sesion 22 09 2011
DESCRIPTION
AUDITORIA Y SEGURIDAD INFORMÁTICA LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SWTRANSCRIPT
AUDITORIA Y SEGURIDAD
INFORMÁTICA
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL
CICLO DE VIDA DEL DESARROLLO DE SW
Page 2
DEFINICIONES DE SISTEMA DE APLICACION
EN LA DECLARACION Nro 2 SOBRE LOS ESTANDARES DE AUDITORIA DE SISTEMASDE INFORMACION EMITIDOS POR ISACA (INFORMATION SYSTEMS AUDIT ANDCONTROL ASSOCIATION ), SE DEFINE UN SISTEMA DE APLICACION ASI:
“UN GRUPO INTEGRADO DE PROGRAMAS DE COMPUTADOR PARA REALIZAR UNAFUNCION PARTICULAR QUE TIENE ACTIVIDADES DE ENTRADA DE DATOS (INPUT),PROCESA MIENTO Y SALIDA ( OUTPUT)”
DESDE EL PUNTO DE VISTA PRACTICO, UN SISTEMA DE APLICACION SE DEFINECOMO :
“UN CONJUNTO DE PROCEDIMIENTOS MANUALES Y AUTOMATIZADOS QUE SEUTILIZAN PARA MANEJAR EN FORMA ESTANDARIZADA, LOS DATOS Y LAINFORMACION DE UNO O MAS NEGOCIOS (O SERVICIOS) DE LA EMPRESA CONAYUDA DEL COMPUTADOR”
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 3
COMPONENTES DE LOS SISTEMA DE APLICACIÓN
COMPONENTES EXCLUSIVOS
ò SOFTWARE APLICATIVO
ò ARCHIVOS Y/O BASES DE DATOS
ò LISTADOS, INFORMES O REPORTES
ò DOCUMENTOS FUENTE
ò NORMAS Y PROCEDIMIENTOS QUE RIGEN EL FUNCIONAMIENTO DE LOS NEGOCIOS YSERVICIOS QUE SE SOPORTAN EN LA APLICACIONES
ò MANUALES TECNICO Y DEL USUARIO DEL SISTEMA
COMPONENTES COMPARTIDOS CON OTRAS APLICACIONES
è SOFTWARE DE UTILIDAD COMUN ( AMBIENTAL O DE SOPORTE )
è HARDWARE
è ARCHIVOS Y BASES DE DATOS COMUNES PARA VARIAS APLICACIONES
è INSTALACIONES DE COMPUTO Y PRESTACION DE SERVICIOS
è PERSONAL TECNICO DE SISTEMAS
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 4
FINALIDAD DE UNA APLICACIÓN INFORMATICA
ò REGISTRAR FIELMENTE LA INFORMACIÓN EN TORNO A LAS OPERACIONESLLEVADAS A CABO POR DETERMINADA ORGANIZACIÓN
ò CALIDAD EN LOS PROCESOS DE VALIDACIÓN, CÁLCULO, ALMACENAMIENTO,OPERACIÓN Y EDICIÓN A PARTIR DE LA INFORMACIÓN REGISTRADA
ò RESPUESTA OPORTUNA E INTEGRA A CONSULTAS DE TODO TIPO SOBRE LAINFORMACIÓN ALMACENADA PARA DAR COBERTURA A LAS NECESIDADES MÁSCOMUNES CONSTATADAS
ò GENERAR Y PRESENTAR INFORMACIÓN PARA CUALQUIER FINALIDAD DEINTERÉS EN LA ORGANIZACIÓN
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 5
DE ACUERDO CON SU FUNCIONALIDAD
COMERCIALES: NÓMINA, INVENTAMOS, CAJA., FACTURACIÓN. CDT´S, AHORROS,
CUENTAS CORRIENTES Y DE AHORRO, ETC.
CIENTÍFICAS: INFORMACIÓN SOBRE INVESTIGACIONES. SISTEMAS EXPERTOS.
EDUCATIVAS: ENCICLOPEDIAS, DIFUSIÓN DEL CONOCIMIENTO.
SOPORTE MULTIFUNCIONAL: (PAQUETES DE UTILIDAD) HOJAS ELECTRONICAS,
PROCESADORES DE TEXTO, GRÁFICADORES, AUTOEDICION.
DIVERSOS SECTORES: MANUFACTURA, FINANCIERO, EDUCATIVO, AEROVÍAS,
HOTELERIA
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 6
OTRO TIPO DE CLASIFICACION
FORMA DE ADQUISICIÓN: COMPRADAS, DESARROLLADAS, ARRENDADAS.
