auditoria de sistemas
31
Ciclo II-2015 19 agosto 2015 19/08/2015 1
description
clasificación de controles y tipos.
Transcript of auditoria de sistemas
Ciclo II-2015
19 agosto 2015
19/08/2015 1
Papel de la Auditoria de Sistemas en la auditoria interna, revisión fiscal y auditoria externa (última parte unidad I)
UNIDAD II
Principales Controles en una Aplicación
Controles, categorías, controles generales, controles de aplicaciones.
19/08/2015 2
Papel de la Auditoria de Sistemas en la auditoria interna, revisión fiscal y auditoria externa
19/08/2015 3
AS requiere expertos en TI que entiendan: Los principales aspectos relacionados con el negocio. Los principios básicos de auditoría, El enfoque y metodología del área de AI
AS no es un área independiente de AI, es un área que complementa la función de AI
Por perfil, generalmente personal de AI no puede tomar funciones de AS
Personal 100% técnico puede ser capacitado en aspectos de auditoría y control
19/08/2015 4
En la planeación debe definirse la necesidad deinvolucrar expertos de Auditores de TI.
Deben definirse claramente los miembros queintegrarán el equipo de auditoría, así como los rolesespecíficos
Deben definirse los papeles de trabajo y reportesestándar
Deben definirse las herramientas de TI que seutilizarán◦ De evaluación (seguridad de ambiente, hackeo ético, etc.)◦ De apoyo de Herramientas TAAC ( IDEA, Querys,etc.)
19/08/2015 5
Los auditores financieros pueden llegar a tenernecesidades técnicas específicas para desarrollar sustareas de auditoría◦ Reportes específicos
◦ Análisis de datos
◦ Conocimiento técnico de cálculos o reglas del negocio
Los auditores de TI deberán soportar estasnecesidades cuando sea posible◦ Se requiere una adecuada integración y comunicación con los
auditores financieros
◦ Se requiere entender el enfoque de la auditoría
◦ Apoyar a los auditores a definir sus necesidades claramente
19/08/2015 6
Controles, categorías, controles generales, controles de aplicaciones.
19/08/2015 7
Medidas encaminadas a evitar la materialización deamenazas.
Conjunto de disposiciones metódicas, cuyo fin esvigilar las funciones y actitudes de las empresas ypara ello permite verificar si todo se realiza conformea los programas adoptados, ordenes impartidas yprincipios admitidos.
La palabra control proviene del términofrancés contrôle y significa comprobación,inspección, fiscalización o intervención. Tambiénpuede hacer referencia al dominio, mando ypreponderancia, o a la regulación sobre un sistema.
19/08/2015 8
Controla diariamente que todas las actividades de lossistemas de información sean realizadas cumpliendo losprocedimientos, estándares y normas fijados por la direcciónde la organización y/o la dirección informática, así como losrequerimientos legales
Realizar en los diferentes sistemas (centrales,departamentales, redes locales, PC’s, etc.) y entornosinformáticos (producción, desarrollo o pruebas) el control delas diferentes actividades operativas.
19/08/2015 9
Controles preventivos Reducen la frecuencia con que ocurren las causas del riesgo, permitiendo
cierto margen de violaciones.
Función Descartar Problemas antes de que surjan Monitorear tanto las operaciones como el ingreso de datos. Tratar de predecir los problemas potenciales antes de que ocurran y hacer
ajustes. Impedir que ocurra un error, una omisión o un acto malicioso.
Ejemplos Emplear solo personal calificado Segregar las tareas (factor disuasivo) Control de acceso a instalaciones físicas Usar documentos bien diseñados (prevenir errores) Establecer proc. adecuados para autorizar transacciones.(aprobaciones) Verificaciones programadas de edición. IPS, software o hardware de seguridad Claves de acceso
19/08/2015 10
Controles detectivos No evitan que ocurran las causas del riesgo sino que los detecta luego
de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Función Controles que detectan que ha ocurrido un error, una omisión o un
acto malicioso y lo reportan
Ejemplos Totales Brutos Verificación doble de los cálculos Realización periódica de reportes con variaciones. Archivos y procesos que sirvan como pistas de auditoría Procedimientos de validación Registro de intentos de acceso no autorizados Antivirus, antispyware
19/08/2015 11
Controles Correctivos Ayudan a la investigación y corrección de las causas del riesgo. La
corrección adecuada puede resultar difícil e ineficiente, siendonecesaria la implantación de controles detectivos sobre los controlescorrectivos, debido a que la corrección de errores es en si unaactividad altamente propensa a errores.
