EVALUACIÓN DE CONTROLES AL AMBIENTE DE PROCESAMIENTO ELECTRÓNICO DE DATOS

  • 8,363 views
Uploaded on

EVALUACIÓN DE CONTROLES AL AMBIENTE DE PROCESAMIENTO ELECTRÓNICO DE DATOS …

EVALUACIÓN DE CONTROLES AL AMBIENTE DE PROCESAMIENTO ELECTRÓNICO DE DATOS

asignacion de responsabilidades,

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
No Downloads

Views

Total Views
8,363
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
175
Comments
1
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. EVALUACIÓN DE CONTROLES AL AMBIENTE DE PROCESAMIENTO ELECTRÓNICO DE DATOS
  • 2. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Por Medio de los Controles se Asignan Responsabilidades Para Proteger los Activos de la Compañía. Para Documentar todas las Transacciones y garantizar que solamente DATOS CORRECTOS y AUTORIZADOS sean registrados en la Contabilidad y para RESTRINGIR el Uso de la Información a las Necesidades Legítimas de la Organización. CONTROLES DE PROCESAMIENTO ELECTRONICO DE DATOS
  • 3. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. ¿ Qué objetivos considera usted deben acompañar un buen sistema de Control Interno.? El propósito del S.C.I . En esencia es Preservar la Existencia de Cualquier Organización y Apoyar su desarrollo. Objetivo del S.C.I. : Contribuir con los resultados esperados en la Organización.
  • 4. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED.
    • Objetivos Que Deben Acompañar Un Buen Sistema De Control Interno Computacional .
      • . Detectar y prevenir las transacciones no autorizadas para ingresar al sistema Informático.
      • . Detectar y prevenir en el sistema procesamientos errados.
      • . Asegurar la Integridad de los datos y su incorporación a la Base de Datos de los registros contables definitivos.
      • . Proveer en el ambiente computacional la adecuada segregación de funciones.
  • 5. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED.
    • Impacto del Procesamiento de Datos en el Sistema de Control Interno
      • Transacciones manuales usualmente respaldadas (Firmas, Sellos).
      • En los Sistemas PED, existen un formato legible para el Computador, y en algunos casos pueden desaparecer a menos que se cuente con los controles adecuados que documenten apropiadamente las transacciones.
      • Los Rastros de Auditoría pueden ser alteradas.
      • Una vez que los Sistemas Computarizados está en Pn. Es muy costos modificarlo para implantarle controles.
  • 6. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Controles Generales . Son aquellos que se encuentran en el entorno en el cual se ejecutan el Desarrollo y las Operaciones de la Aplicación. Son externos a la aplicación y no dependen de sus características. (Relacionado con el ambiente de la Aplicación) Controles Específicos . Son aquellos relacionados con la captura, entrada y registro de datos en un sistema informático, así como los relacionados con su procesamiento cálculo y salida de la información y distribución. ( Particular a cada Aplicación).
  • 7. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. CONTROLES GENERALES P.E.D .
    • I. CONTROLES DE ADMINISTRACIÓN Y ORGANIZACIÓN
      • Políticas y planes de dirección tecnológica.
      • Segregación de Funciones entre el Servicio de información y los usuarios.
      • Manual de Responsabilidades y Procedimientos
      • Capacitación y Entrenamiento de Puestos
      • Seguridad Física y Lógica
      • Plan de Contingencia.
    • II. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
      • Procedimiento de Desarrollo.
      • Control Sobre Mantenimiento.
      • Diseño y Prueba de Nuevos Sistemas.
      • Documentación de Sistemas.
      • Rastros de Auditoría.
      • Efectividad y Eficiencia de la Operación.
  • 8. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. CONTROLES GENERALES P.E.D .
    • III. CONTROLES SOBRE EL EQUIPO Y
    • LOS PROGRAMAS
      • Control sobre cambios al Sistema Operacional.
