I [2] Controles_auditoria v2
Transcript of I [2] Controles_auditoria v2
UNIVERSIDAD NACIONAL “Jorge Basadre Grohoman”
Mgr. Erbert F. Osco M.
1
CONTROLESCONTROLESConjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.
- FinVigilar las funciones y actitudes Empresa
Permite verificar si todo se realiza conforme a los programas adoptados, ordenes y principios admitidos.
•Los datos son uno de los recursos más valiosos de las organizaciones y, aunque:
Son intangibles
Necesitan ser controladosSer auditados con el mismo cuidado de los demás inventariosde la organización
• La responsabilidad de los datos es compartida conjuntamente por alguna función determinada y el departamento de cómputo
2
Como realizar controles de:
ACESO A DATOS
3
1. Dueño de la Información2. Roles y Perfiles3. Autorización del diseño y perfiles x los dueños4. Registro (escrito)
BAJA DE USUARIOS
CAMBIOS EN LOS PROGRAMAS
1. Autorización2. Pruebas de ambiente3. Control de paso a producción
Principales Controles de una aplicación
ENTRADA PROCESO SALIDA
SISTEMA DE INFORMACION
Documentos Información
4
Esquema de implementación de controles
MAGU: Manual de audit gub 5
Controles a nivel de procesosControles a nivel de procesos• El auditor debe evaluar el entorno
informatizado basado en ERP
6
Visión Sistemática de la Auditoria InformáticaVisión Sistemática de la Auditoria Informática
7
ControlesControles
Definición del control interno
El control interno es un proceso establecido por el Directorio, la Gerencia y todos los niveles del personal, para brindar una seguridad razonable de que se lograrán los objetivos del negocio de la organización.
8
Estructura de control (COSO)
9
Committee of sponsoring organizations
ControlesEn el curso de la realización de un estudio de riesgo, un auditor de SI ha identificado amenazas e impactos potenciales. Inmediatamente después, un auditor de SI debe: A. Identificar y estudiar el proceso de análisis del riesgo usado por la gerenciaB. Identificar los activos de información y los sistemas subyacentesC. Revelar las amenazas y los impactos a la gerenciaD. Identificar y evaluar los controles existentes
10
EJEMPLO:1.- CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL La mayoría de los Delitos por computadora son cometidos por modificaciones de datos fuente al:
• Suprimir u omitir datos. • Adicionar Datos. • Alterar datos. • Duplicar procesos.
El primer nivel es el que puede hacer únicamente consultas. El segundo nivel es aquel que puede hacer captura, modificaciones y consultas. El tercer nivel es el que solo puede hacer todos lo anterior y además puede realizar
bajas
2.- CLAVES DE ACCESO DE ACUERDO A NIVELES
11
ControlesClasificación general de los controles
Controles Preventivos: frecuencia de que ocurran (“no fumar”, claves de acceso)
Controles Detectivos: detectan luego de ocurrido (pistas de auditoria)
Controles Correctivos (ayudan a investigación y corrección de la causa del riesgo)
Principales Controles físicos y lógicos Autenticidad verifica identidad, (passwords, firma digital)
Exactitud Coherencia datos(validación de campos, excesos)Totalidad Evitan omisión de registros (conteo de registros, cifras de control)Redundancia Evitan duplicidad de datos (cancelación de lotes, verificación
de secuencias)
12
…Principales controles físicos y lógicos
Privacidad Aseguran la protección de los datosEjm: Compactación, encriptación.
Existencia Aseguran la disponibilidad de los datosEjm: Bitácora de estados, mantenimiento de activos
Protección de Activos Destrucción o corrupción de
información o del hardware. Ejm: Extintores, Passwords Efectividad, Aseguran el logro de los objetivos
Ejm: Encuestas de satisfacción, Medición de niveles de servicio
Eficiencia Aseguran el uso óptimo de los recursosEjm: Programas monitores , Análisis costo-beneficio
13
Controles automáticos o lógicos Periodicidad de cambio de claves ( 3 meses)Combinación de alfanuméricos Individuales (realizar transacciones registra el cambio )Confidenciales (las claves son confidenciales)No significativas ( ejm: 123, fecha nac, nombres)Verificación de datos de entrada (tipo de dato, rango)Verificación de limites (mínimo, máximo)Verificación de secuencias (ascendente, desc, rutinas indepen)Digito autoverificador ( Ejm. Ultimo digito DNI X Nº Modulo 1)Software seguridad en pcs (WACHDOG, LATTICE,SECRET DISK, etc)
14
Claves teclado acróstico
Controles administrativos en un ambiente de procesamiento de datos
1.- Controles de Organización y Planificación2.- Controles de (desarrollo, adquisición y mantto de SI)
3.- Controles de Explotación de SI4.- Controles en aplicaciones5.- Controles específicos de ciertas tecnologias.6.- Controles de calidad
1.- Controles de Organización y Planificación okPolíticas: deben servir de base para planificación control y evaluación del Área de InformáticaEvitar que una misma persona tenga control de toda una operación.