Función Minimizar el impacto de una amenaza. Remediar problemas descubiertos por los controles de detección. Identificar la causa de un problema. Corregir los errores que surjan de un problema. Modificar el o los sistemas de procesamiento para minimizar que el
problema ocurra en el futuro.
Ejemplos Planificación de contingencias. Recuperación de un archivo dañado o perdido a partir de las
copias de seguridad
19/08/2015 12
Controles generales organizativos.
Controles de desarrollo, adquisición ymantenimiento de sistemas de información.
Controles de explotación de sistemas deinformación.
Controles en aplicaciones.
19/08/2015 13
Los controles generales de TI son aquellos quetienen que ver con el ambiente de proceso de TI enel cual operan los controles de aplicación. Entre loscontroles generales están por ejemplo:
◦ Control de cambios a programas
◦ Controles de acceso físico
◦ Controles de acceso lógico
◦ Controles de continuidad operativa
◦ Controles de aplicaciones
19/08/2015 14
Los controles de aplicación consisten de actividadesmanuales y/o automatizadas que aseguran que lainformación cumple con ciertos criterios: Efectividad,
Eficiencia,
Confidencialidad,
Integridad,
Disponibilidad,
Cumplimiento y
Confiabilidad.
Controles de ingreso de datos, procesamiento y salida
19/08/2015 15
La mayoría de las transacciones deprocesamiento electrónico de datos comienzacon procedimientos de entrada de datos.
Se hace necesario efectuar el control de ingresopara asegurar que cada transacción a serprocesada cumpla con requisitos: Se debe recibir y registrar con exactitud e íntegramente.
Se deben procesar solamente datos válidos y autorizados.
Se deben ingresar los datos una vez por cada transacción.
19/08/2015 16
Los controles en el ingreso de datosson preventivos, pues tratan de evitar laproducción de errores exigiendo el ajuste de losdatos introducidos a patrones de formato yestructura (fecha valida, dato numérico, datodentro de un rango especifico, introducción dedígitos de chequeo, etc.).
19/08/2015 17
Transacciones en línea.
Usuario y operador.
Terminal o dispositivo de entrada de datos.
19/08/2015 18
Los objetivos generales:
Disponer de mecanismos de control que minimicen la exposición a riesgos derivados de amenazas como las siguientes:
◦ Ingreso de transacciones que no cumplan con lo establecido por las regulaciones vigentes.
◦ Ingreso de transacciones erróneas o incompletas.
◦ Ajustes indebidos a transacciones.
◦ Deterioros o degradación a la base de datos.
◦ Carencia de pistas de auditoría.
Asegurar la continuidad de las actividades mediante vías alternativas de entrada de datos.
19/08/2015 19
Identificar y registrar todos los tipos de transacciones aceptadas por el sistema Identificar y registrar a los operadores autorizados para ingresar las
transacciones aprobadas. Desplegar en pantalla formatos específicos para orientar al operador acerca de
los datos que debe ingresar en cuanto a dimensión, secuencia, rango o limitesdentro de los cuales se deben mantener los valores a ingresar.
Exhibir rangos de validez de los datos, de manera que sirvan de orientacióntambién al operador.
Aplicar diálogos interactivos de control. Evitar el ingreso, como dato, de fechas inexistentes. Por ejemplo, día superior a
31. Suministrar pistas de auditoría de actividad. Mantener en las terminales logs que sirvan como pistas de auditoría para
posibilitar la reconstrucción de transacciones desde todas las estaciones deusuarios.
Verificar que en las transacciones contables los débitos balanceen con loscréditos.
Prever la efectivización de un profundo entrenamiento por parte de los usuarios yoperadores de los sistemas en línea y en tiempo real, asegurar que losprogramas de entrenamiento no afecten los archivos de operación normal.
19/08/2015 20
Los objetivos generales:
Minimizar la posibilidad de que se cometan errores humanosdurante la transmisión de entrada de datos.
Asegurar que las funciones que ejecutan los operadores dedatos sobre áreas reservadas se ajustan a las políticas yprácticas de control de la organización.
19/08/2015 21
Facilitar y simplificar la tarea del operador. Utilizar opciones limitadas entre las posibles de un menú
conforme a las autorizaciones otorgadas a cada usuariopor medio de tablas, entregar a cada usuario unacontraseña basada en algún factor.
Introducir el software rutinas del bloqueo que solo puedaser des afectadas por medio de contraseñas autorizadas.
Desactivar terminales después de tres intentos fallidos deingreso de datos, mantener registros internos frustrados.
