todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.
- FinVigilar las funciones y
actitudes Empresa
- Permite verificar si todo se realiza conforme a los programas adoptados,
ordenes y principios admitidos.
Los datos son uno de los recursos ms valiosos de las organizaciones
y, aunque:
Son intangibles
Necesitan ser controladosSer auditados con el mismo cuidado de los dems inventarios
de la organizacin
La responsabilidad de los datos es compartida conjuntamente por alguna
funcin determinada y el departamento de cmputo 2
7/29/2019 I [2] Controles_auditoria
3/32
Principales Controles de una
aplicacin
ENTRADA PROCESO SALIDA
SISTEMA DE INFORMACION
Documentos Informacin
3
7/29/2019 I [2] Controles_auditoria
4/32
Esquema de implementacin de controles
MAGU: Manual de audit gub4
7/29/2019 I [2] Controles_auditoria
5/32
Visin Sistemtica de la Auditoria Informtica
5
7/29/2019 I [2] Controles_auditoria
6/32
Controles
Definicin del control interno
El control interno es un proceso establecido por elDirectorio, la Gerencia y todos los niveles del
personal, para brindar una seguridad razonable de
que se lograrn los objetivos de negocios de la
organizacin.
6
7/29/2019 I [2] Controles_auditoria
7/32
ControlesEn el curso de la realizacin de un estudio de riesgo, unauditor de SI ha identificado amenazas e impactospotenciales. Inmediatamente despus, un auditor de SIdebe:
A. Identificar y estudiar el proceso de anlisis del riesgousado por la gerenciaB. Identificar los activos de informacin y los sistemassubyacentesC. Revelar las amenazas y los impactos a la gerenciaD. Identificar y evaluar los controles existentes
7
7/29/2019 I [2] Controles_auditoria
8/32
EJEMPLO:
1.- CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL
La mayora de los Delitos por computadora son cometidos por modificaciones de datos
fuente al: Suprimir u omitir datos.
Adicionar Datos.
Alterar datos.
Duplicar procesos.
El primer nivel es el que puede hacer nicamente consultas.
El segundo nivel es aquel que puede hacer captura, modificaciones y consultas.El tercer nivel es el que solo puede hacer todos lo anterior y adems puede realizar
bajas
2.- CLAVES DE ACCESO DE ACUERDO A NIVELES
8
7/29/2019 I [2] Controles_auditoria
9/32
Controles
Clasificacin general de los controles
Controles Preventivos: < frecuencia de que ocurran (nofumar, claves de acceso)
Controles detectivos: detectan luego de ocurrido (pistas deauditoria)
Controles Correctivos (ayudan a investigacin y correccin de lacausa del riesgo)
Principales Controles fsicos y lgicos
Autenticidad verifica identidad, (passwords, firma digital)
Exactitud Coherencia datos(validacin de campos, excesos)
Totalidad Evitan omisin de registros (conteo de registros, cifras
de control)
Redundancia Evitan duplicidad de datos (cancelacin de lotes,9
7/29/2019 I [2] Controles_auditoria
10/32
Principales controles fsicos y lgicos
Privacidad Aseguran la proteccin de losdatos
Ejm: Compactacin, encriptacin
Existencia Aseguran la disponibilidad de los datos
Ejm: Bitcora de estados, mantenimiento de activos
Proteccin de Activos Destruccin o corrupcin de
informacin o del hardware. Ejm: Extintores, Passwords
Efectividad, Aseguran el logro de los objetivos
Ejm: Encuestas de satisfaccin, Medicin de niveles de servicio
Eficiencia Aseguran el uso ptimo de los recursos
Ejm: Programas monitores , Anlisis costo-beneficio
10
7/29/2019 I [2] Controles_auditoria
11/32
Controles automticos o lgicos
Periodicidad de cambio de claves ( 3 meses)
Combinacin de alfanumricos
Individuales (realizar transacciones registra el cambio )
Confidenciales (las claves son confidenciales)
No significativas ( ejm: 123, fecha nac, nombres)Verificacin de datos de entrada (tipo de dato, rango)
Verificacin de limites (mnimo, mximo)
Verificacin de secuencias (ascendente, desc, rutinas indepen)
Digito autoverificador ( Ejm. Ultimo digito DNI X N Modulo 1)
Software seguridad en pcs (WACHDOG, LATTICE,SECRET DISK, etc)
11
7/29/2019 I [2] Controles_auditoria
12/32
Controles administrativos en un ambiente de
procesamiento de datos
1.- Controles de Preinstalacin (adq Hw, sw adecuado)
2.- Controles de Organizacin y Planificacin
3.- Controles de Sistemas en Desarrollo yProduccin
4.- Controles de Procesamiento
5.- Controles de Operacin6.- Controles de uso de Microcomputadores
Texto Word12
7/29/2019 I [2] Controles_auditoria
13/32
1.- Controles de Preinstalacin (adq Hw, sw adecuado)
Actividades previas a adquisicin e instalacin de equipos de computo
Garantizar que el hw y sw sean los adecuados
Elaborar inf tcnico de hw y sw.
