semana vi-control de aplicacion ti

Facultad de Ingeniería y Arquitectura 2010-II

Auditoria Informática

Ing. Carlos Luis Vidal, CISA, CISSP, ITIL v3, Security+

Escuela: Ingeniería de Sistemas e Informática

Facultad de Ingeniería y Arquitectura


Semana VIAuditoria a los controles de Aplicación en

los Sistemas de Información(SI)Controles de Aplicación en los SIAuditoría a los Controles de Aplicación en los SI



Los controles de aplicación son controles sobre las funciones de entrada (input), procesamiento y salida (output) de datos.

Los cuales se refieren a las transacciones y a los datos relativos a cada sistema aplicativo basado en una computadora, y por lo tanto, son específicos para cada aplicación

Dichos controles pueden ser manuales y/o automáticos.

Controles de Aplicación en los SI



Los objetivos de los controles de aplicación son asegurar:

La completitud de los registrosLa exactitud de los registros La validez de las entradas realizadas

Tanto estos sean resultantes del procesamiento manual como programado.

Objetivos de los Controles de Aplicación en los SI



Los controles de aplicación, incluyen métodos para asegurar:

Que sólo datos completos, correctos y válidos son ingresados y actualizados en un sistema aplicativoQue el procesamiento realice la tarea correcta Que los resultados del procesamiento satisfagan las expectativasQue se mantengan apropiadamente los datos

Controles de Aplicación en los SI



Los controles de aplicación pueden tipificarse en:

Controles de Entrada/OrigenControles de ProcesamientoControles de Salida(Output)

Tipo de Controles de Aplicación



Los procedimientos de controles de entrada deben asegurar que toda transacción que vaya a ser procesada sea recibida, procesada y registrada correcta y completamente.

Estos controles deben asegurar que sólo se introduzca información válida y autorizada, y que estas transacciones sean procesadas una vez.

Controles de Entrada



En un ambiente de sistemas integrados, los datos de salida (output) generados por un sistema son los de entrada (input) para otro sistema.

Por lo tanto, las verificaciones de edición, las validaciones y los controles de acceso del sistema que genera la salida deben ser revisados como controles de entrada / origen, para que el sistema reciba esa información como su propia entrada (input) de datos.

Controles de Entrada



La autorización de ingreso verifica que todas las transacciones hayan sido autorizadas y aprobadas por la Gerencia.

Ejemplos :

Firmas en formulariosControles de acceso en líneaContraseñas únicasIdentificación de terminalesVerificación de documentos fuente(formularios numerados para registrar los datos)

Controles de Entrada/Origen: Autorización de entrada



Los controles de lote agrupan las transacciones de entrada para proveer totales de control.

Incluye:Importe monetario totalTotal de elementosTotal de documentosTotales calculados (Hash Totals)

Controles de Entrada/Origen: Lote y Balance



La suma total del lote debe estar combinada con procedimientos adecuados de seguimiento.Se deben seguir procedimientos para asegurar que todos los lotes son aceptados y procesados.

Los tipos de balance incluyen:

Registros de lote(captura manual de totales)Cuentas de control(archivo de edición)Reconciliaciones hechas por el computador(uso de encabezados)

Controles de Entrada/Origen: Lote y Balance



El procesamiento de los datos introducidos al sistema requiere que existan controles que permitan verificar que los datos son aceptados en el sistema correctamente, y que los errores que se presentan en su ingreso son reconocidos y corregidos.

Es necesario corregir los errores que se presentan durante el proceso de conversión de datos. Los errores se pueden originar en duplicación de transacciones e introducción de datos incorrectos. Estos causan un alto impacto en la integridad y la exactitud de los datos.

Controles de Entrada/Origen: Reporte de manejo de errores



Las correcciones a los datos se deben realizar por medio de un proceso normal de conversión de datos y éstos deben ser verificados, autorizados y reingresados al sistema como parte el procesamiento normal.

El tratamiento que se le puede dar a los errores puede ser:Rechazar sólo las transacciones con erroresRechazar todo el lote de transaccionesAceptar el lote pero dejarlo en suspensoAceptar el lote pero marcar las transacciones con errores

Controles de Entrada/Origen: Reporte y Manejo de errores



Los controles de edición son controles preventivos que se usan antes que los datos sean procesados.