      • Control de Acceso a los Programas Utilitarios.
      • Mantenimiento Preventivo.
      • Ambiente Físico Apropiado.
      • Control Sobre Cambios No Autorizados a Programas.
    Control sobre cambios al Sistema Operacional. Control de Acceso a los Programas Utilitarios. Mantenimiento Preventivo. Ambiente Físico Apropiado. Control Sobre Cambios No Autorizados a Programas .
  • 9. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. CONTROLES GENERALES P.E.D.
    • V. CONTROLES DE DATOS Y PROCEDIMIENTOS
      • Usuarios Verifican Resultados.
      • Control Automático de Cierres.
      • Informes de Pérdida de Integridad.
      • Procedimiento de Reinicio.
      • Proced. Claro de Operación De la Aplicación .
    • IV. CONTROLES DE ACCESO AL SISTEMA
      • Acceso a Programas.
      • Acceso a Archivos de Datos
      • Acceso a Documentación Relacionada
      • Acceso al Equipo.
      • Acceso a Terminales Remotas.
      • Acceso a los Respaldo de Archivos .
  • 10. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. CONTROLES GENERALES P.E.D.
    • VI. ACTIVIDADES DE AUDITORIA INTERNA
      • Participación en Desarrollo.
      • Revisión de Controles Específicos y Generales .
    Participación en Desarrollo. Revisión de Controles Específicos y Generales
  • 11. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. I. CONTROLES DE ADMINISTRACION Y ORGANIZACION Deben servir de base para la planificación, control y evaluación por la Dirección de las actividades del Departamento de Informática o de todo el Sistema de Información . Quien verifique el control relacionado con el Sistema P.E.D., debe crear su metodología necesaria para auditar los distintos aspectos o áreas .
  • 12. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. I. Controles De Administración Y Organización El objetivo de este tipo de controles está diseñado para establecer un marco de referencia organizacional sobre las actividades del sistema de información computarizado, incluyendo los siguientes aspectos: 1.1. Políticas y Planes de Dirección Tecnológica. Deben ser definidas por parte de la administración, políticas precisas y procedimientos claros para el logro de objetivos específicos y además dependiente del tipo de organización crear la administración de la seguridad o auditoría de sistemas de información.
  • 13. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. P. Planes de D. Tecnológicas. Planificación: -. Plan Estratégico de Sistemas de Información. -. Plan general de seguridad. (física y lógica)‏ -. Plan de Contingencias . ¿Durante el proceso de planificación se presta adecuada atención al plan estratégica de la empresa? ¿Revisar la lectura de las actas de sesiones del Comité de Informática dedicadas a la planificación estratégica? ¿Se consideró la adecuada asignación de recursos, la evolución tecnológica?.
  • 14. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. P. Planes de D. Tecnológicas. ¿Hay un plan escrito para cambios futuros que se vayan a realizar al sistema? ¿El estudio de factibilidad técnico está apoyado por un estudio de costos y beneficios? 1.2. Segregación de funciones entre el servicio de información y los usuarios. Este control está basado en el Principio de Auditorìa que recomienda que una misma persona no debe tener posibilidad de ejecutar todos los pasos de una Operación; ya que esta acumulación de Funciones dificulta el control y descarga mucho poder sobre personas que posiblemente no son las más Idóneas.
  • 15. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Segregación de Funciones en un ambiente P.E.D En relación con la Adecuada segregación de Funciones …… ¿ Qué aspectos usted podría considerar en la Evaluación del Control Interno ?:
  • 16. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Segregación de Funciones en un ambiente P.E.D ¿ El Usuario que diseñó el Programa Fuente, tiene Acceso al Programa Aplicacional ?. ¿ El Digitador de los documentos verifica su propio Trabajo. ? ¿ Están separadas de la operación de computador las funciones de trabajo y diseño de sistemas y programación.? ¿Está restringido el acceso de los digitadores del computador a los datos y a la información del programa que no son necesarios para efectuar las labores que tienen asignadas?. ¿ Los Programas Aplicacionales no distinguen entre varios Niveles de Usuarios.?. ¿ Las Autorizaciones “especiales” para el ingreso de datos en el programa aplicacional las dá el mismo usuario que digita los datos ?