Formar comit de adquisiciones
Elaborar plan de instalacin de hw y sw
Elaborar procedimientos y normas
Asegurar mantto y asistencia tecnica.
2.- Controles de Organizacin y PlanificacinFunciones, lnea de autoridad, equipos de computo
Evitar que una misma persona tenga control de toda una operacin.
Informtica debe estar en el nivel mas alto en la gestin administrativa
Funciones de operacin, programacin, diseo de sistemas deben estar bien
definidas y delimitadas.
Debe existir una unidad de Control de calidad (in, out) del procesamiento
El manejo y custodia de backup debe ser por escrito
13
7/29/2019 I [2] Controles_auditoria
14/32
3.- Controles de Sistemas en Desarrollo y ProduccinJustificarC/B de los sistemas, documentacin de los sistemas y planificacin.
El personal de auditoria debe intervenir en el diseo, para sugerir rutinas de control
Se debe obedecer a planes, normas, estndares.
Cada fase concluida, debe estar documentada y acta.
Los programas para pasar a produccin deben ser probados con datos aleatorios.
Todos los sistemas deben estar documentados: diagrama bloque, lgico, objetivo,
listado prg, formatos de salida, pruebas.
Implantar procedimientos: solicitud, cambios, ejecucin a programas.
Sistema concluido ser entregado al usuario, con manuales
4.- Controles de ProcesamientoDesde la In hasta la out de la informacin (asegurar procesamiento de todos datos,
exactitud, garantizar las pistas de auditoria, disponibilidad de la informacin )
Validar datos de entrada (cdigo autoverificador, totales x lotes) Los datos son responsabilidad del usuario y su correccin.
Horarios para in de datos
Acciones para correccin de errores
Analizar la estandarizacin de formularios
Planificar mantto Hw, Sw, garantizando la integridad de la informacion 14
7/29/2019 I [2] Controles_auditoria
15/32
5.- Controles de Operacin
Operacindel equipo, almacenamiento, cintoteca, terminales, equipos decomunicaciones on line.
Ingreso al Centro de computo solo a personal autorizado
Implantar claves para el mainframe a personal autorizado
Polticas de seguridad, privacidad, proteccin ante: incendios, inundaciones, robo,
etc.
Registro permanente (bitcora)
Backup deben ser dos (padres e hijos) preferentemente bvedas bancos.
Todas las actividades del centro de computo deben estar normadas, reglamentos.
Los proveedores debern proporcionar ( manual de: operacin, manual
programador, utilitarios, SO.
Instalaciones: alarma de fuego, humo, extintores, red elctrica segura, etc.
Instalar: reguladores de voltaje, UPS, generadores de energa
Seguros para proteccin de informacin, personal, equipos,.
15
7/29/2019 I [2] Controles_auditoria
16/32
6.- Controles de uso de Microcomputadores
Los equipos son mas vulnerables, fcil acceso, fcil explotacin.
Adquirir: supresores de pico, estabilizadores, UPS.
Vencida la garanta, contratar mantto preventivo y correctivo Procedimientos para backup de paquetes y archivos.
Verificacin peridica de los DD para verificar software no relacionados a la
empresa.
Procedimientos para deteccin de virus
Propender a la estandarizacin de SO. Bd, procesador de textos, hoja electrnica,actualizar versiones.
