sesion 22 09 2011

AUDITORIA Y SEGURIDAD

INFORMÁTICA

LA SEGURIDAD Y LA PLANIFICACIÓN EN EL

CICLO DE VIDA DEL DESARROLLO DE SW

DEFINICIONES DE SISTEMA DE APLICACION

EN LA DECLARACION Nro 2 SOBRE LOS ESTANDARES DE AUDITORIA DE SISTEMASDE INFORMACION EMITIDOS POR ISACA (INFORMATION SYSTEMS AUDIT ANDCONTROL ASSOCIATION ), SE DEFINE UN SISTEMA DE APLICACION ASI:

“UN GRUPO INTEGRADO DE PROGRAMAS DE COMPUTADOR PARA REALIZAR UNAFUNCION PARTICULAR QUE TIENE ACTIVIDADES DE ENTRADA DE DATOS (INPUT),PROCESA MIENTO Y SALIDA ( OUTPUT)”

DESDE EL PUNTO DE VISTA PRACTICO, UN SISTEMA DE APLICACION SE DEFINECOMO :

“UN CONJUNTO DE PROCEDIMIENTOS MANUALES Y AUTOMATIZADOS QUE SEUTILIZAN PARA MANEJAR EN FORMA ESTANDARIZADA, LOS DATOS Y LAINFORMACION DE UNO O MAS NEGOCIOS (O SERVICIOS) DE LA EMPRESA CONAYUDA DEL COMPUTADOR”

LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW

COMPONENTES DE LOS SISTEMA DE APLICACIÓN

COMPONENTES EXCLUSIVOS

ò SOFTWARE APLICATIVO

ò ARCHIVOS Y/O BASES DE DATOS

ò LISTADOS, INFORMES O REPORTES

ò DOCUMENTOS FUENTE

ò NORMAS Y PROCEDIMIENTOS QUE RIGEN EL FUNCIONAMIENTO DE LOS NEGOCIOS YSERVICIOS QUE SE SOPORTAN EN LA APLICACIONES

ò MANUALES TECNICO Y DEL USUARIO DEL SISTEMA

COMPONENTES COMPARTIDOS CON OTRAS APLICACIONES

è SOFTWARE DE UTILIDAD COMUN ( AMBIENTAL O DE SOPORTE )

è HARDWARE

è ARCHIVOS Y BASES DE DATOS COMUNES PARA VARIAS APLICACIONES

è INSTALACIONES DE COMPUTO Y PRESTACION DE SERVICIOS

è PERSONAL TECNICO DE SISTEMAS


FINALIDAD DE UNA APLICACIÓN INFORMATICA

ò REGISTRAR FIELMENTE LA INFORMACIÓN EN TORNO A LAS OPERACIONESLLEVADAS A CABO POR DETERMINADA ORGANIZACIÓN

ò CALIDAD EN LOS PROCESOS DE VALIDACIÓN, CÁLCULO, ALMACENAMIENTO,OPERACIÓN Y EDICIÓN A PARTIR DE LA INFORMACIÓN REGISTRADA

ò RESPUESTA OPORTUNA E INTEGRA A CONSULTAS DE TODO TIPO SOBRE LAINFORMACIÓN ALMACENADA PARA DAR COBERTURA A LAS NECESIDADES MÁSCOMUNES CONSTATADAS

ò GENERAR Y PRESENTAR INFORMACIÓN PARA CUALQUIER FINALIDAD DEINTERÉS EN LA ORGANIZACIÓN


DE ACUERDO CON SU FUNCIONALIDAD

COMERCIALES: NÓMINA, INVENTAMOS, CAJA., FACTURACIÓN. CDT´S, AHORROS,

CUENTAS CORRIENTES Y DE AHORRO, ETC.

CIENTÍFICAS: INFORMACIÓN SOBRE INVESTIGACIONES. SISTEMAS EXPERTOS.

EDUCATIVAS: ENCICLOPEDIAS, DIFUSIÓN DEL CONOCIMIENTO.

SOPORTE MULTIFUNCIONAL: (PAQUETES DE UTILIDAD) HOJAS ELECTRONICAS,

PROCESADORES DE TEXTO, GRÁFICADORES, AUTOEDICION.

DIVERSOS SECTORES: MANUFACTURA, FINANCIERO, EDUCATIVO, AEROVÍAS,

HOTELERIA


OTRO TIPO DE CLASIFICACION

FORMA DE ADQUISICIÓN: COMPRADAS, DESARROLLADAS, ARRENDADAS.

UBICACIÓN DEL SOFTWARE: CENTRALIZADAS, DESCENTRALIZADAS, CLIENTE –

SERVIDOR, DISTRIBUIDAS, WEB

TIPO DE HARDWARE USADO: MICROS INDEPENDIENTES, WORKSTATIONS,

MICROCOMPUTADORES , MAINFRAME

ESTRUCTURA DE PROGRAMACIÓN; ORIENTADA A OBJETOS, LENGUAJES DE

CUARTA GENERACION, AMBIENTES GRÁFICOS


SISTEMA DE INFORMACIONUn conjunto de componentes que interactúan ENTRE sipara que la Empresa pueda alcanzar los objetivossatisfactoriamente

PROCESO

CONTROL

• Datos /

información

• Aplicaciones

• Plataformas

• Instalaciones

• Talento Humano

ENTRADAS SALIDAS

CONTROL = Normas y Reglas


TIPOS DE APLICACIONES

SISTEMAS DE PUNTO DE VENTA ( POS)

PERMITEN CAPTURAR DATOS AL MOMENTO MISMO Y EN EL MISMO LUGARDE LA TRANSACCION. LAS TERMINALES DE PUNTO DE VENTA PUEDENINCLUIR DISPOSITIVOS TALES COMO SCANNERS OPTICOS PARA LALECTURA DE CODIGO DE BARRAS O LECTORES DE TARJETASMAGNETICAS.

ESTOS SISTEMAS PUEDEN ESTAR CONECTADOS ON-LINE CON UNCOMPUTADOR CENTRAL O UTILIZAR TERMINALES STAND-ALONE(PROCESADORES LOCALES) O MICROCOMPUTADORES QUE RETIENENLAS TRANSACCIONES POR UN PERIODO DETERMINADO HASTA SU ENVIOAL COMPUTADOR CENTRAL PARA SU PROCESAMIENTO EN BATCH



SISTEMAS INTEGRADOS DE MANUFACTURA

PROCESAN LOS MOVIMIENTOS DE INVENTARIOS. ESTA ACTIVIDAD PUEDEINCLUIR REGISTRO INTEGRAL DE TRANSACCIONES DE MATERIAS PRIMAS,TRABAJOS EN PROCESO Y PRODUCTOS TERMINADOS, ASI COMOAJUSTES A INVENTARIOS, COMPRAS, VENTAS, CUENTAS POR PAGAR YPOR COBRAR, INGRESO DE MATERIALES Y FACTURACION.

ALGUNOS SISTEMAS INTEGRADOS DE MANUFACTURA PUEDEN INCLUIRPROCEDIMIENTOS Y CONTROLES MANUALES



INTERCAMBIO ELECTRONICO DE DATOS ( EDI )

TRANSMISION DE DOCUMENTOS EN FORMA LEGIBLE PARA LASMAQUINAS ENTRE DOS ORGANIZACIONES. CON ELLO SE PROMUEVE UNAMBIENTE MAS EFICIENTE SIN LA UTILIZACION DE PAPELES

LAS TRANSACCIONES EDI PUEDEN REEMPLAZAR LA UTILIZACION DEDOCUMENTOS ESTANDARES INCLUYENDO FACTURAS Y ORDENES DECOMPRA, DADO QUE EDI REEMPLAZA LOS PAPELES DEBEINCORPORARSE CONTROLES Y VALIDACIONES ADECUADAS EN ELSISTEMA DE APLICACIÓN PARA QUE SE REALICE TAL COMUNICACIÓN.



TRANSFERENCIA ELECTRONICA DE FONDOS ( EFT )

ES EL INTERCAMBIO DE DINERO POR MEDIO DE TELECOMUNICACIONES.SE REFIERE CON ESTE TERMINO A CUALQUIER TRANSACCIONFINANCIERA QUE SE ORIGINA EN UNA TERMINAL Y TRANSFIERE UNASUMA DE DINERO DE UNA CUENTA A OTRA

NORMALMENTE LAS TRANSACCIONES SE ORIGINAN EN UNA TERMINAL DEUNA ENTIDAD FINANCIERA O NEGOCIO Y SE TRANSFIERE A OTRATERMINAL DE OTRA ENTIDAD FINANCIERA, REGISTRANDOSE EL IMPORTEEN LAS RESPECTIVAS CUENTAS.