Disponer de procedimientos específicos de seguridad en elcaso en que se restauren operaciones ocurridas luego deun periodo de inactividad por fallas de una terminal.
Efectuar control de duplicación.
19/08/2015 22
Objetivos generales:
Asegurar, por medio de operadores autorizados y desdelugares autorizados.
Asegurar la continuidad de los negocios (procesamiento detransacciones), aun en el caso de que se produzcan fallas enel sistema.
Mantener la confidencialidad y privacidad de los datosagrupados y transmitidos para su procesamiento dentro deun ambiente protegido.
19/08/2015 23
Utilizar el software establecido.
Separar técnicamente las terminales de uso general.
Delimitar los menú
Evitar personas ajenas al operador autorizado.
Registrar los datos a transmitir.
Establecer procedimientos alternativos en caso de cualquier anomalía.
Establecer límites de tiempo para el mantenimiento.
Asignar llaves funcionales especiales a los usuarios.
Utilizar cables blindados.
Que solo la únicamente una persona autorizada sea quien cambie los códigos de encriptación.
Verificar si todas las terminales quedan afuera de servicio al finalizar la jornada laboral.
19/08/2015 24
Los programas de computación deben ser sometidos apruebas antes de ser lanzados a producción rutinaria, elauditor debe revisar las condiciones bajo las cuales se realizael procesamiento interno.
Programar controles sobre el procesamiento ya que unprograma puede ser modificado indebidamente (conintención o accidentalmente).
El auditor no debe confiar en que una vez controlados losdatos de entrada, controlados los archivos y probados losprogramas, no puedan ocurrir errores de procesamiento queden por resultado salidas incorrectas.
19/08/2015 25
Errores de codificación
Errores u omisiones en el diseño lógico del procesamiento
Modificaciones incorrectas al programa
19/08/2015 26
Importe totales predeterminados, conciliación al final delprocesamiento de todas los datos.
Controles de razonabilidad y de límites de importes calculados porprograma, los programas deben comprobar la razonabilidad de uncálculo efectuado durante el procesamiento, comparando elresultado obtenido en cada operación con límites fijos o flexiblespredeterminados (intervalos).
Prueba de sumas horizontales, control cruzado que consiste enllegar a un importe neto final por dos caminos diferentes. Si lascifras finales obtenidas a través de estos dos caminos no coinciden,se deberá indicar el error en el procesamiento.
19/08/2015 27
La información de salida de un procesamientocomputarizado se refleja en listados o tabuladosimpresos en papel o formularios continuos.
19/08/2015 28
Custodia de los formulario críticos o negociables, los formularios enblanco que serán destinados para ser impresos por computadoradeben estar protegidos adecuadamente contra robos o daños.También deberán mantenerse adecuados registros sobre laexistencia y uso de los mismos, y cumplirse con planes de recuentosfísicos periódicos.
Conciliación entre formularios salidos del inventario y aquellosprocesados (impresos), Una persona ajena a quien genere laimpresión deberá conciliar y fundamentar las razones de lasdiferencias por errores de impresión, mutilaciones, etc.
19/08/2015 29
Conciliación de importes totales contenidos en las salidas, Elencargado de Mesa de Control o de la sección Control de Datosdeberá conciliar los importes totales de salida con los respectivosimportes totales de datos de entrada. Al auditor de sistemas tendráque verificar si en el diseño del sistema la existencia de pistas deauditoria permitirá el rastreo del procesamiento de las transaccionesen caso de ausencia de balanceo.
Control de distribución y verificación de recepción, El control dedistribución obedece a la necesidad de mantener la confidencialidadde la información reservada. Debido a que actualmente la mayoríadel procesamiento de información pasa por procesoscomputarizados.
19/08/2015 30
Tiempo de retención de informes, La política de retención deberádeterminar los tiempos fijados desde el punto de vista legal y desdela normativa interna de la empresa.
Información de salida para corrección de errores, Los programasprevén métodos de detención de errores, en estos casos, los erroresse imprimen en un listado o bien se muestran por pantalla pero lorealmente importante es verificar que los mismos quedenregistrados en almacenamiento transitorio hasta tanto se verifiquesu corrección y reingreso al proceso. El auditor revisara elprocedimiento que utiliza el usuario para corregir y retornar losdatos al proceso.
19/08/2015 31
![[Apostila] Auditoria de Sistemas - TCU](https://static.fdocumentos.com/doc/165x107/55721082497959fc0b8d4714/apostila-auditoria-de-sistemas-tcu.jpg)