  • 17. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. ¿Los digitadores de los programas aplicacionales hacen uso de las vacaciones en las fechas establecidas? ¿Se rotan de manera periódica a los digitadores asignados a las diferentes tareas de los programas aplicacionales?. Segregación de Funciones en un ambiente P.E.D
      • La concentración de las actividades en el Sistema Informático podría permitir la planificación de un fraude o encubrir cualquier anomalía; por ello deben intervenir funciones / personas diferentes y existir controles suficientes.
    Se podría concluir..
      • Debe existir una definición de funciones y separación suficiente de tareas.
      • No tiene sentido que una misma persona autorice una transacción, la introduzca, y revise después los resultados.
  • 18. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 1.3. Manual de Responsabilidades y Procedimientos .
    • Debe existir una descripción general de los programas aplicacionales instalados en los computadores, el respectivo manual del usuario:
    • La organización al formaliza su operación por medio de estos documentos deberá permitir de alguna manera facilitar la comprensión de todas sus actividades, por lo tanto se deben documentarse el compendio de procedimientos y funciones.
      • En cuanto a la documentación a ser distribuida debe controlarse, asegurarse que los documentos sean legibles, fácilmente identificables y contenga una versión actualizada.
    ¿Qué aspectos se podrían considerar en la Evaluación del Control Interno?:
  • 19. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. ¿ Se determina las responsabilidades de los usuarios del Sistema de Información en relación con el manejo del Software Aplicacional? ¿Se prepara un manual de procedimientos para la ejecución del programa aplicacional? ¿ Se prepara un documento de instrucciones para el operador del Computador por cada proceso a ejecutar en el sistema? ¿Son adecuadas las prácticas de documentación (manual del usuario?. Éstas Incluyen: -. Descripción de los errores -. Diagramas de flujo de los procesos a ejecutar en el sistema -. Configuración de los registros. -. Datos de prueba -. Resumen y detalle de los controles Manual de Procedimientos .
  • 20. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED.
      • ¿ Existen manuales de responsabilidades, están escritos, son conocidos por los usuarios.?
      • ¿Está actualizada la documentación?
      • ¿Se tiene la información pero no se usa, es incompleta, no está actualizada, no es la adecuada?
      • ¿Se usa, está actualizada, es la adecuada y está completa ?
    Manual De Procedimientos .
  • 21. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 1.4.- Capacitación Y Entrenamiento De Puestos. La descripción de puestos está expresada por escrito, presenta claramente la delegación de autoridad y la asignación de responsabilidades? ¿Hay Personal preparado para asumir las funciones de personas claves en el área para reemplazarlas de manera eventual.? Con un debido entrenamiento y capacitación en los diferentes puestos de trabajo se podría tener una adecuada rotación de personal y estos reemplazos serían competentes. ¿Hay Perfiles de cargo definidos para los Administradores y personal que opera el Software Aplicacional ? ¿Se desarrollan Planes de Capacitación en el Dpto. de Sistema.?.
  • 22. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Capacitación y entrenamiento de Puestos . ¿ El personal requerido para el área de desarrollo de sistemas, es vinculado exclusivamente con base en criterios técnicos y profesionales? ¿El personal que manejan los equipos de cómputo están debidamente capacitados para brindar soporte y apoyo a los usuarios del Sistema Información computacional? ¿Se tienen en vigencia políticas y procedimiento de seguridad tipo pólizas de seguro para los empleados del área informática? ¿La organización debe propender por aumentar las habilidades de las personas hasta un nivel donde sepan qué hacer sin recurrir a procedimientos detalladas o por escrito ?