DADO AL ALTO VOLUMEN POTENCIAL DE DINERO A INTERCAMBIAR,ESTOS SISTEMAS ESTAN EN UNA CATEGORIA DE ALTO RIESGO. PORENDE, LA SEGURIDAD DE ACCESO Y LA AUTORIZACION DE LOSPROCESOS SON CONTROLES MUY IMPORTANTES



AUTOMATIZACION DE OFICINAS

EN LA ACTUALIDAD MUCHAS OFICINAS DISPONEN DE UNA GRANVARIEDAD DE DISPOSITIVOS Y TECNICAS ELECTRONICAS DE AYUDA PARALA REALIZACION DEL NEGOCIO.

LOS PROCESADORES DE TEXTO, HOJAS DE CALCULO AUTOMATIZADAS YEL CORREO ELECTRONICO SE USAN A DIARIO

LAS LAN´S ( REDES DE AREA LOCAL) ENLAZAN CON OTRAS OFICINAS Y AMENUDO PERMITEN EL ACCESO A MAINFRAMES.

AUNQUE MUCHAS LAN´S PUEDEN CONTENER DATOS SENSIBLES, LOSCONTROLES DE ACCESO SUELEN SER DEBILES O INEXISTENTES.



CAJEROS AUTOMATICOS ( ATM )

ES UNA TERMINAL ESPECIALIZADA DE PUNTO DE VENTA DISEÑADA PARASU UTILIZACION POR LOS CLIENTES DE UNA ENTIDAD BANCARIA.

POR LO GENERAL PERMITEN UNA CANTIDAD DE OPERACIONESBANCARIAS Y DE DEBITO, EN ESPECIAL DEPOSITOS FINANCIEROS YRETIROS DE EFECTIVO.

LOS CAJEROS POR LO GENERAL ESTAN UBICADOS EN AREASCONTROLADAS Y UTILIZAN LINEAS DE TELECOMUNICACIONES SINPROTECCION ESPECIAL PARA LA TRANSMISION DE DATOS. POR LOTANTO, ESTOS SISTEMAS DEBEN POSEER GRANDES NIVELES DESEGURIDAD LOGICA Y FISICA TANTO PARA EL CLIENTE COMO PARA ELMECANISMO.


CARACTERISTICAS DE LAS APLICACIONES EMPRESARIALES

Fuerte movimiento empresarial hacia la estrategia de Comprar frente a

Desarrollar

Moda de los Sistemas Integrados

Los empleados deben seguir la dirección marcada por las

empresas y ser capaces de reaccionar a dichos cambios con la

misma velocidad con la que se producen.

La alta gerencia juega un papel fundamental en la

implementación de las mismas con el objeto de dar soporte a los

procesos empresariales.

La dirección empresarial puede ahora dictar las reglas de los

procesos empresariales y de los sistemas de TI. asignando súper

usuarios del negocio (usuarios claves) en el equipo del proyecto.

Implementación es un proceso lento y costoso.


BPCS

BANN

People Soft

Orade Applications

JDEdwards

Dinámica Gerencial

Seven

Kaptus

APLICACIONES EMPRESARIALES


SISTEMAS ERP – ENTERPRISE RESOURCE PLANNING

“Sistemas de Planeación de Recursos Empresariales”

“Conjunto o grupo de actividades que se tienen que realizar o

desarrollar en un determinado marco temporal, siguiendo un

calendario o programación, un costo planificado y con el

propósito de alcanzar un objetivo o un resultado previamente

establecido para la entera satisfacción de la empresa.'


CARACTERISTICAS DE UN SISTEMA ERP –ENTERPRISE RESOURCE PLANNING

Arquitectura Cliente – Servidor Multinivel ó Web.

Arquitectura Business Framework (abierta a la total integración conotros componentes y aplicaciones incluyendo Internet)

Interfaces de usuario homogéneas entre aplicaciones

Entorno de desarrollo fácil de entender

Integración de Aplicaciones

Conjunto de soluciones para configurar el Sistema

Amplio rango de Servicios (soporte telefónico, formación, Consultoría,Verificación de Calidad, etc.)


EXITO DE UN SISTEMA ERP – ENTERPRISE RESOURCE PLANNING

A pesar de ser un paquete estándar, se pueda configurar en múltiplesáreas y adaptar a las necesidades específicas de cualquier Empresa

Son soluciones altamente flexibles y configurables. Capaces de satisfacer la mayoría de las prácticas de negocio y de sus

necesidades de Información. Este tipo de paquetes relega a casos excepcionales el desarrollo de

aplicaciones a la medida. Las Empresas deben invertir parte de su tiempo y de su dinero en

obtener una correcta perspectiva de la ERP antes de comenzar elproyecto.

En su mayoría están orientados a un gran número de industrias:fabricación, Distribución, Químicas, Salud, Servicios públicos,petróleo, comunicaciones, etc..


3. AUDITORIA A UNA APLICACION EN FUNCIONAMIENTO

CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO

3.1 ENFOQUES DE AUDITORIA

ENFOQUES DE AUDITORIAALREDEDOR DEL COMPUTADOR

E S

VS

SE AUDITAN LAS SALIDAS BASADO EN PRUEBAS MANUALES

DEL PROCESO USANDO LAS ENTRADAS



CONCENTRA SUS ESFUERZOS EN LA ENTRADA DE DATOS Y

EN LA SALIDA DE INFORMACIÓN. ES EL METODO MÁS

CÓMODO PARA LOS AUDITORES DE SISTEMAS, POR CUANTO

ÚNICAMENTE SE VERIFICA LA EFECTIVIDAD DEL SISTEMA DE

CONTROL INTERNO EN EL AMBIENTE EXTERNO DE LA

MÁQUINA. NATURALMENTE QUE SE EXAMINAN LOS

CONTROLES DESDE EL ORIGEN DE LOS DATOS PARA

PROTEGERLOS DE CUALQUIER TIPO DE RIESGO QUE

ATENTE CONTRA LA INTEGRIDAD, COMPLETITUD,

EXACTITUD Y LEGALIDAD.



METODO USADO SIN TENER EN CUENTA LA TECNOLOGIA DE

INFORMATICA USADA ( HARDWARE NI SOFTWARE ).

BASADO EN EFECTUAR PROCESOS DE CRUCE MANUALES (

PUNTEOS ) PARA VERIFICAR LA EXACTITUD DE LA INFORMACIÒN

GENERADA MEDIANTE LA SIMULACIÒN MANUAL DE LAS

OPERACIONES QUE DEBIÒ EFECTUAR EL SISTEMA AUTOMÀTICO

DEFINIDAS EN LAS NORMAS Y ESTANDARES DE LA EMPRESA

PARA ELLO SE TIENEN EN CUENTA LA INFORMACION PRESENTADA

EN LOS INFORMES O REPORTES ENTREGADOS POR EL SISTEMA, LOS

DATOS CAPTURADOS DE LOS DOCUMENTOS FUENTE Y LAS

FORMULAS NECESARIAS PARA GENERAR LOS RESULTADOS.


ENFOQUES DE AUDITORIAA TRAVES DEL COMPUTADOR

ES

SE AUDITAN LAS SALIDAS BASADO EN PRUEBAS AUTOMATICAS

DEL PROCESO, REVISANDO LOS PROGRAMAS Y ARCHIVOS O

BASES DE DATOS DEL SISTEMA



ESTE ENFOQUE ESTÁ ORIENTADO A EXAMINAR Y EVALUAR

LOS RECURSOS DEL SOFTWARE, Y SURGE COMO

COMPLEMENTO DEL ENFOQUE DE AUDITORÍA ALREDEDOR

DEL COMPUTADOR, EN EL SENTIDO DE QUE SU ACCIÓN VA

DIRIGIDA A EVALUAR EL SISTEMA DE CONTROLES

DISEÑADOS PARA MINIMIZAR LOS FRAUDES Y LOS

ERRORES QUE NORMALMENTE TIENEN ORIGEN EN LOS

PROGRAMAS.