16
7/29/2019 I [2] Controles_auditoria
17/32
Controles de Aplicativos
17
7/29/2019 I [2] Controles_auditoria
18/32
Ley Sarbanes-Oxley; Julio 2002, surge como rpta escndalo contabilidad corporativa de los 90 EEUU. Disponibilidad de la informaci. a auditores externos asi como a la empresa18
7/29/2019 I [2] Controles_auditoria
19/32
19
7/29/2019 I [2] Controles_auditoria
20/32
2020
AUDITORIA A APLICACIONES EN FUNCIONAMIENTO
OBJETIVO DE LA AUDITORIA A APLICACIONES EN FUNCIONAMIENTOEvaluar la efectividad de los controles existentes y sugerir nuevos controlescon el fin de minimizar riesgos y fortalecer el control de dichas aplicaciones.
PRINCIPALES CONTROLES A UNA APLICACIN
ENTRADA PROCESO SALIDA
SISTEMA DE INFORMACION
Documentos Informacin
I. Controles
In Datos
II. Controles
Procesamiento
de datos
III. Controles
en la salida
7/29/2019 I [2] Controles_auditoria
21/32
21
I. CONTROLES EN LOS INGRESOS DE DATOS
Detectan posibles errores en la digitacin
Ingresos de datos incompletos
Ingresos repetidos u omisiones
PRINCIPALES CONTROLES EN LA CAPTURA DE DATOS
La pantalla de captura de datos debe ser similar a los documentos fuente
La aplicacin debe tener adecuados mensajes de ayuda
Restringir el acceso de usuarios a las diferentes opciones de la aplicacin
Verificar que cada pantalla de captura de datos sea de obligatoriadigitacin
Controlespreventivos
21
7/29/2019 I [2] Controles_auditoria
22/32
22Mag. Erbert F. Osco M.
En toda la aplicacin cada campo debe tener un formato de datoapropiado
Establecer un limite para los datos numricos y campos fecha para
asegurar que los datos estn dentro de un limite. Por ejemplo que lafecha de vencimiento de un crdito debe ser posterior a la fecha deotorgamiento.
En la captura o modificacin de datos crticos debe dejarse una pista deauditoria donde se identifique lo siguiente:
-Nombre del usuario-Fecha y hora de creacin-Valor del campo antes de actualizar-Valor del campo despus de la actualizacin
Verificar que las pistas de auditoria sean revisadas por los responsables
Al ingresar datos, el sistema debe ir verificando con los registros de losarchivos maestros para determinar su validez
Las pantallas con captura de datos numricos deben incluir el ingreso
totales de control
I. CONTROLES EN LOS INGRESOS DE DATOS
7/29/2019 I [2] Controles_auditoria
23/32
2320/09/2013 Ing. Erbert F. Osco M.
La aplicacin debe permitir imprimir listados de datos ingresados
La aplicacin no debe permitir que los datos de los archivosmaestros, despus de haber tenido movimientos, puedan serborrados del sistema
Los nmeros de los documentos fuente o el numero de lote no debepermitir ser ingresados para el procesamiento mas de una vez.
Lo anterior se debe tener en cuenta para los documentos yaexistentes que requieran ser modificados
Si existen documentos rechazados por la aplicacin, sta debepermitir mantener un archivo en suspenso para que estas sean
revisadas, analizadas y corregidas.
I. CONTROLES EN LOS INGRESOS DE DATOS
7/29/2019 I [2] Controles_auditoria
24/32
2420/09/2013 Ing. Erbert F. Osco M. 24
Los controles para este tipo de transaccin son los siguientes:
-Controlar y mantener un registro de las transacciones rechazadasen un archivo-La aplicacin debe permitir la impresin de los documentos otransacciones rechazadas-Antes de realizar un proceso de cierre el sistema debe validar quelas transacciones rechazadas hayan sido corregidas o pendientesen el archivo en suspenso.