  • 23. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Identificación y autenticación del Usuario en el sistema Las medidas contra el fuego y el agua, y otras similares . La seguridad física, la ubicación de los centros de procesos 1.5. Seguridad Física Y Lógica
  • 24. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Deberá establecerse si las instalaciones físicas son las adecuadas para el personal y los equipos de cómputo, si hay reguladores de voltaje , acondicionadores de línea para regularizar la energía eléctrica, extintores de incendio , para reducir las pérdidas por deflagración, puestas en práctica la prohibición de fumar y la existencia de salidas de evacuación y conocidas por el personal. Controles de acceso Físicos y Lógicos: Cada usuario del S.I. pueda acceder a los recursos a que esté autorizado y realizar sólo las funciones permitidas: Lectura, Variación, Ejecución, Borrado, Copias …. Quedan las pistas necesarias para el control de la auditoría, tanto de accesos producidos como de los recursos más críticos e intentos de ingresos al Sistema. Seguridad Física Y Lógica
  • 25. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Seguridad Física y lógica (continuación)‏
      • También es importante verificar el sitio en el cual esta instalado el computador, la CPU, las unidades de disco, el lugar está acondicionado de acuerdo a las especificaciones del fabricante en lo relativo a:
      • Temperatura, luminosidad.
    • Cableado eléctrico y lógico. (tablero eléctrico, strict telefónico)‏
      • Ubicación de extintores, alarmas contra incendios, señales de evacuación.
    • Las Instalaciones son adecuados para el Personal y el Computador ?. Hay Orden y Aseo.. ?. Existen Salidas de Evacuación..?. Son Conocidas Por ...?
  • 26. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Seguridad Física y lógica Las amenazas pueden ser muy diversas: Sabotaje, vandalismo, terrorismo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, asì como otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, otros. Protección de los soportes magnéticos en cuanto acceso, almacenamiento y posible transporte, además de otras protecciones no físicas, todo bajo un sistema de inventario, así como protección de documentos impresos y de cualquier tipo de documentación clasificada.
  • 27. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Seguridad física y lógica La seguridad lógica , como el control de accesos a la información exigiendo la identificación y autenticación del usuario, o el cifrado de soportes magnéticos intercambiados entre entidades o de respaldo interno, o de información transmitida por línea. Entre éstas pueden estar la realización de la firma con reconocimiento automático por ordenador, el análisis del fondo de ojo, la huella u otras.
  • 28. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Seguridad física y lógica La autenticación suele ser mediante contraseña, si bien sería más lógico, aunque los costes resultan aún altos para la mayoría de sistemas, que se pudiera combinar con características biométricas del usuario, para impedir la suplantación. En general permiten reforzar las claves de seguridad o las tarjetas por medio de características personales únicas como:
      • Las huellas dactilares
      • Los capilares de la retina
      • Las secreciones de la piel. El ácido desoxirribonucleico (ADN)
      • Las variaciones de la voz o los ritmos de tecleado.
  • 29. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Seguridad Física y Lógica ¿Se han diseñado políticas de seguridad informática, en el área de desarrollo de sistemas? ¿Las políticas de seguridad se fundamentan en estudios de análisis de riesgos técnicamente diseñados? ¿El sistema de seguridad contempla una vigorosa función de control de calidad, en el desarrollo de Software?. ¿Se identifican y se autentican los usuarios en el sistema? ¿Quién asigna la contraseña: inicial y sucesivas? ¿Las contraseñas están cifradas y bajo qué sistemas?
  • 30. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 1.6 . PLAN DE CONTINGENCIAS Se tiene un Plan que le Permita Reaccionar Rápidamente después de una Eventualidad.(Catástrofe)? Si lo tiene se han hecho pruebas periódicas a ese Plan..? ¿ Hay Centro de Cómputo Alterno.?-. Para respaldar la operación... ¿Los Backups han sido probados por Auditoría..?