METODO USADO TENIENDO EN CUENTA LA TECNOLOGIA DE

INFORMATICA USADA ( HARDWARE Y SOFTWARE ).

BASADO EN EFECTUAR PROCESOS DE CRUCE AUTOMATICOS PARA

VERIFICAR LA EXACTITUD DE LA INFORMACIÒN GENERADA MEDIANTE

LA SIMULACIÒN AUTOMATICA DE LAS OPERACIONES QUE DEBIÒ

EFECTUAR EL SISTEMA AUTOMÀTICO DEFINIDAS EN LAS NORMAS Y

ESTANDARES DE LA EMPRESA

PARA ELLO SE TIENEN EN CUENTA LA INFORMACION PRESENTADA EN

LOS INFORMES O REPORTES ENTREGADOS POR EL SISTEMA. LOS

DATOS CAPTURADOS DE LOS DOCUMENTOS FUENTE, LAS FORMULAS

NECESARIAS PARA GENERAR LOS RESULTADOS, EL SOFTWARE

APLICATIVO, LOS ARCHIVOS O BASES DE DATOS DEL APLICATIVO Y

LOS MANUALES TECNICOS Y DE USUARIO DEL MISMO


ENFOQUES DE AUDITORIACON EL COMPUTADOR

E SHARDWARE Y SOFTWARE

DEL AUDITOR

HARDWARE Y SOFTWARE

AUDITADO

RED

SE AUDITAN LAS SALIDAS BASADO EN PRUEBAS AUTOMATICAS DEL

PROCESO, USANDO HARDWARE Y/O SOFTWARE DEL AUDITOR DIFERENTE

AL SOFTWARE DEL SISTEMA EVALUADO



ESTE ENFOQUE VA DIRIGIDO ESPECIALMENTE, AL EXAMEN Y EVALUACIÓN DE LOS

ARCHIVOS DE DATOS EN MEDIOS MAGNÉTICOS, CON EL AUXILIO DEL COMPUTADOR Y DE

SOFTWARE DE AUDITORÍA GENERALIZADO Y /O A LA MEDIDA. ESTE ENFOQUE ES

RELATIVAMENTE COMPLETO PARA VERIFICAR LA EXISTENCIA, LA INTEGRIDAD Y LA

EXACTITUD DE LOS DATOS, EN GRANDES VOLÚMENES DE TRANSACCIONES.

LA AUDITORÍA CON EL COMPUTADOR ES RELATIVAMENTE FÁCIL DE DESARROLLAR

PORQUE LOS PROGRAMAS DE AUDITORÍA VIENEN DOCUMENTADOS DE TAL MANERA

QUE SE CONVIERTEN EN INSTRUMENTOS DE SENCILLA APLICACIÓN.

EL SOFTWARE DE AUDITORÍA PERMITEN DESARROLLAR OPERACIONES Y PRUEBA,

TALES COMO:

• RECÁLCULOS Y VERIFICACIÓN DE INFORMACIÓN, COMO POR EJEMPLO, RELACIONES

SOBRE NÓMINA, MONTOS DE DEPRECIACIÓN Y ACUMULACIÓN DE INTERESES, ENTRE

OTROS.

• PRESENTACIÓN GRÁFICA DE DATOS SELECCIONADOS.

• SELECCIÓN DE MUESTRAS ESTADÍSTICAS.

• PREPARACIÓN DE ANÁLISIS DE CARTERA POR ANTIGÜEDAD.



METODO USADO TENIENDO EN CUENTA LA TECNOLOGIA DE INFORMATICA

USADA ( HARDWARE Y SOFTWARE ) Y LA APLICACION DE TAACS ( TECNICAS

DE AUDITORIA ASISTIDAS CON EL COMPUTADOR

BASADO EN EFECTUAR PROCESOS DE CRUCE AUTOMATICOS PARA

VERIFICAR LA EXACTITUD DE LA INFORMACIÒN GENERADA MEDIANTE LA

SIMULACIÒN AUTOMATICA DE LAS OPERACIONES QUE DEBIÒ EFECTUAR EL

SISTEMA AUTOMÀTICO DEFINIDAS EN LAS NORMAS Y ESTANDARES DE LA

EMPRESA, USANDO SOFTWARE Y/0 HARDWARE DE LA AUDITORIA , HECHO A

LA MEDIDA O GENERALIZADO

PARA ELLO SE TIENEN EN CUENTA LA INFORMACION PRESENTADA EN LOS

INFORMES O REPORTES ENTREGADOS POR EL SISTEMA. LOS DATOS

CAPTURADOS DE LOS DOCUMENTOS FUENTE, LAS FORMULAS NECESARIAS

PARA GENERAR LOS RESULTADOS, LOS ARCHIVOS O BASES DE DATOS DEL

APLICATIVO, LOS MANUALES TECNICOS Y DE USUARIO DEL MISMO Y LOS

PROGRAMAS AUTOMATICOS DISEÑADOS POR EL AUDITOR, DESARROLLADOS

USANDO LENGUAJES DE PROGRAMACION DE LA EMPRESA O PAQUETES

GENERALIZADOS DE AUDITORIA


OBJETIVOS DE LA AUDITORIA

LA AUDITORIA A TODOS LOS COMPONENTES DE UNA APLICACION TIENE COMO

OBJETIVOS EVALUAR Y VERIFICAR QUE EL SISTEMA DE APLICACION SATISFAGA

RAZONABLEMETE LAS SIGUIENTES CARACTERISTICAS DE SEGURIDAD Y

EFECTIVIDAD:

LOS CONTROLES ESTABLECIDOS EN EL SOFTWARE Y LOS PROCEDIMIENTOSMANUALES DE LA APLICACION PROTEGEN APROPIADAMENTE A LA EMPRESACONTRA LOS RIESGOS QUE PODRIAN AFECTAR LOS NEGOCIOS O SERVICIOSSOPORTADOS EN ELLA.

LA INFORMACION PRODUCIDA POR LA APLICACION ES CONFIABLE, COMPLETA YOPORTUNA PARA SATISFACER LAS NECESIDADES DE LA EMPRESA.



.

LOS DATOS DE ENTRADA A LA APLICACION SON EXACTOS, COMPLETOS YAUTORIZADOS.

SON CONFIABLES LAS RUTINAS DE CALCULO IMPORTANTES EJECUTADAS PORLA APLICACION Y LAS CANTIDADES CALCULADAS SE APLICAN CORRECTAMENTEEN LOS ARCHIVOS DE COMPUTADOR Y EN LOS REGISTROS OFICIALES DE LAEMPRESA.

LA APLICACION DETECTA Y REPORTA LOS ERRORES OBVIOS Y PROPORCIONAADECUADAS PISTAS DE AUDITORIA DE LAS TRANSACCIONES PROCESADAS YAPLICADAS EN LOS REGISTROS OFICIALES DE LA EMPRESA



LAS SALIDAS PRODUCIDAS POR LA APLICACION PROPORCIONANINFORMACION EXACTA, COMPLETA, OPORTUNA Y RELEVANTE PARASATISFACER LAS NECESIDADES OPERATIVAS Y ADMINISTRATIVAS DELNEGOCIO

EL PLAN DE CONTINGENCIAS DE LA APLICACION ES APROPIADO PARADAR CONTINUIDAD A LAS OPERACIONES DEL NEGOCIO, EN CASO DEINTERRUPCIONES PROLONGADAS OCASIONADAS POR FALLAS DEHARDWARE, SOFTWARE Y/O POTENCIA ELECTRICA.

ES APROPIADA Y SUFICIENTE LA DOCUMENTACION RELACIONADA CONEL SISTEMA DE APLICACIÓN.



LOS PRINCIPIOS DE CONTABILIDAD INCORPORADOS EN LA APLICACION,SON CONSISTENTES CON LAS PRACTICAS DE CONTABILIDADGENERALMENTE ACEPTADAS, LAS POLITICAS DE LA COMPAÑIA Y LOSREQUERIMIENTOS LEGALES.

ES ADECUADA LA DIVISION DE FUNCIONES Y RESPONSABILIDADES ENACTIVIDADES DE LA APLICACION QUE SEAN INCOMPATIBLES DESDE ELPUNTO DE VISTA DE LA SEGURIDAD.