La validación de datos permite identificar errores de datos, datos incompletos e inconsistencias entre datos relacionados.

La falta de estos controles puede causar el procesamiento de datos incorrectos.

Controles de Procesamiento: Edición y/o Validación de Datos



Aseguran la completitud y exactitud de los datos acumulados. Algunos tipos de mecanismos para la validación de datos son:

Controles de Procesamiento: Edición y/o Validación de Datos

Secuencia LímiteRango ValidezRazonabilidadParámetros

ExistenciaDigitaciónDígito de ControlIntegridadDatos DuplicadosRelacionamiento lógico



Estos controles aseguran que los datos contenidos en un archivo /base de datos sigan siendo completos y exactos hasta cuando que sean cambiados como resultado de un procesamiento o de rutinas de modificación autorizadas.

Las siguientes son técnicas de control de procesamiento que pueden ser usadas para tratar el aspecto de integridad y exactitud:Recálculos Manuales(de una muestra)Edición(Subrutina de verificación)Totales de Proceso a Proceso

Controles de Procesamiento: Técnicas



Continuación…Controles Programados(P.ej:si archivo es incorrecto) Verificación de Razonabilidad de los Valores Calculados

Verificaciones de Límite sobre los Valores Calculados

Reconciliación de los Totales de los Archivos(rutinaria con archivo auxiliar)

Reportes de Excepción

Controles de Procesamiento: Técnicas



Los archivos de Datos o tablas de Base de Datos, caen generalmente en las siguiente categorías:

Parámetros de control de sistema(Se usa los mismo controles que para cambios de programas)

Datos vigentes(P.ej. Maestro de Clientes, se usa Pistas de Aud.)

Datos Principales /datos de balance(Producto de cálculos, se usa Pista de Aud.)

Archivos de transacción(Se usan verificación de validad, totales de control y reportes de excepción)

Controles de Procesamiento: Control de Archivos de Datos



Los controles de archivo deben asegurar que únicamente se realicen procesamientos autorizados sobre los datos almacenadosEjemplo:Reporte de Registro Anterior y posterior

Mantenimiento, Reporte y Manejo de Errores(seguimiento de que las diferencias son conciliadas y errores soluciones)

Retención de documentación Fuente

Etiquetado Interno y Externo(de los medios removibles)

Uso de Versiones




Seguridad de los Archivos de Datos

Verificación Uno a Uno

Datos de entrada previamente registrados

Registros (log) de Transacciones

Autorización para Actualización y Mantenimiento de los Archivos

Verificación de Paridad(En especial para archivos vitales)




Los controles de salida proveen una garantía de que los datos entregados a los usuarios serán presentados, formateados y entregados en una forma consistente y segura. Los controles de salida incluyen:Registro y Almacenamiento de Formularios Negociables, Sensitivos y Críticos en un Lugar Seguro: (Robo o Daño) y reconciliado periódicamente con registro manualGeneración automatizada de Instrumentos Negociables, Formularios y Firmas(comparar registrados vs recibidos)Distribución de Reportes (registrados antes de su distribución)Balance y ReconciliaciónManejo de Errores en las SalidasRetención de Reportes(Considerar legislación vigente)Verificación de Recibo de los Reportes(Reportes sensitivos debe poseer cargo de recepción)

Controles de Salida



Las tareas del auditor de SI incluyen las siguientes:Identificar los componentes significativos o importantes en la aplicación y el flujo de las transacciones.Identificar las fortalezas y debilidades de control (Impacto).Probar los controles para asegurar su adecuada implementación y efectividadEvaluar el ambiente de controlConsiderar los aspectos operativos de la aplicación, analizando los procedimientos definidos

Auditoría de los Controles de Aplicación en los SI- Análisis



La documentación del sistema de aplicación provee un entendimiento de la funcionalidad de la aplicación.

Como Auditor debería revisarse la siguiente documentación:

Metodología de desarrollo de sistemas(ROI y Req. Usuarios)Especificaciones de diseño funcional(Puntos Control Claves)Cambios en los programas(documentados y referencia cruz.)Manuales de usuarioDoc. Referencias técnicas(debe contener reglas de acceso y reglas lógicas)

Auditoría de los Controles de Aplicación en los SI- Documentación



¿Preguntas?

semana vi-control de aplicacion ti

Documents