      • . Archivos de datos en Medios Magnéticos
      • . Programas de Computador en Medios Magnéticos.
      • . Documentación de Sistemas y de Usuarios
  • 31. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Plan de Contingencias ¿Ha emitido y distribuido la empresa políticas o normas dirigidas al plan de contingencias?. ¿Se mantiene una estrategia corporativa en el plan? ¿Proporciona el Centro alternativo suficiente capacidad? ¿Cuándo fue la última vez que se probó el Centro Alternativa? ¿Cómo está estructurado el plan de contingencias? ¿ Cómo se activa el plan de contingencias ante un desastre? ¿Quién es el responsable de actualizar el plan de contingencias? Control de Instrumentos negociables y de Valor . Se ha considerado un estricto control sobre Documentos que son de valor, como facturas, cheques, Etc....?
  • 32. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Plan de Contingencias
    • El plan de contingencia debe:
      • Realizar un análisis de riesgos de los sistemas
      • Establecer un período crítico de recuperación en el cual los procesos deben ser reanudados antes de sufrir pérdidas significativas o irrecuperables.
      • Realizar un análisis de aplicaciones críticas.
      • Establecer objetivos de recuperación que determinen el período de tiempo.
    • Seguros
    • Está protegida la Empresa con Seguros que Cubran Riesgos a los que se exponen su Personal y sus Activos. Como Incendios, Etc.?. Qué Tipo de Coberturas tiene las pólizas?.
  • 33. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. II. CONTROLES SOBRE EL DESARROLLO DE PROGRAMAS Y SU DOCUMENTACIÓN.
    • 1.Procedimientos de desarrollo.
      • Hay metodología de desarrollo de proyectos de Sistemas Informáticos.?
      • La metodología que utilizan es la apropiada..? El personal de Sistemas la sigue...
      • Participan activamente los usuarios de las aplicaciones en su Desarrollo?
      • Existe un mecanismo para la adquisición y homologación de cualquier nuevo producto software usado en el desarrollo?.
  • 34. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Controles Sobre El Desarrollo De Programas Y Su Documentación.
    • 3.Delineamientos para el nuevo Sistema .
    • Se han definido los elementos que configuran el entorno tecnológico para el proyecto -.Servidores, ordenadores personales, periféricos, sistemas operativos, conexiones de red, protocolos de comunicación, sistemas gestores de base de datos, compiladores, herramientas CASE-.
      • El sistema interactúa correctamente con el entorno y de las interfaces con otros programas.
      • Los módulos se diseñan para poder ser usado por otras aplicaciones si fuera necesario.
      • El tamaño de los módulos es adecuado.
      • Se han detallado las interfaces de los datos y control con otros módulos.
  • 35. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Controles Sobre El Desarrollo De Programas Y Su Documentación.
    • 4. Prueba para las aplicaciones en Desarrollo.
      • Las pruebas se realizan y permiten verificar si el sistema cumple las especificaciones funcionales.
      • El sistema interactúa correctamente con el entorno y de las interfaces con otros programas.
      • Existen procedimientos de pruebas para las aplicaciones recién desarrolladas.?
      • Los Usuarios Finales de la aplicación realizan las pruebas globales de calidad antes de su Implantación. ?
      • La Auditoría hace sus propias pruebas ?.
      • Se hace un Plan detallado de Implantación antes de poner a Funcionamiento las Aplicaciones ?.
  • 36. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Controles Sobre El Desarrollo De Programas Y Su Documentación.
            • Paralelos: Cuando Hay Procesos de Conversión de Datos de un sistema antiguo a uno nuevo se emiten informes antes y después del proceso y se hace en forma paralela con la nueva aplicación?.
    • 4.- Documentación De Sistemas.
      • Se han documentado todas las actividades físicas que debe realizar el sistema.
      • Se documenta cada módulo de la Aplicación.?