ES ADECUADO EL GRADO DE PARTICIPACION DE LOS USUARIOS EN LASACTIVIDADES DE DISEÑO, DESARROLLO Y PRUEBA DE LOS CAMBIOSAL SISTEMA DE APLICACION


ESCENARIOS DE RIESGO DE LAS

APLICACIONES

SON AREAS DE VULNERABILIDAD A RIESGOS, EN

LAS QUE SE DIVIDE EL CICLO COMPLETO DE

PROCESAMIENTO DE LOS DATOS, DESDE SU

ORIGEN EN LAS FUENTES DE INFORMACION

HASTA LOS CENTROS DE PROCESAMIENTO Y

DESDE ESTOS HASTA LAS DEPENDENCIAS QUE

UTILIZAN LOS RESULTADOS DE LA APLICACIÓN


E

P

S

1. ORIGEN Y PREPARACION DE DATOS

2. CAPTURA Y VALIDACION DE DATOS

3. PROCESAMIENTO Y ACTUALIZACION DE DATOS.

4. SALIDAS DE LA ACTUALIZACION.

5. UTILIZACION Y CONTROL DE RESULTADOS

POR LOS USUARIOS

ESCENARIOS DE RIESGO EN APLICACIONES


E

P

S


6. SEGURIDAD LOGICA DEL SOFTWARE DE LA APLICACIÓN

7. SEGURIDAD LOGICA DEL LOS ARCHIVOS / BASES DE DATOS

8. CAMBIOS AL SOFTWARE DE LA APLICACION

9. PROCEDIMIENTOS DE BACKUP Y RECUPERACION

10. TERMINALES Y COMUNICACION DE DATOS

11. DOCUMENTACION TECNICA Y DEL USUARIO

12. UTILIZACION Y CONTROL DE RESULTADOS POR LOS USUARIOS

13. SEGURIDAD FISICA DE LAS INSTALACIONES DE COMPUTO


E

P

S


14. ACCESO A LA BASE DE DATOS A TRAVES DEL

DBMS

15. EL SISTEMA DE DIRECTORIO / DICCIONARIO DE

DATOS ( SD / DD )

16. LA FUNCION DEL ADMINISTRADOR DE LA BASE

DE DATOS ( DBA )

BASES

DE

DATOS


APLICACION

E P S


ACTIVIDADES A TENER EN CUENTA

POR ESCENARIO


E

P

S

1. ORIGEN Y PREPARACION DE DATOS

2. CAPTURA Y VALIDACION DE DATOS

3. PROCESAMIENTO Y ACTUALIZACION DE DATOS.

4. SALIDAS DE LA ACTUALIZACION.

5. UTILIZACION Y CONTROL DE RESULTADOS

POR LOS USUARIOS



ACTIVIDADES A TENER EN CUENTA POR ESCENARIO

ORIGEN Y/O PREPARACIÓN DE DATOS

INEFICIENCIAS EN EL PROCESO

ENVIO DE INFORMACION NO AUTORIZADA

ENVIO NO AUTORIZADO DE INFORMACIÓN AUTORIZADA

REVISIONES INEXISTENTES O EXCESIVAS

REMISIÓN ERRADA DE LA INFORMACIÓN

INSTRUCCIONES INSUFICIENTES PARA ENVÍO Y RECEPCIÓN DE INFORMACIÓN

DOCUMENTOS ENMENDADOS, TACHONES, BORRONES

ENVIÓ INOPORTUNO DE LA INFORMACIÓN

INFORMACIÓN FALTANTE O SOBRANTE

INFORMACIÓN SIN CUADRES

INFORMACION SIN REGISTRO DE RECIBO O ENTREGA

PÉRDIDA OE DOCUMENTOS O DE INFORMACIÓN

RETENCION DE DOCUMENTOS O INFORMACIÓN



ORIGEN Y/O PREPARACIÓN DE DATOS

CAMBIO EN LOS DATOS

SUSTRACCIÓN DE DOCUMENTOS

FALTA DE SEGREGACION DE FUNCIONES, PERDIDA DE LA RESPONSABILIDAD

PÉRDIDA DEL RASTRO PARA RECONSTRUIR OPERACIONES

ERRORES EN LOS PROCEDIMIENTOS

ANULACIÓN DE DOCUMENTOS (SELLOS, PERFORACIONES )