• Planificación, PETI, POI, Plan de seguridad, Plan de contingencia• Informática debe estar en el nivel mas alto en la gestión administrativa• Procedimientos y Funciones, que describan la forma y responsabilidades • Asegurar que se revisan los informes de control y resuelve las excepciones que ocurran.• Debe existir una unidad de Control de calidad (in, out) del procesamiento
2.- Controles de Desarrollo, Adquisición y Mantenimiento de SI
Alcanzar eficacia, económica, eficiencia, integridad de datos, protección de recursos, cumplimiento de leyes y regulaciones.
• Metodología del ciclo de vida: – La alta dirección debe publicar la normativa y revisar periódicamente.– Establecer responsabilidades– Definir especificaciones del nuevo sistema por el usuario.– Estudio tecnológico de viabilidad y análisis costo beneficio.– Plan de validación, verificación y pruebas.– Estándares de prueba de programas, pruebas de sistemas.– Plan de conversión, prueba de aceptación final– Las políticas de adquisición de software deben seguir las políticas de adquisición de la organización.– Preparar manuales de operación y mantenimiento como parte de todo el proyecto.
• Explotación y mantenimiento (datos se tratan de forma congruente y exacta), seguimiento y control de cambios
16
3.- Controles de Explotación de Sistemas de Información• Planificación y gestión de recursos: Presupuesto del departamento, plan de
adquisiciones de equipos.• Controles para usar los recursos ordenadores:
– Calendario de carga de trabajo.– Programas de personal– Mantenimiento preventivo de material– Gestión de problemas y cambios– Procedimiento de facturación a usuarios.– Sistema de gestión de la biblioteca de soportes.– Los programas para pasar a producción deben ser probados con datos aleatorios.
• Procedimientos de selección de software• Seguridad física y lógica, revisar informes de violaciones y actividad de seguridad para idénticar y
resolver incidentes.– Acceso restringido a personas no autorizadas al departamento de informática– Personas externas a la institución deben ser acompañadas por un miembro de la plantilla.– Medidas de protección contra fuegos– Control de acceso a ordenadores.– Normas de regulación acceso a recursos informáticos
17
4.- Controles en AplicacionesLas aplicaciones deben garantizar entrada, actualizar, validez y mantenimiento.
• Control de entrada de datos: Los datos son responsabilidad del usuario y su corrección.
– Horarios para in de datos– Acciones para corrección de errores
• Controles de tratamiento de datos: no se den de alta, modifiquen o borrar datos no autorizados, garantizar la integridad.
• Controles de salida de datos: conciliación de salidas, gestión de errores, etc.
18
5.- Controles específicos de ciertas tecnologías• Controles en sistemas de Gestión de BD.
– Que asegure la integridad de BD, instrucciones de control que definen el entorno.– Definir responsabilidades sobre planificacion, organización, dotacion, control de activos, administracion de datos.– Procedimientos de administracion de cambios.– Controles en acceso de datos.– Controles para minimizar fallos, recuperar bd
• Controles en redes:– Planes y pruebas de administracion de red.– Compatibilidad de aplicciones cuando la red es distribuida.– Medidas y controles para seguridad de redes entre los distintos departamentos.– Identificar datos sensibles en red.– Procedimientos de respaldo de HW y SW.– Procedimientos de cifrado de informacion sensible.– Procedimienos automaticos para cierre de sistemas.– Revisar contratos de mantenimiento con proveedores.– Asegurar que existan pistas de auditoria, capacidad de rastrear datos entre terminal y usuario.– Considerar circuitos de conmutacion que usen rutas alternas (Telefonica, Claro, etc).