      • Se hacen gráficos de diseño de los archivos maestros y sus interrelaciones?
      • Hay Documentación sobre la estructura de las bases de datos.?
      • Hay un Diccionario de Archivos, Programas y Variables.?
  • 37. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Controles Sobre el Desarrollo de programas y su documentación
    • 5.Rastros De Auditoria
    • En las Aplicaciones se acostumbra a dejar registros de las Transacciones Realizadas..? Quién y Cuando actualizó un dato ?
    • Ej.. Las Situaciones Excepcionales o que rompen la norma, necesitan una autorización especial.
      • Las excepciones se autorizan previamente.
      • El control de Acceso deja huella de Auditoría.?
      • Se Imprimen Periódicamente estos Informes.? Se revisan estos Informes, Quién..?
      • El Log`s es revisado periódicamente.? Deja información relativa a:
    • Código del usuario, Operaciones realizadas en la red.
    • Tiempo de conexión, equipos conectados.
    • Accesos infructuosos a la red.
  • 38. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. Controles de Desarrollo Y Mantenimiento De Sistemas
    • 6.- Efectividad Y Eficiencia De Las Operaciones.
    • Generalmente se alcanzan los propósitos operativos de la Compañía, como despachos oportunos, gestión de recaudos de cartera, control de inventarios, etc.?
    • Los Procesos Automatizados son realmente mas eficientes que los Procesos Manuales.
      • El desarrollo de los Proyectos debe tener objetivos concretos, como:
      • . D isminuir el Tiempo de Pedidos a Clientes.
      • . M inimizar el Nivel de Inventarios Promedio.
      • . O ptimizar el Costo de las Empresas.
    • (Costo / Beneficio )...Limitaciones del control Interno: El establecimiento de Controles de Costos debe guardar una relación adecuada con la probabilidad de ocurrencia o materialización de un Riesgo.( Esto varía con la Determinación de cada Organización.)‏
  • 39. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. III. CONTROL SOBRE LOS PROGRAMAS Y LOS EQUIPOS
    • 1 .- Cambios al Sistema Operacional.
    • E l S.O. Es la parte del Software más importante que viene con la máquina. La Actualización de Versión debe ser Ejecutada por Personal Capacitado .
    • El SO permite soportar el SGBD en cuanto a control de memoria, gestión de áreas de almacenamiento, manejo de errores, mecanismos de interbloqueo .
    • 2.- Acceso a los Programas Utilitarios.
    • Los utilitarios son programas muy poderosos que permiten en algunos casos, manejar los recursos del Computador, la memoria, el disco, las impresoras, el sistema operacional y otros manipular directamente los archivos de datos o los programas de aplicación, por ello estos programas deben estar restringidos a personal no autorizado .
      • Se puede listar fácilmente el LOG obligatorio de Acceso..? .
      • Utiliza con frecuencia el programa de consulta a las bases de datos.?
  • 40. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED.
    • 3.- Mantenimiento de Hardware y Software
    • Existe y/o hay una Póliza de Mantenimiento Preventivo que cubra los equipos en caso de presentar fallas..? - Asi no existan fallas, debe haber mantenimiento preventivo.
      • El Administrador de Centro de Cómputo mantiene un libro donde registra las fallas de los equipos.?, la Atención es oportuna.
      • En la compra del Computador este aspecto se estuvo en cuenta.
      • Hay Procedimientos claros sobre las labores de mantenimiento preventivo y correctivo de los programas.?
      • El mantenimiento es oportuno y de buena calidad.
      • Existen políticas de seguridad, uso y administración de los equipos de cómputo.
      • Existe un cronograma para el mantenimiento de los equipos?t
  • 41. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED.
    • 3.- Mantenimiento de Hardware y Software.
      • Existe un cronograma para el mantenimiento de los equipos?
      • El cubrimiento de las pólizas es total?