AMBIENTE DE CONTROL V SEGURIDAD (ENTORNO): ILUMINACIÓN, UBICACIÓN,

PROTECCIÓN

CONOCIMIENTO CLARO DEL ENVIÓ DE INFORMACIÓN; SITIO. TIEMPO, MEDIO

ORDENAMIENTO/ Y CLASIFICACIÓN DE DOCUMENTOS, ARCHIVO



ENTRADA, CAPTURA Y VALIDACION DE DATOS

INFORMACIÓN O DOCUMENTOS NO LEGIBLES

DOCUMENTOS DAÑADOS, DETERIORADOS

DOCUMENTOS NO IDENTIFICADOS

PANTALLA DE CAPTURA NO COINCIDE CON DOCUMENTO FUENTE

ENTRADA DE DATOS POR PERSONAL NO AUTORIZADO

ENTRADA DE DATOS NO AUTORIZADOS

SIN CONTROL LÓGICO DE ACCESO A LOS MÓDULOS DE CAPTURA O DE INFORMACIÓN

PERSONAL NO AUTORIZADO CON CLAVES VALIDAS

TRANSACCIONES U OPERACIONES NO AUTORIZABAS PERO HABILITADAS EN ELSISTEMA

SIN IDENTIFICACIÓN ÚNICA DE LOS OPERADORES O QUIENES INGRESAN LOS DATOS



ENTRADA, CAPTURA Y VALIDACION DE DATOS

DESCONOCIMIENTO DE LA FORMA DE INGRESO DE DATOS

DOCUMENTACIÓN INEXISTENTE O INCOMPLETA PARA ENTRADA DE DATOS

SIN INSTRUCCIONES EN CASO DE EMERGENCIA

VALIDACIONES INSUFICIENTES O EXCESIVAS

CONTROLES DE ENTRADA INEFICIENTES

DATOS CRÍTICOS SIN VALIDACIONES

DUPLICACIÓN DE INFORMACIÓN

PÉRDIDA DE INFORMACIÓN CON DETECCIÓN TARDÍA



ACTUALIZACION, PROCESAMIENTO Y COMPLEMENTARIOS

IDENTIFICACIÓN DE CONTROLES AUTOMÁTICOS

INICIO INOPORTUNO DE PROCESOS

ACTUALIZACIÓN INOPORTUNA DE LA INFORMACIÓN

OPERACIÓN NO AUTORIZADA DE LOS PROCESOS

SEGURIDAD LÓGICA DEFICIENTEMENTE DEFINIDA O INEXISTENTE

IMPOSIBILIDAD DE IDENTIFICAR LAS TERMINALES O LOS OPERADORES QUE

EFECTUAN MODIFICACIONES

CAPACITACIÓN DEFICIENTE, NULA, INEXISTENTE

DOCUMENTACIÓN DEFICIENTE, NULA, INEXISTENTE, MAL UBICADA

INTERVENCIÓN PERMANENTE DEL OPERADOR EN LOS PROCESOS

ALTA DIGITACIÓN DE PARÁMETROS POR CONSOLA




LOS PROCESOS NO ENTREGAN MENSAJES DE ERROR

SIN VALIDACIÓN DE LABELS INTERNOS AUTOMÁTICAMENTE

EJECUCIÓN DE PROCESOS NO AUTORIZADOS

EJECUCIÓN CON VERSIONES DESACTUALIZADAS

ACTUALIZACIÓN CON PROGRAMAS NO AUTORIZADOS

EJECUCIÓN EN ORDEN ERRADO DE LOS PROCESOS

ACTUALIZACIÓN SIN CIFRAS DE CONTROL QUE GARANTICEN EL CORRECTO

PROCESAMIENTO

DESATENCIÓN A LOS MENSAJES DE ERROR DEL SISTEMA Y DEL APLICATIVO

NO REVISIÓN DE LAS CIFRAS EMITIDAS POR EL APLICATIVO




INSTALACION ERRADA DE ARCHIVOS PARA ACTUALIZACION

ESPACIO EN DISCO INSUFICIENTE

CAPACIDAD DE EQUIPO BAJA FRENTE A LA OPORTUNIDAD REQUERIDA Y A LOS

VOLÚMENES

ACCESO NO AUTORIZADO AL ÁREA DONDE SE EJECUTAN LOS PROCESOS DE

ACTUALIZACIÓN



SALIDAS DEL PROCESO

IMPRESIÓN INOPORTUNA DE REPORTES

INFORMACIÓN IMPRESA INCOMPLETA

LISTADOS, MEDIOS MAGNÉTICOS, ARCHIVOS REMITIDOS ERRONEAMENTE

CAPACITACION INADECUADA PARA MANEJAR INFORMACION DE SALIDA

DOCUMENTACION DE INFORMACIÓN DE SALIDA INSUFICIENTE, DEFICIENTE, INCOMPLETA,FALTANTE O NO CLARA

SIN CLARIDAD SOBRE LA OPORTUNIDAD REQUERIDA DE LA INFORMACION POR LOSCLIENTES

SIN IDENTIFICAR PERSONAL QUE RETIRA LA INFORMACIÓN O QUE ACCEDE A ELLA UNA VEZSE PRODUCE

PÉRDIDA DE LISTADOS O MEDIOS MAGNÉTICOS DE SALIDA

PÉRDIDA DE LOS DOCUMENTOS AL ENVIARLOS

ALTERACIÓN, MODIFICACIÓN, CAMBIO DE DOCUMENTOS, LISTADOS, MEDIOS MAGNÉTICOSLUEGO DE PRODUCCIÓN



DESTINATARIOS DE LAS SALIDAS

DETERMINACION DEL GRADO DE UTILIDAD DE LA INFORMACIÓN EN LOS USUARIOS,DEFINICION DE NECESIDADES

DESCONOCIMIENTO DE LOS USUARIOS DE LA INFORMACION

ENVIÓ DE INFORMACIÓN INVALIDA AL USUARIO

ENTREGA DE INFORMACIÓN NO AUTORIZADA AL USUARIO

USUARIOS SIN RECIBIR INFORMACIÓN REQUERIDA

GENERACIÓN DE INFORMACIÓN QUE NO SE REQUIERE

PRODUCIR LA MISMA INFORMACION EN DIFERENTES FORMATOS AL MISMO USUARIOO A DIFERENTES USUARIOS

UTILIZACIÓN DE LISTADOS PARA HACER CAPTURA DE INFORMACIÓN DE OTRASAPLICACIONES



DESTINATARIOS DE LAS SALIDAS

RECIBO INOPORTUNO DE LA INFORMACION POR EL USUARIO

ADAPTACION DEL USUARIO A LAS SALIDAS Y NO AL CONTRARIO

EL USUARIO REQUIERE DE MUCHOS CALCULOS ANTES O DESPUES DEL PROCESO

PRESENTACION PARA LOS USUARIOS NO REQUERIDA

SERVICIOS RECIBIDOS INOPORTUNAMENTE

OBTENCION DEMORADA DE LOS RESULTADOS

EXCESO DE AJUSTES / CORRECCIONES

SOLICITUDES DE CAMBIO ATENDIDAS INOPORTUNAMENTE

DESCONOCIMIENTO DE LOS USUARIOS DE LAS UTILIDADES DISPONIBLES



CAMBIO A LOS PROGRAMAS

MODIFICACIONES, REVISIONES V CAMBIOS AUTORIZADOS

AMBIENTE CONTROLADO, SEGURO

PRUEBAS SUFICIENTES, APROBADAS, PLANEADAS

ESPECIFICACIONES DIFUSAS PARA EJECUTAR UN CAMBIO

CAMBIOS REALIZADOS DIFERENTES A LOS REQUERIDOS

USUARIOS NO PARTICIPAN EN LAS PRUEBAS, NO LAS AUTORIZAN / APRUEBAN

NO SE PRUEBAN TODAS LAS POSIBILIDADES

INEXISTENTE AMBIENTE DE PRUEBAS

MUESTRA DE PRUEBAS NO ES REPRESENTATIVA

NO SE CUANTIFICAN LOS REQUERIMIENTOS DE PERSONAL, EQUIPOS,PROCEDIMIENTOS, INSTRUCCIONES, REQUERIDAS PARA EL CAMBIO




SIN DOCUMENTACION SOBRE ARCHIVOS O PROGRAMAS QUE REQUIEREN SER

CAMBIADOS

NO SE INFORMA LA FECHA DE CAMBIO A TODOS LOS INTERESADOS

USUARIOS SIN INSTRUCCIÓN COMPLETA

OPERADORES Y USUARIOS SIN CAPACITACIÓN PARA EL MANEJO DEL CAMBIO

SIN CLARIDAD SOBRE QUE HACER 81 NO FUNCIONA EL CAMBIO, AFECTANDO LA

CONTINUIDAD DEL SERVICIO

CAMBIOS EFECTUADOS POR FUERA DE LOS ESTÁNDARES

SIN REGISTRAR O DEJAR RASTRO DE LOS CAMBIOS EFECTUADOS

DOCUMENTACIÓN DEFICIENTE O INEXISTENTE SOBRE LOS CAMBIOS REALIZADOS

SIN CLARIDAD SOBRE A DONDE DISTRIBUIR LOS CAMBIOS




DEFICIENCIA EN PROCEDIMIENTOS DE INSTALACIÓN DE CAMBIOS

DEJAR DE DOCUMENTAR O DE ARCHIVAR LAS VERSIONES ANTERIORES SOBRE EL

USO CORRESPONDIENTE

CAMBIO REALIZADO SIN EL SOPORTE CORRESPONDIENTE



TERMINALES / PCS/ DISPOSITIVOS MOVILES

SEGURIDADES FÍSICAS Y LÓGICAS

PROTECCIÓN DE LA INFORMACIÓN A TRAVÉS DEL APLICATIVO

ASEGURAR: EXACTITUD, PRIVACIDAD, INTEGRIDAD, COMPLETITUD

ACCESOS NO AUTORIZADOS A LAS TERMINALES

SIN REGISTRO DE ACCESO A LAS APLICACIONES

FALTA DEFINICIÓN DE NIVELES DE ACCESO A LA INFORMACIÓN MANEJADA POR ELAPLICATIVO

IMPOSIBILIDAD DE CONSULTAR LOS RASTROS DEJADOS

INCAPACIDAD DE LA APLICACIÓN DE CRECER EN TERMINALES

INFLEXIBILIDAD DE LA APLICACIÓN FRENTE A CAMBIOS EN LAS TERMINALES

SIN CONTROL DE TIMEOUT



TRANSMISION / COMUNICACIÓN DE DATOS

CONTROL DE LA APLICACIÓN SOBRE LA INFORMACION RECIBIDA O TRANSMITIDA

INTERFERENCIA DE LINEAS

CAÍDAS DE LINEA RETRANSMISIÓN AUTOMÁTICA

PÉRDIDA DE ARCHIVOS

TIEMPOS DE TRANSMISIÓN

CONTROL DE INFORMACIÓN ENVIADA Y RECIBIDA VERIFICACIÓN AUTOMÁTICA DE

TOTALES