7/29/2019 I [2] Controles_auditoria
25/32
25
II.CONTROLES EN EL PROCESAMIENTO DE DATOS
Los controles en el procesamiento de datos permiten identificar las
transacciones que son actualizadas en forma incorrecta o incompleta El ingreso de los documentos fuente para su procesamiento debe
generar nmeros consecutivos
Incluir en la aplicacin controles de balanceo programados tales como:
- Balanceo de crditos y dbitos- Saldo inicial del ciclo de procesamiento actual debe ser igual al saldofinal del ciclo anterior
- El saldo inicial ms las transacciones procesadas debe ser igual alsaldo final del ciclo
Incluir en la aplicacin controles de limite y razonabilidad sobre losclculos
Cuando la aplicacin esta realizando algn proceso debe mostrar unmensaje al usuario
. II.CONTROLES EN EL PROCESAMIENTO DE DATOS
7/29/2019 I [2] Controles_auditoria
26/32
26
La ejecucin de procesos debe ser secuencial, el sistema debe
controlar que al realizar determinados proceso estn listos los procesosprevios a su ejecucinAl realizar un proceso de cierre de todos los documentos deben estarprocesados completamente y no deben existir documentos pendientesen el archivo en suspenso
Verificar la existencia totales de control para confirmar la confiabilidadde las interfaces entre los diferentes mdulos o aplicaciones
En los procesos crticos de la operacin debe dejarse una pista deauditoria
. II.CONTROLES EN EL PROCESAMIENTO DE DATOS
7/29/2019 I [2] Controles_auditoria
27/32
27
III.CONTROLES EN LA SALIDA
Los controles en la salida sirven para verificar la exactitud, funcionalidad,adems del adecuado uso y distribucin de los reportes
Generar reportes por excepcin para verificar aspectos tales como:cantidades poco frecuentes, transacciones que no cumplen con laspolticas de la compaa.
Generar listados o consultas por pantalla de los datos producidos por elsistema con el fin de que sean revisadas y/o autorizadas por los usuarios.
Los reportes que genera la aplicacin debe indicar en la ultima pginaque ha finalizado. Para reportes confidenciales se debe indicar ladistribucin a los usuarios el tiempo de conservacin e indicar que sedebe hacer despus de su uso.
Cuando se anulan documentos en la aplicacin, esta no debe permitirimprimirlos y para control se debe generar un reporte de documentosanulados
. III.CONTROLES EN LA SALIDA
7/29/2019 I [2] Controles_auditoria
28/32
28
En la peticin de nuevos reportes por usuarios debe existir una peticinescrita autorizada por el jefe del rea usuaria con su respectiva
justificacin
Verificar que los reportes generados sean lo suficientemente completospara facilitar la toma de decisiones
Para los documentos que son titulo valor, verificar que tanto los que se
encuentran en blanco como los diligenciados, estn adecuadamentecontrolados y se les haya asignado una persona responsable de suinventario.
. III.CONTROLES EN LA SALIDA
7/29/2019 I [2] Controles_auditoria
29/32
El departamento de SI de una organizacin quiereasegurarse de que los archivos de
computadora/ordenador usados en la instalacin de
procesamiento de informacin, estn respaldados
adecuadamente para permitir la recuperacin apropiada.
Este es un:
A. procedimiento de control.
B. objetivo de control.C. control correctivo.
D. control operativo.
Controles
Los objetivos de control de SI
especifican el conjunto mnimo de
controles para asegurar la eficiencia
y efectividad en las operaciones y
funciones dentro de una organizacin.
29
7/29/2019 I [2] Controles_auditoria
30/32
Controles Detectivos
Cul de las opciones siguientes es un control
de deteccin?
A. Controles de Acceso Fsico
B. Segregacin de funciones
C. Procedimientos de Respaldo de Seguridad
D. Rastros de Auditora
Los rastros de auditora captan informacin,
la cual puede ser usada para detectar los
errores. Por lo tanto, se consideran como
controles de deteccin. Los controles de acceso
fsico y de segregacin de funciones sonejemplos de controles preventivos mientras
que los procedimientos de respaldos de
seguridad son controles correctivos..
30
7/29/2019 I [2] Controles_auditoria
31/32
Cul de los siguientes es un objetivo decontrol de SI?
A. Los reportes de salida estn bajo llave en un lugarseguro
B. No ocurren transacciones duplicadas
C. Los procedimientos de respaldo y/o recuperacindel sistema son actualizados peridicamente
D. El diseo y el desarrollo del sistema renen losrequerimientos de los usuarios
Controles
Es un sistema Interno de Control
Es un Control Operativo
Es un Control Administrativo
31
7/29/2019 I [2] Controles_auditoria
32/32
ControlesRequerir que las contraseas sean cambiadas
peridicamente, asignar una nueva contrasea de una
sola vez cuando un usuario se olvide de la suya, y
requerir que los usuarios no escriban sus contraseas
son todos ejemplos de:
A. objetivos de auditoria.
B. procedimientos de auditoria.
C. objetivos de control.
D. procedimientos de control.Por que es una prctica que establece
la gerencia para lograr objetivos especficos
32
Top Related