      • Se Actualiza la documentación después del Mantenimiento.?
      • Se consideró los aspectos documentales en cuanto a evaluar y aprobar la petición de cambio.
      • Se Informa a los Usuarios Sobre los Cambios que se han instalado en una aplicación.?
      • Quién autoriza los cambios en una aplicación..?
      • Se realizó una revisión de aceptación final para asegurar que toda la arquitectura software fue actualizada y aprobada y se procedió a los cambios adecuadamente.
  • 42. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED.
    • 4.- Ambiente Físico Apropiado de los equipos.
    • El Sitio en el cuál está Instalado el Computador, la CPU, Las Unidades de Disco, están acondicionadas según las especificaciones del fabricante en lo relativo a: Temperatura, Humedad Relativa, Luz.?, ¿ Los cables están en Completo Orden..?;¿ Hay Extintores, Alarmas contra Incendios, Señales de Evacuación..?,¿ Hay Tableros Eléctricos ?.
    • 5.-Cambios No Autorizados A Programas.
    • Las modificaciones que hacen los programas al Software de aplicaciones deben ser Autorizadas por el Director de Proyectos de su área y deben documentarse en forma inmediata.
    • Están previamente autorizadas las modificaciones que hacen los programadores al Software de Aplicación.? Si no se hace,..... . se estaría corriendo el Riesgo de Fraudes por alteraciones en los programas de Computador.
    • El Auditor debe verificar que los programas de la libraría fuente son los mismos instalados en la librería de Producción.
  • 43. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. IV. CONTROLES DE ACCESO 1.-ACCESO A LOS PROGRAMAS EN PRODUCCION . Como Medida de Seguridad se recomienda separar los programas fuentes de los programas compilados en librerías diferentes. Es decir: Separar los Ambientes de Producción con los de Desarrollo . Los Programadores no deben tener acceso a los programas en producción. ¿ Se cuenta con un ambiente de Desarrollo en el cual actúan los Programadores y un Ambiente de Producción en el que trabajan los usuarios directos de la aplicación. Este tipo de controles sirven para detectar y/o prevenir errores accidentales o deliberados, causados por el uso o la manipulación inadecuada de los archivos de datos y por el uso incorrecto o no autorizado de los programas.
  • 44. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. ¿ Los programadores tienen acceso directo a la librería de Producción .? Están Autorizados en el Log del sistema? Riesgo : Podrían Ejecutar los Programas de la Aplicación y Altera la Información. Se recomienda tener un Computador por ambiente (Desarrollo - Producción). Especialmente cuando el lenguaje del Computador se basa en un interpretador, por que es posible que se interrumpa la ejecución de un proceso y se altere alguna de las instrucciones. 2.- ACCESO A LOS ARCHIVOS DE DATOS. La Integridad de los datos es fundamental debido a que la información es vital para la toma de decisiones. Se deben proteger los datos - Información sensible y Valiosa . (Activos como Efectivo - Mercancías). Por eso se deben establecer mecanismos que protejan los datos de posibles alteraciones o de fugas de información, Por Ejemplo:Los Costos de Producción Le Interesan a la Competencia.
  • 45. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED.
      • Dispositivos de control de contraseñas y verificación del usuario
      • Cambio obligado de contraseñas .
      • Restringir el acceso a la Documentación de programas fuentes
      • Auto-Logout, mecanismos automáticos de salidas del sistema
      • Firma digita
      • Codificación de datos - Encriptar datos Susceptibles de Alteración
      • Controlar el Uso de las Unidades de Copia en Cinta
      • El Sistema de Seguridad “LOG” puede servir de prevención
      • Utilizar Campos de Chequeo de Integridad dentro de los Registros.
      • Asignar Niveles de Acceso – perfiles de Usuarios a Datos Críticos.
    2.1. METODOS PARA PROTEGER LOS DATOS
  • 46. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED.