REPETICIÓN DE TRANSMISIONES, PUNTO DE REINICIO

MONI TOREO A LAS COMUNICACIONES

VERIFICACION ESTADOS DE LINEA Y FUNCIONAMIENTO DE APLICATIVOS



SEGURIDAD Y ACCESO A LOS ARCHIVOS DEL APLICATIVO

RIESGOS POTENCIALES DE FRAUDE POR MANIPULACIÓN DE ARCHIVOS RESIDENTES

EN EL COMPUTADOR O MEDIOS DE ALMACENAMIENTO EXTERNO

CONTROL DE ACCESO FÍSICO O LÓGICO DEFICIENTE

SIN SEGREGACIÓN DE FUNCIONES PARA MODIFICACIÓN Y CUSTODIA

ARCHIVOS FÁCILES DE CONSULTAR CON UTILITARIOS

SIN RESTRINGIR EL USO DE UTILITARIOS

DOCUMENTACIÓN DE ESTRUCTURAS DE ARCHIVOS NO RESTRINGIDA

BACKUPS EN SITIOS INSEGUROS, ACCESO INDISCRIMINADO



RESPALDO SOPORTE Y RECUPERACION

RESTABLECER EL SISTEMA EN CASO DE INTERRUPCIONES

SIN BACKUPS DE PROGRAMAS Y DE ARCHIVOS

EFECTUAR MODIFICACIONES A LAS COPIAS LUEGO DE LOS CAMBIOS

BACKUPS EN SITIOS EN SITIOS DIFERENTES AL DEL PROCESO NORMAL

LAS COPIAS DE LOS ARCHIVOS NO PERMITEN RECONSTRUIR LA OPERACIÓN

NO SE PUEDEN UTILIZAR LAS COPIAS EXISTENTES POR DAÑOS O POR SECUENCIAS

ERRADAS

SIN DETERMINAR LOS PERIODOS DE RETENCION POR PARTE DE LOS USUARIOS

SIN INSTRUCCIONES DE COMO EFECTUAR LOS BACKUPS



RESPALDO SOPORTE Y RECUPERACION

EL PROCESO NO TIENE PUNTO DE REINIC1O O SON DESCONOCIDOS POR LOS

OPERADORES

SIN INSTRUCCIONES DE QUE HACER AL PRESENTAR FALLAS EL PROCESO DE

EJECUCIÓN DE COPIAS

LABELS DE COPIAS ILEGIBLES O SIN ESTÁNDARES

MARCAR ERRADAMENTE LAS COPIAS DE RESPALDO

SIN PROCEDIMIENTO PARA USAR LAS COPIAS DE RESPALDO

SIN PLAN DE CONTINGENCIA

SIN ACCESO RESTRINGIDO DONDE ESTÁN LAS COPIAS

SIN EVALUACIÓN DE ARCHIVOS A CONSERVAR Y PERIODOS DE RETENCIÓN



PISTAS ADMINISTRATIVAS Y DE AUDITABILIDAD

EVALUACIÓN PARA DETERMINAR SI ES POSIBLE RECONSTRUIR UNA OPERACIÓN

IDENTIFICACIÓN DE RESPONSABILIDADES

POSIBILIDAD DE RECONSTRUIR LO OCURRIDO

ENTENDIMIENTO DE LO OCURRIDO, QUIENES, CUANDO, DONDE


GUIAS DE AUDITORIA

* El Propósito de las Guías de Auditoria es suministrar una

estructura simple para auditar los controles

* Las Guías de Auditoria son Genéricas y de alto nivel en

estructura

* Las Guías no pretenden ser una herramienta para crear el

plan de auditoria completo

* Permiten al Auditor revisar los Procesos contra los Objetivos de

Control

CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA

CAPTURA DE DATOS

VERIFICACIÓN DEL REGISTRO DE DATOS

DÍGITO DE CONTROL

RESTRICCIÓN DE ACCESO A LOS DISPOSITIVOS

CONTROL DE DOCUMENTOS FUENTES

CONTROL DE DOCUMENTOS NEGOCIABLES

MANUAL DE PROCEDIMIENTOS

ENTRENAMIENTO DEL PERSONAL


COMUNICACION DE DATOS

CÓDIGO DE IDENTIFICACIÓN ELECTRÓNICA

SEGURIDAD PARA EQUIPOS TELEFÓNICOS

LOG DE CONTROL DEL SISTEMA DE COMUNICACIÓN

MODEM DE APLICACIONES MÚLTIPLES

LOG DE REGISTRO DE ERRORES

DOCUMENTACIÓN COMPRENSIBLE DEL SISTEMA


PROCESAMIENTO DE DATOS

CÓDIGO DE TRANSACCIONES

VERIFICACIÓN DE SECUENCIAS

MANUALES DE OPERACIÓN

CLAVES DE SEGURIDAD

RECHAZO DE TRANSACCIONES E INCONSISTENTES


SALIDA DE INFORMACION

SUFICIENCIA Y PERTINENCIA

CONCILIAR TOTALES DE SALIDA

IDENTIFICACION DE INFORMES

DISTRIBUCIÓN DE INFORMES

CONTROL Y CUSTODIA DE INFORMES

LOG| DE AUDITORIA


SISTEMAS DISTRIBUIDOS

LOCALIZACION DE LOS EQUIPOS

TIPO DE RED UTILIZADA

CAPACIDAD DE ALMACENAMIENTO DE LOS EQUIPOS

LOG DE LAS TERMINALES

SEGURIDAD FISICA DE LOS EQUIPOS

CONTRATOS DE ASEGURAMIENTO

TRABAJO EN LINEA

CLAVES DE ACCESO A LAS TERMINALES

PLAN DA CONTINGENCIA

PROCEDIMIENTOS PARA CORRECCIÓN DE ERRORES


SISTEMAS OPERACIONALES

IDENTIFICACIÓN DEL SISTEMA OPERACLONAL

CONTROL DE ACCESO A LOS UTILITARIOS

LOG DE REGISTRO DE PROBLEMAS DEL SOFTWARE

DEFINICIÓN DE INTERFASES

CONTROL DE FECHA Y HORA DEL SISTEMA

DOCUMENTACIÓN DEL SISTEMA OPERATIVO

ALMACENAMIENTO CRIPTOGRÁFICO

RESTRICCIÓN A LOS PROGRAMADORES

MANTENIMIENTO DEL SISTEMA


METODOLOGIA DE AUDITORIA

CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO METODOLOGIA DE AUDITORIA

1. FAMILIARIZACION CON EL AMBIENTE TECNICO Y OPERATIVO DELA APLICACIÓN

A. IDENTIFICACION DE AREAS FUNCIONALES DE LA EMPRESA QUE PARTICIPAN EN EL

MANEJO DE LA APLICACION

B. IDENTIFICAR LOS PROCESOS (TAREAS O SUBPROCESOS) QUE SE EJECUTAN EN LA

OPERACIÓN DE LA APLICACIÓN ( MANUALES Y AUTOMATICOS )

C. ELABORAR MATRICES DE DEPENDENCIAS VS. PROCESOS

D. IDENTIFICAR LAS PERSONAS CLAVES EN EL CICLO DE OPERACION DE LA

APLICACION EN CADA DEPENDENCIA

E. INVENTARIO DE DOCUMENTOS FUENTE Y OTROS MEDIOS DE ENTRADA DE DATOS


1. FAMILIARIZACION CON EL AMBIENTE TECNICO Y OPERATIVO DE LAAPLICACIÓN

F. DESCRIPCION DEL DISEÑO DE ARCHIVOS DE ENTRADA / SALIDA Y DE TABLAS UTILIZADAS

POR LA APLICACION

G. INVENTARIO DE INFORMES QUE PRODUCE Y DESTINATARIOS DE LOS MISMOS

H. NORMAS LEGALES E INSTITUCIONALES QUE RIGEN EL FUNCIONAMIENTO DE LA

APLICACION

I. INTERFASES DE LA APLICACION CON OTROS SISTEMAS

J. FUNCIONES U OPERACIONES DE NEGOCIO QUE EJECUTA LA PORCION AUTOMATIZADA

DE LA APLICACION

K. INVENTARIOS DE MANUALES DE DOCUMENTACION EXISTENTE

L. INFORMACION SOBRE FRAUDES Y OTROS ANTECEDENTES DE LA APLICACION


2. ANALISIS DE RIESGOS

3. DISEÑO Y EJECUCION DE PRUEBA

4. DOCUMENTACION DE HALLAZGOS E INFORMES

5. SEGUIMIENTO A LAS RECOMENDACIONES


TECNICAS DE AUDITORIA Y EVALUACION

APROPIADAS

CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA

ALGUNAS TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR}

A. TECNICAS PARA PROBAR LOS CONTROLES EN

SISTEMAS DE APLICACION

- METODO DE LOS DATOS DE PRUEBA ()

- CASO BASE

- OPERACION PARALELA

- FACILIDAD DE LA PRUEBA INTEGRADA ( ITF ) ()

- SIMULACION PARALELA ()


ALGUNAS TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR

B. TECNICAS PARA SELECCIONAR Y MONITOREAR

TRANSACCIONES

SELECCION DE TRANSACCIONES DE ENTRADA

MODULOS DE AUDITORIA ENCAJADOS EN LOS SISTEMAS

REGISTROS EXTENDIDOS ()


ALGUNAS TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR

C. TECNICAS PARA ANALIZAR PROGRAMAS DE

APLICACION

SNAPSHOT ()

MAPPING

TRACING ()

TAGGING ()

FLUJOGRAMAS DE CONTROL


DATOS DE PRUEBA

ESTA TECNICA CONSISTE EN EJECUTAR LOS PROGRAMAS

DE LA APLICACION QUE ESTEN EN PRODUCCION CON UN

PAQUETE DE DATOS DE PRUEBA ( TEST DECK )

ESPECIALMENTE PREPARADOS POR EL AUDITOR PARA

PROBAR LA EXACTITUD DEL PROCESAMIENTO Y LOS

CONTROLES INCORPORADOS EN EL SOFTWARE DE LA

APLICACION.