• Controles sobre ordenadores personales y redes de area local– Implantar herramientas de gestion de red (valorizar el rendimiento, control, planificacion)– Uso de UPS, Grupos electrogenos, etc– Proteccion contra incendios, inundaciones, humos, estatica– Control de acceso fisico a datos, aplicaciones– Identificacion de usuarios (bajas, altas, cambios de passwords, explotacion del log)
19
6.- Controles de calidad ok• Existencia de un plan de Calidad a largo plazo de Tecnología, filosofía «mejora
continua».• Esquema de garantía de calidad ( revisiones, auditorias, inspecciones) para lograr
objetivos del Plan de Calidad. • Metodología de desarrollo de sistemas: (normas para metodología de desarrollo
de sistemas).• Relaciones con proveedores que desarrollen sistemas: acuerdo de criterios de
aceptación, administración de cambios, problemas durante el desarrollo, herramientas, normas, procedimientos.
• Normas de documentación de programas: Metodología para documentación.• Normas para pruebas de programas: requisitos de las pruebas de programas
pruebas de unidades de software.• Pruebas piloto o en paralelo: circunstancias bajo los cuales se realizaran las
pruebas piloto o paralelas.• Documentación de pruebas de Sistemas: documentar los resultados de las
pruebas de sistemas.• Evaluación del cumplimiento de Garantía de Calidad de las normas de desarrollo.
20
Controles de Aplicativos
21
Ley Sarbanes-Oxley; Julio 2002, surge como rpta escándalo contabilidad corporativa de los 90 EEUU. Disponibilidad de la informaci. a auditores externos asi como a la empresa22
INFORME DE GARANTIA SAS 70Diferencias entre SAS 70 Y LA ISO Seg Inf. 27001
23
Statement on Auditing Standards (SAS) No. 70, Service Organizations, was a widely recognized auditing standard developed by the American Institute of Certified Public Accountants
24
2525
AUDITORIA A APLICACIONES EN FUNCIONAMIENTO
OBJETIVO DE LA AUDITORIA A APLICACIONES EN FUNCIONAMIENTOEvaluar la efectividad de los controles existentes y sugerir nuevos controles con el fin de minimizar riesgos y fortalecer el control de dichas aplicaciones.PRINCIPALES CONTROLES A UNA APLICACIÓN
ENTRADA PROCESO SALIDA
SISTEMA DE INFORMACION
Documentos Información
I. Controles In Datos
II. Controles Procesamiento de datos
III. Controles en la salida
26
I. CONTROLES EN LOS INGRESOS DE DATOS
Detectan posibles errores en la digitación
Ingresos de datos incompletos
Ingresos repetidos u omisiones
PRINCIPALES CONTROLES EN LA CAPTURA DE DATOS
La pantalla de captura de datos debe ser similar a los documentos fuente
La aplicación debe tener adecuados mensajes de ayuda (help desk)
Restringir el acceso de usuarios a las diferentes opciones de la aplicación
Verificar que cada pantalla de captura de datos sea de obligatoria digitación
Controlespreventivos
26
27Mag. Erbert F. Osco M.
En toda la aplicación cada campo debe tener un formato de dato apropiado
Establecer un limite para los datos numéricos y campos fecha para asegurar que los datos estén dentro de un limite. Por ejemplo que la fecha de vencimiento de un crédito debe ser posterior a la fecha de otorgamiento.
En la captura o modificación de datos críticos debe dejarse una pista de auditoria donde se identifique lo siguiente:
-Nombre del usuario-Fecha y hora de creación -Valor del campo antes de actualizar-Valor del campo después de la actualización
Verificar que las pistas de auditoria sean revisadas por los responsables
Al ingresar datos, el sistema debe ir verificando con los registros de los archivos maestros para determinar su validez
Las pantallas con captura de datos numéricos deben incluir el ingreso totales de control
… I. CONTROLES EN LOS INGRESOS DE DATOS
2828/04/23 Ing. Erbert F. Osco M.
La aplicación debe permitir imprimir listados de datos ingresados
La aplicación no debe permitir que los datos de los archivos maestros, después de haber tenido movimientos, puedan ser borrados del sistema
Los números de los documentos fuente o el numero de lote no debe permitir ser ingresados para el procesamiento mas de una vez.
Lo anterior se debe tener en cuenta para los documentos ya existentes que requieran ser modificados
Si existen documentos rechazados por la aplicación, ésta debe permitir mantener un archivo en suspenso para que estas sean revisadas, analizadas y corregidas.
… I. CONTROLES EN LOS INGRESOS DE DATOS
2928/04/23 Ing. Erbert F. Osco M. 29
Los controles para este tipo de transacción son los siguientes:
-Controlar y mantener un registro de las transacciones rechazadas en un archivo-La aplicación debe permitir la impresión de los documentos o transacciones rechazadas-Antes de realizar un proceso de cierre el sistema debe validar que las transacciones rechazadas hayan sido corregidas o pendientes en el archivo en suspenso.