    • 3.- ACCESO A LA DOCUMENTACION RELACIONADA .
    • La Documentación escrita facilita las tareas de Mantenimiento de los Sistemas, pero debe conservarse en un lugar con acceso restringido por que puede ser utilizada para penetrar nuestro sistema de seguridad. Otro Riesgo: La Destrucción de la Documentación .
    • 4.- ACCESO A LOS EQUIPOS.
    • A un Posible Infractor, hay que ponerle todas las trabas que se justifiquen, para disuadirlo de sus intenciones. Uno de estos controles es restringir el acceso a las instalaciones al personal no autorizado.
      • Señalemos algunos controles, Físicos:(Guardas, Cerraduras, Cámaras de Video, Léctores de Tarjetas); Software(Claves de Entrada, Huellas Digitales, Biométricosde Mano, Retina de Ojo)‏
    • Recuerde, no siempre los Riesgos son de Fraude, pueden presentarse cosas peores como: Sabotaje o el Robo de Información Confidencial .
  • 47. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 5.- ACCESO POR TELECOMUNICACIONES. Los Sistemas distribuidos generalmente tienen usuarios en diferentes lugares geográficos por ello se usan cada día más la telecomunicaciones para integrarlos a la operación de la Aplicación. TECNICAS DE CONTROL : Claves Especiales por Terminal; Horarios Fijos de Trabajo Fijos; Monitoreo permanente. 6 .- ACCESO A RESPALDO DE ARCHIVOS. Las Cintas y Discos magnéticos que se utilizan para respaldo o backup de la información y los programas deben estar debidamente protegidos. La Auditoría debe realizar chequeos periódicos del contenido de estos respaldos. Recordar que los Respaldos en cintas son un elemento fundamental de cualquier plan de contingencias.
  • 48. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. V. CONTROLES SOBRE LOS PROCEDIMIENTOS Y LOS DATOS. 1.- USUARIOS VERIFICAN LOS RESULTADOS. Los usuarios son las personas que más conocen acerca del origen y el proceso de sus datos por lo tanto son ellos quienes deben verificar su validez. 2.- CONTROL AUTOMATICO DE CIERRES. Los cierres de periodo son procesos que generalmente constan de varias etapas que se deben cumplir secuencialmente, por ello es recomendable utilizar tablas de control de los procesos que permiten verificar automáticamente que la etapa previa al paso actual fue ejecuta exitosamente.
  • 49. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 3.- INFORMES DE PERDIDA DE INTEGRIDAD. Cuando los datos nos son consistentes se debe contar con un reporte que saque a flote los problemas. 4 .- PROCEDIMIENTOS DE REINICIO . Son técnicas de recuperación de los procesos cuando estos han sido interrumpidos. Consiste en Identificar con precisión el punto en que se presentó la interrupción y continuar con lo que quedó Pendiente. 5.- PROCEDIMIENTO DE OPERACIÓN DE APLICACIONES. Toda aplicación debe contar con un procedimiento escrito de operación elaborado por el encargado del área usuaria. El Procedimiento debe contener instrucciones claras para el operador de la aplicación.
  • 50. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. 05/20/09 Prof.Omar Javier Solano R.- Univalle- Seminario Controles PED. VI. ACTIVIDADES DE AUDITORIA INTERNA
    • 1.- PARTICIPACION EN DESARROLLO.
    • La Auditoría debe participar en el desarrollo de todas las aplicaciones computarizadas. Son Funciones:
      • Asesorar en el diseño de controles específicos.
      • Definir los requerimientos de Información para su dpto. y velar por el cumplimiento de las políticas y procedimientos de la CIA en el desarrollo e instalación de sistemas computarizados.
    • 2.- REVISION DE CONTROLES ESPECIFICOS Y
    • GENERALES
    • El Departamento de Auditoría tiene personal capacitado para efectuar periódicamente evaluaciones de los controles y seguridades que afecten una aplicación.