ES EL METODO DE PRUEBA MAS FACIL DE APLICAR Y UNO

DE LOS MAS EFECTIVOS PARA VERIFICAR EL

FUNCIONAMIENTO CORRECTO DE LOS PROGRAMAS DE

LAS APLICACIONES.


DATOS DE PRUEBA

EL PAQUETE DE DATOS DE PRUEBA QUE SE PREPARE LA

PRIMERA VEZ, PUEDE SER REUTILIZADO

POSTERIORMENTE PARA HACER SEGUIMIENTOS Y EN LOS

SIGUIENTES AUDITAJES DE LA APLICACION.

SIRVE PARA :

••CONOCER LA LOGICA DE PROCESAMIENTO DE LA

APLICACION.

••VERIFICAR LA EXACTITUD DE LOS CALCULOS

EFECTUADOS POR LOS PROGRAMAS DE APLICACION.

••OBTENER EVIDENCIA DE LOS CONTROLES

IMPLANTADOS DENTRO DE LOS PROGRAMAS DE LAS

APLICACIONES QUE ESTEN EN PRODUCCION.


FACILIDAD DE LA PRUEBA INTEGRADA - ITF

ES UNA SOFISTICACION DEL METODO DE DATOS DE PRUEBA.

EN VEZ DE REALIZAR LA CORRIDA DE PRUEBA EN FORMA

SEPARADA DE LA DE PRODUCCION, SE INTEGRAN LOS ODS

PROCESOS, EL DEL AUDITOR Y EL DE PRODUCCION NORMAL.

LOS DATOS DE PRUEBA ELABORADOS POR EL AUDITOR SE

MEZCLAN CON LOS DATOS OFICIALES DE LA EMPRESA Y SE

PROCESAN JUNTOS EN UNA MISMA CORRIDA UTILIZANDO EL

AMBIENTE DE PRODUCCION NORMAL.

PARA NO ALTERAR LOS RESULTADOS OFICIALES DE LA

EMPRESA CON LOS DATOS DEL AUDITOR, SE UTILIZA UNA

"ENTIDAD FICTICIA" DENTRO DE LOS ARCHIVOS DE LA

APLICACION, A DONDE VAN A PARAR LOS RESULTADOS DEL

AUDITOR.


FACILIDAD DE LA PRUEBA INTEGRADA - ITF

SE DENOMINA INTEGRADA PORQUE LOS DATOS DE PRUEBAELABORADOS POR EL AUDITOR, SE PROCESAN JUNTO CONLAS TRANSACCIONES REALES DE PRODUCCION.

LOS REGISTROS MAESTROS DE AUDITORIA RESIDEN EN LOS

ARCHIVOS NORMALES DE LA APLICACION, EN UNA ENTIDAD

FICTICIA QUE ES PARTE DE LA ESTRUCTURA

ORGANIZACIONAL DE LA APLICACION

LAS PRUEBAS DE AUDITORIA PUEDEN SER REALKIZADAS EN

EL CICLO NORMAL DE PROCESAMIENTO.

SIRVE PARA:

EXAMINAR EL PROCESAMIENTO DE UNA APLICACION EN SU

AMBIENTE DE OPERACION NORMAL O REGULAR DE

PRODUCCION.


REGISTROS EXTENDIDOS

ESTA TECNICA RECOGE ( SELECCIONA ), POR MEDIO DE UNOO MAS PROGRAMAS ESPECIALES, TODOS LOS DATOSSIGNIFICATIVOS QUE HAN AFECTADO EL PROCESAMIENTO DEUNA TRANSACCION INDIVIDUAL DENTRO DE UNA APLICACIONCOMPUTARIZADA EN PARTICULAR.

ESTO INCLUYE LA ACUMULACION DENTRO DE UN UNICOREGISTRO DE LOS RESULTADOS DEL PROCESAMIENTOSOBRE EL MISMO PERIODO DE TIEMPO REQUERIDO PARA ELPROCESAMIENTO COMPLETO DE LA TRANSACCION.

EL REGISTRO EXTENDIDO INCLUYE DATOS DE TODOS LOSSISTEMAS DE APLICACION DE COMPUTADOR QUECONTRIBUYERON AL PROCESAMIENTO DE UNATRANSACCION.


REGISTROS EXTENDIDOS

LOS REGISTROS EXTENDIDOS SON COMPILADOS DENTRODE ARCHIVOS QUE PROPORCIONAN UNA FUENTECONVENIENTEMENTE ACCESIBLE PARA LOS ADTOS DELAS TRANSACCIONES.

ESTA TECNICA ES INSTALADA POR EL PERSONAL DESISTEMAS.

ES ENCAJADA DENTRO DEL SISTEMA DE APLICACION.

PROPORCIONA UNA PISTA DE AUDITORIA COMPLETA PARACADA TRANSACCION APLICABLE A TODOS LOS SISTEMASDE APLICACION


SIMULACION PARALELA

RECIBE SU NOMBRE DEL HECHO DE QUE EL AUDITOR PUEDECREAR UN NUEVO JUEGO DE PROGRAMAS DE APLICACIONQUE PROCESEN INFORMACION EN PARALELO CON LOSPROGRAMAS DE PROCESAMIENTO REALES ( PROTOTIPO ).

EL TERMINO SIMULACION SE DA YA QUE LOS PROGRAMASDISEÑADOS POR EL AUDITOR EFECTUAN LAS MISMASFUNCIONES DE PROCESAMIENTO QUE LOS PROGRAMAS DELA APLICACION NORMALES, PERO A TRAVES DE DIFERENTESCAMINOS, PERO NO NECESARIAMENTE SE PROCESAN ALMISMO TIEMPO.

NO SE NECESITA REPRODUCIR INTEGRAMENTE LAAPLICACION, SINO NOLAMENTE LAS FUNCIONES QUE SEANRELEVANTES PARA EL AUDITOR.


SIMULACION PARALELA

ESTA TECNICA PERMITE VERIFICAR Y EVALUAR :

•• EL PROCESAMIENTO DE CONTROL Y DE VALIDACION DEENTRADAS.

•• LOS CALCULOS Y LA LOGICA DEL PROCESAMIENTO.

••LA LOGICA DE ACTUALIZACION DE ARCHIVOS MAESTROS.

• LOS CONTROLES Y PROCEDIMIENTOS DE BALANCEO DECIFRAS.

LOS PROGRAMAS DE SIMULACION LEEN LOS MISMOS DATOSDE ENTRADA QUE LOS PROGRAMAS DE LA APLICACION,UTILIZAN LOS MISMOS ARCHIVOS Y TRATAN DE PRODUCIRLOS MISMOS RESULTADOS .


TAGGING - TRACING - SNAPHOT

ES UNA FORMA DE PISTA DE LAS TRANSACCIONES, QUE SEESTIPULA UNICAMENTE PARA LOS DATOS DE ENTRADASELECCIONADOS, LOS CUALES LLEVAN UNA CLAVEESPECIAL.

ESTE SISTEMA ES USADO GENERALMENTE PARA GRANDESVOLUMENES DE INFORMACION EN QUE LA PISTA COMPLETADE TODAS LAS TRANSACCIONES DE ENTRADA GENERARIAUN EXCESO DE INFORMACION NO UTILIZABLE.

SI ESTAS FUNCIONES SE IMPLANTAN POR ANTICIPADO EN ELSISTEMA DE APLICACION, PUEDE AÑADIRSE UNA CLAVEESPECIAL A CUALQUIER TRANSACCION DE ENTRADA PARAGENERAR UNA PISTA IMPRESA DE ESA PARTIDA ESPECIFICA,SIGUIENDO CADA PASO DEL PROCESAMIENTO DE LAAPLICACION.


TAGGING - TRACING - SNAPHOT

CON LA APLICACION DE RUTINAS DE MARCACION YSEGUIMIENTO ( TAGGING Y TRACING ) EN LA LOGICA DEPROGRAMACION, TODA TRANSACCION Y SUINFORMACION RELACIONADA PUEDE SEGUIRSE A TRAVESDEL SISTEMA Y CONOCER SU ESTADO DONDE SE QUIERAMEDIANTE SNAPHOT.