30
II.CONTROLES EN EL PROCESAMIENTO DE DATOS
Los controles en el procesamiento de datos permiten identificar las transacciones que son actualizadas en forma incorrecta o incompleta
El ingreso de los documentos fuente para su procesamiento debe generar números consecutivos
Incluir en la aplicación controles de balanceo programados tales como:
- Balanceo de créditos y débitos- Saldo inicial del ciclo de procesamiento actual debe ser igual
al saldo final del ciclo anterior- El saldo inicial más las transacciones procesadas debe ser
igual al saldo final del ciclo
Incluir en la aplicación controles de limite y razonabilidad sobre los cálculos
Cuando la aplicación esta realizando algún proceso debe mostrar un mensaje al usuario
31
La ejecución de procesos debe ser secuencial, el sistema debe controlar que al realizar determinados proceso estén listos los procesos previos a su ejecución
Al realizar un proceso de cierre de todos los documentos deben estar procesados completamente y no deben existir documentos pendientes en el archivo en suspenso
Verificar la existencia totales de control para confirmar la confiabilidad de las interfaces entre los diferentes módulos o aplicaciones
En los procesos críticos de la operación debe dejarse una pista de auditoria
…. II.CONTROLES EN EL PROCESAMIENTO DE DATOS
32
III.CONTROLES EN LA SALIDALos controles en la salida sirven para verificar la exactitud, funcionalidad, además del adecuado uso y distribución de los reportes
Generar reportes por excepción para verificar aspectos tales como: cantidades poco frecuentes, transacciones que no cumplen con las políticas de la compañía.
Generar listados o consultas por pantalla de los datos producidos por el sistema con el fin de que sean revisadas y/o autorizadas por los usuarios.
Los reportes que genera la aplicación debe indicar en la ultima página que ha finalizado. Para reportes confidenciales se debe indicar la distribución a los usuarios el tiempo de conservación e indicar que se debe hacer después de su uso.
Cuando se anulan documentos en la aplicación, esta no debe permitir imprimirlos y para control se debe generar un reporte de documentos anulados
33
En la petición de nuevos reportes por usuarios debe existir una petición escrita autorizada por el jefe del área usuaria con su respectiva justificación
Verificar que los reportes generados sean lo suficientemente completos para facilitar la toma de decisiones
Para los documentos que son titulo valor, verificar que tanto los que se encuentran en blanco como los diligenciados, estén adecuadamente controlados y se les haya asignado una persona responsable de su inventario.
…. III.CONTROLES EN LA SALIDA
El departamento de SI de una organización quiere asegurarse de que los archivos de computadora/ordenador usados en la instalación de procesamiento de información, estén respaldados adecuadamente para permitir la recuperación apropiada. Este es un:
A. procedimiento de control.B. objetivo de control.C. control correctivo.D. control operativo.
Controles
Los objetivos de control de SI especifican el conjunto mínimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organización.
34
Controles Detectivos ¿Cuál de las opciones siguientes es un control
de detección?A. Controles de Acceso FísicoB. Segregación de funcionesC. Procedimientos de Respaldo de SeguridadD. Rastros de Auditoría
Los rastros de auditoría captan información, la cual puede ser usada para detectar los errores. Por lo tanto, se consideran como controles de detección. Los controles de acceso físico y de segregación de funciones son ejemplos de controles preventivos mientras que los procedimientos de respaldos de seguridad son controles correctivos..
35
¿Cuál de los siguientes es un objetivo de control de SI?A. Los reportes de salida están bajo llave en un lugar
seguroB. No ocurren transacciones duplicadasC. Los procedimientos de respaldo y/o
recuperación del sistema son actualizados periódicamente
D.El diseño y el desarrollo del sistema reúnen los requerimientos de los usuarios
Controles
Es un sistema Interno de Control
Es un Control Operativo
Es un Control Administrativo
36
ControlesRequerir que las contraseñas sean cambiadas periódicamente, asignar una nueva contraseña de una sola vez cuando un usuario se olvide de la suya, y requerir que los usuarios no escriban sus contraseñas son todos ejemplos de:
A. objetivos de auditoria.
B. procedimientos de auditoria.
C. objetivos de control.
D. procedimientos de control.Por que es una práctica que establece
la gerencia para lograr objetivos específicos
37
Tarea
• Revisar en que se relaciona la ley SOX, con auditoria de TI
• Realizar un contrato de auditoria de TI para una Empresa X
38