Aplicaciones Auditables

Ing. Clara Vidovich, MBA CISA

Controles en los Sistemas de Aplicacin

Controles de aplicacin

El control en las aplicaciones se refiere a los datos y transacciones relacionados con cada uno de los sistemas de aplicacin computarizados y por consiguiente, cmo stos son especficos a cada uno de ellos.

Controles de aplicacin

 Incluyen mtodos para asegurar que:

 Solo datos completos, exactos y vlidos ingresan y se

actualizan en un sistema
 El Procesamiento realiza las tareas correctas  Los resultados del procesamiento satisfacen las

expectativas
 Los datos reciben mantenimiento

Controles de aplicacin

 Tareas del Auditor  Controles de Ingreso  Controles de Procesamiento  Controles de salida  Auditando los controles de aplicacin

Controles de aplicacin
 Tareas del Auditor:  Identificar los componentes de las aplicaciones objeto de revisin  Identificar los controles de la aplicacin y su impacto en las debilidades identificadas  Evaluar estos controles para asegurar su funcionalidad y efectividad  Evaluar el nivel de control del ambiente operativo (controles generales)  Considerar los aspectos operacionales para asegurar su efectividad y eficiencia
6

Controles de aplicacin

Ingreso

Proceso

Salida

Informacin: Completa Valida Autorizada Ingresada una sola vez

Correcto Registracin correcta

Cumple las expectativas Distribucin adecuada

Controles de aplicacin

 Controles sobre el origen o ingreso

 Autorizacin de entrada  Controles de lote y de conciliacin  Reporte y manejo de errores  Integridad batch de sistemas en lnea o de bases

de datos

Controles de aplicacin

 Autorizacin de entrada de datos  Firmas sobre formatos de lotes o documentos fuente  Controles de acceso en lnea  Passwords nicos  Identificacin de estaciones cliente o Terminales  Documentos fuente

Controles de aplicacin
 Controles de lote y conciliacin

Los controles de lote incluyen

Total de cantidades monetarias Total de tems o cantidad Total documentos Total Hash

La conciliacin de lotes incluye

Registros de lotes Control de cuentas Resultados del Sistema

10

Controles de aplicacin
 Manejo y notificacin de errores  Manejo de errores de entrada
Rechazar solo transacciones con errores Rechazar el lote entero de transacciones Retener lotes en suspenso Marcar las transacciones erradas y aceptar el lote

 Tcnicas de Control de Entrada Log de transacciones / bitcoras Conciliacin de datos Documentacin Procedimientos de correccin de errores Anticipacin Log de transmisin Cancelacin o anulacin de documentos fuente
11

Controles de aplicacin

Controles y procedimientos de procesamiento

 Asegurar la confiabilidad del proceso de los programas de aplicacin

 Los auditores de SI necesitan comprender los procedimientos y

controles qu se ejercen en el proceso para evaluar que riesgos cubren estos controles y que riesgos permanecen y quedan descubiertos.

12

Controles de aplicacin


Procedimientos de control en el procesamiento

Reclculo manual Edicin Totales de corrida a corrida Controles programados Verificacin de la razonabilidad de montos calculados Chequeo de lmite en montos calculados Conciliacin de totales de archivo Reportes de excepciones

13

Controles de aplicacin


Edicin y validacin de datos

 Chequeo de secuencia  Chequeo de lmite  Chequeo de rango  Chequeo de paridad  Chequeo de validez  Chequeo de razonabilidad  Tabla de bloqueos  Chequeo de existencia  Verificacin de llave  Dgito de chequeo  Chequeo de completitud  Chequeo de duplicidad  Chequeo de relaciones lgicas

14

Controles de aplicacin
 Procedimientos de control de archivos de datos

Los archivos de datos o tablas en las bases de datos, generalmente estn en alguna de estas cuatro categoras
 Parmetros de control del sistema  Almacenamiento de datos  Datos maestros y de referencia  Archivos de transacciones

15

Controles de aplicacin


Procedimientos de control de archivos de datos

 Reportes de imagen antes y despus  Reporte de manejo y mantenimiento de errores  Retencin de documentacin fuente  Etiquetas internas y externas  Controles de seguridad de archivos de datos y uso

correcto de versiones  Chequeo de uno a uno  Pre registros de entrada (doble intervencin)  Log de transacciones  Autorizacin para el mantenimiento y actualizacin de archivos  Chequeo de paridad

16

Controles de aplicacin

 Controles de salida Almacenar en un lugar seguro y registrar las formas crticas, sensitivas y negociables. Generacin por computador de firmas y formas de instrumentos negociables Distribucin de reportes, balanceo y conciliacin Manejo de errores de salida Retencin de reportes de salida Verificacin de recepcin de reportes

17

Controles de aplicacin
Evaluacin de controles en procesos de negocio Algunas aspectos especficos que deben considerarse en la evaluacin de controles en procesos de negocio son :

Mapas de procesos Controles de procesos Evaluar riesgo de negocio dentro del proceso Benchmark con las mejores prcticas Roles y responsabilidades Actividades y tareas Restricciones de los datos
18

Controles de aplicacin

 Auditando controles de aplicacin

 Identificar los principales componentes de la

aplicacin  Identificar los controles fuertes en la aplicacin  Revisar el sistema de documentacin de la aplicacin

19

Controles de aplicacin

 Auditando controles de aplicacin

 Analizar el flujo transaccional dentro del sistema  Preparar un modelo de evaluacin de riesgos

para analizar los controles de la aplicacin

20

Controles de aplicacin

La siguiente documentacin debe ser revisada para comprender el desarrollo de una aplicacin:
 Documentacin de la metodologa de desarrollo de

sistemas  Especificaciones de diseo funcional  Cambios de programas  Manuales de usuario  Documentacin tcnica de referencia

21

Controles de aplicacin

 Observar y probar los procedimientos ejecutados

por los usuarios

     

Segregacin de funciones Autorizacin de entrada Conciliaciones Manejo de errores: control y correccin Distribucin de reportes Revisin y pruebas de la autorizacin y capacidad de acceso

22

Controles de aplicacin

 Probando la integridad de datos

 Pruebas de integridad de datos

Integridad de Dominio Integridad de Relacin Integridad de Entidad Integridad Referencial

23

Controles de aplicacin

 Integridad de datos en sistemas de procesamiento de transacciones en lnea

Atomicidad Consistencia Unicidad o Independencia Durabilidad

24

Controles de aplicacin

 Prueba a los sistemas de aplicacin  Pruebas a los programas de aplicacin computarizadas

Snapshot (imagen instantnea) Mapping (mapeo) Tracing & tagging (trazabilidad y rastreo)

25

Controles de aplicacin

 Prueba a los sistemas de aplicacin  Analizando controles de aplicacin computarizados

Pruebas de escritorio Evaluacin del sistema mediante un caso base Operaciones en paralelo Facilidad de prueba integrada Simulacin paralela Programas de seleccin de transacciones Mdulos embebidos para la recoleccin de datos Registros extendidos

26

Controles de aplicacin
Auditora continua en lnea  Tcnicas de auditora en lnea Sistemas de control de auditora para revisar archivos y mdulos de auditora embebidos (SCARF/EAM) Snapshots (imgenes instantneas) Seuelos de auditora Facilidades de prueba integrada (ITF) Simulacin intermitente y continua (CIS)

27

JIAP 2005
 Muchas gracias  Muy buena suerte

cvidovich@secnetpro.com isaca@adinet.com.uy

28