A MEDIDA QUE SE EJECUTA CADA ETAPA, SE MUESTRA LAINTERACCION DE LAS TRANSACCIONES SELECCIONADASCON LA DEMAS INFORMACION Y CON LAS PRUEBASRELACIONADAS.


COMPARACION DE CODIGOS

CONSISTE EN COMPARAR COPIAS DE DOS (2) VERSIONESCONSECUTIVAS DE LA CODIFICACION DE LOSPROGRAMAS DE UNA APLICACION.

SU OBJETIVO ES VERIFICAR SI SE ESTAN SIGUIENDOCORRECTAMENTE LOS PROCEDIMIENTOS DEMANTENIMIENTO Y CAMBIO DE PROGRAMAS Y DELIBRERIAS DE PROGRAMAS.

GENERALMENTE ESTA TECNICA ES UTILIZADA PARACOMPARAR UNA COPIA QUE ESTA BAJO EL CONTROL DELAUDITOR CON LA VERSION DEL PROGRAMA EN USOACTUALMENTE EN EL PROCESAMIENTO DE DATOS.

ESTA TECNICA SIRVE PARA PRUEBAS DE CUMPLIMIENTOMAS QUE PARA PRUEBAS SUSTANTIVAS.


COMPARACION DE CODIGOS

ES ESPECIALMENTE UTIL PARA PROGRAMAS QUEEJECUTAN FUNCIONES CRITICAS DE LOS NEGOCIOS YESTAN SUJETAS A CAMBIOS CONTINUOS ( SENSITIVOS ).

NINGUNA EVIDENCIA PRODUCTO DE ESTA TECNICAPROPORCIONA INFORMACION SOBRE LA EFICIENCIA DELOS PROGRAMAS DE APLICACION Y LA CONFIABILIDADDE LOS ARCHIVOS DE DATOS QUE PROCESA.

SE PUEDE REALIZAR EN FORMA MANUAL COMOAUTOMATICA


SOFTWARE A LA MEDIDA

EL SOFTWARE A LA MEDIDA TAMBIEN DENOMINADOPROGRAMAS ESPECIALIZADOS DE AUDITORIA SON ESCRITOSPARA EJECUTAR TAREAS ESPECILAES DE AUDITORIA ENCIRCUNSTANCIAS ESPECIFICAS.

LOS PROGRAMAS ESTAN ESCRITOS PARA O POR EL AUDITOREN UN LENGUAJE DE PROGRAMACION .

EL DESARROLLO Y USO DE PROGRAMAS ESPECIALIZADOSDE AUDITORIA ES USUALMENTE MAS DIFICIL QUE ELUTILIZADO EN UN PAQUETE GENERALIZADO DE AUDITORIA,PUES REQUIERE DEL AUDITOR UNA MAYOR HABILIDADTECNICA.



EL AUDITOR DEBE DEFINIR LOS OBJETIVOS DELPROGRAMA Y CUANDO SEA NECESARIO, PROVEEER ELFLUJO DE LA LOGICA DEL PROGRAMA, LO MISMO QUEANTICIPAR Y CONTROLAR LA PRUEBA Y EJECUCION DELPROGRAMA.

SI EL PERSONAL DE SISTEMAS DE LA EMPRESA ESCRIBEEL PROGRAMA, EL AUDITOR NO DEBE SOLAMENTEDETERMINAR QUE EL PROGRAMA ESTA DIRIGIDO A LOSOBJETIVOS DE LA AUDITORIA, SINO TAMBIEN QUE NO HAYUN CODIGO ADICIONAL INTRODUCIDO EN EL PROGRAMAQUE PUEDA ALTERAR LOS RESULTADOS DELPROCESAMIENTO.



TAMBIEN DEBE CONSIDERAR LOS CONTROLESGENERALES Y EJECUTAR LAS PRUEBAS QUE CONSIDEREAPROPIADAS A LAS CIRCUNSTANCIAS. ADEMAS, DEBECONSIDERAR LA REVISION DE LA LOGICA DEL PROGRAMAY CONTROLAR LA COMPILACION ASI COMO LA PRUEBA YPROCESAMIENTO DEL PROGRAMA.

SOLAMENTE DESPUES QUE EL AUDITOR ESTESATISFECHO QUE EL PROGRAMA ESPECIALIZADO DEAUDITORIA EJECUTA LAS FUNCIONES DESEADAS DEAUDITORIA Y QUE SU PROCESAMIENTO ESTACONTROLADO, DEBE ACEPTAR SUS RESULTADOS.


SOFTWARE ( PAQUETE ) GENERALIZADO DE AUDITORIA

ES UNA HERRAMIENTA DE AUDITORIA CONSISTENTE ENPAQUETES ( DE USO COMERCIAL ) DISEÑADOS ENLENGUAJES DE PROGRAMACION ESPECIALIZADOS, QUETIENEN LA CAPACIDAD DE PROCESAR ARCHIVOS,CONTROLADOS POR PARAMETROS DE ENTRADADEFINIDOS POR EL AUDITOR Y CUYO OBJETIVO ESSATISFACER SUS NECESIDADES.

EXISTE SOFTWARE GENERALIZADO DE AUDITORIA DE DOSTIPOS:

• PREPROCESADORES O GENERADORES DEPROGRAMAS ( EN UN LENGUAJE )

• MACROLENGUAJES O INTERPRETADORES.



NO PERMITEN MODIFICAR LOS ARCHIVOS DE ENTRADA,SINO SOLAMENTE CONSULTARLOS PARA EXTRAER LAINFORMACION QUE REQUIERA EL AUDITOR.

CON BASE EN EL PAQUETE, SE GENERAN PROGRAMAS DECOMPUTADOR, CON CAPACIDAD DE PROCESARARCHIVOS DE DATOS DE ACUERDO A LOS PARAMETROSDE ENTRADA PROPORCIONADOS POR EL AUDITOR.



EL AUDITOR ESTRUCTURA SU PROGRAMA,CONSIDERANDO LOS DATOS DE ENTRADA ( LOS ARCHIVOSDEL SISTEMA A AUDITAR ), LOS PROCEDIMIENTOS A UTILIZAR( DE ACUERDO AL OBJETO DE LA AUDITORIA ) Y LOSREBULTADOS ESPERADOS O REPORTES REQUERIDOS.UTILIZANDO LAS INSTRUCCIONES DEL LENGUAJE DEPROGRAMACION ESPECIALIZADO ( SOFTWAREGENERALIZADO DE AUDITORIA ) DISEÑA SU PROGRAMA DEAUDITORÍA.

ESTE SOFTWARE GENERALIZADO PUEDE SER USADO PARAEL DISEÑO Y APLICACION DE OTRAS TECNICAS DEAUDITORIA DE SISTEMAS, YA QUE FACILITA LAPROGRAMACION SI SE CONOCE EL MANEJO Y OPERATIVIDADDEL PAQUETE.



EL USO DE ESTE SOFTWARE PERMITE REALIZAR PRUEBASMAS DETALLADAS, YA QUE EL AUDITOR NO SE LIMITA A UNAMUESTRA MINIMA DE DATOS, SINO EN MUCHOS CASOS ATODOS LOS DATOS QUE CONTIENEN LOS ARCHIVOS DE LAAPLICACION.

EL COSTO SERIA MINIMO COMPARADO CON EL QUE SEINCURRIRA USANDO LENGUAJES DE PROGRAMACIONCONVENCIONALES.

EL COMPUTADOR SE USA DIRECTAMENTE PARA EFECTUARFUNCIONES DE AUDITORIA; POR LO TANTO, EL USO DEPROGRAMAS DE OPERACION DE AUDITORIA DE PROPOSITOGENERAL, EN DONDE QUIERA QUE SE APLIQUE,NORMALMENTE DA COMO RESULTADO QUE LAS PRUEBAS SEEFECTUEN EN MENOS TIEMPO DEL PERSONAL Y A UN COSTOMAS BAJO DE LO QUE SERIA POSIBLE SI SE UTILIZAN OTRASTECNICAS.


sesion 22 09 2011

Documents

desarrollo de swpage

ciclo de vida

hoteleriala seguridad

computadorla seguridad

organizacinla seguridad

definiciones de sistema

datos input

ambientes grficosla