UBICACIÓN DEL SOFTWARE: CENTRALIZADAS, DESCENTRALIZADAS, CLIENTE –
SERVIDOR, DISTRIBUIDAS, WEB
TIPO DE HARDWARE USADO: MICROS INDEPENDIENTES, WORKSTATIONS,
MICROCOMPUTADORES , MAINFRAME
ESTRUCTURA DE PROGRAMACIÓN; ORIENTADA A OBJETOS, LENGUAJES DE
CUARTA GENERACION, AMBIENTES GRÁFICOS
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 7
SISTEMA DE INFORMACIONUn conjunto de componentes que interactúan ENTRE sipara que la Empresa pueda alcanzar los objetivossatisfactoriamente
PROCESO
CONTROL
• Datos /
información
• Aplicaciones
• Plataformas
• Instalaciones
• Talento Humano
ENTRADAS SALIDAS
CONTROL = Normas y Reglas
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 8
TIPOS DE APLICACIONES
SISTEMAS DE PUNTO DE VENTA ( POS)
PERMITEN CAPTURAR DATOS AL MOMENTO MISMO Y EN EL MISMO LUGARDE LA TRANSACCION. LAS TERMINALES DE PUNTO DE VENTA PUEDENINCLUIR DISPOSITIVOS TALES COMO SCANNERS OPTICOS PARA LALECTURA DE CODIGO DE BARRAS O LECTORES DE TARJETASMAGNETICAS.
ESTOS SISTEMAS PUEDEN ESTAR CONECTADOS ON-LINE CON UNCOMPUTADOR CENTRAL O UTILIZAR TERMINALES STAND-ALONE(PROCESADORES LOCALES) O MICROCOMPUTADORES QUE RETIENENLAS TRANSACCIONES POR UN PERIODO DETERMINADO HASTA SU ENVIOAL COMPUTADOR CENTRAL PARA SU PROCESAMIENTO EN BATCH
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 9
TIPOS DE APLICACIONES
SISTEMAS INTEGRADOS DE MANUFACTURA
PROCESAN LOS MOVIMIENTOS DE INVENTARIOS. ESTA ACTIVIDAD PUEDEINCLUIR REGISTRO INTEGRAL DE TRANSACCIONES DE MATERIAS PRIMAS,TRABAJOS EN PROCESO Y PRODUCTOS TERMINADOS, ASI COMOAJUSTES A INVENTARIOS, COMPRAS, VENTAS, CUENTAS POR PAGAR YPOR COBRAR, INGRESO DE MATERIALES Y FACTURACION.
ALGUNOS SISTEMAS INTEGRADOS DE MANUFACTURA PUEDEN INCLUIRPROCEDIMIENTOS Y CONTROLES MANUALES
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 10
TIPOS DE APLICACIONES
INTERCAMBIO ELECTRONICO DE DATOS ( EDI )
TRANSMISION DE DOCUMENTOS EN FORMA LEGIBLE PARA LASMAQUINAS ENTRE DOS ORGANIZACIONES. CON ELLO SE PROMUEVE UNAMBIENTE MAS EFICIENTE SIN LA UTILIZACION DE PAPELES
LAS TRANSACCIONES EDI PUEDEN REEMPLAZAR LA UTILIZACION DEDOCUMENTOS ESTANDARES INCLUYENDO FACTURAS Y ORDENES DECOMPRA, DADO QUE EDI REEMPLAZA LOS PAPELES DEBEINCORPORARSE CONTROLES Y VALIDACIONES ADECUADAS EN ELSISTEMA DE APLICACIÓN PARA QUE SE REALICE TAL COMUNICACIÓN.
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 11
TIPOS DE APLICACIONES
TRANSFERENCIA ELECTRONICA DE FONDOS ( EFT )
ES EL INTERCAMBIO DE DINERO POR MEDIO DE TELECOMUNICACIONES.SE REFIERE CON ESTE TERMINO A CUALQUIER TRANSACCIONFINANCIERA QUE SE ORIGINA EN UNA TERMINAL Y TRANSFIERE UNASUMA DE DINERO DE UNA CUENTA A OTRA
NORMALMENTE LAS TRANSACCIONES SE ORIGINAN EN UNA TERMINAL DEUNA ENTIDAD FINANCIERA O NEGOCIO Y SE TRANSFIERE A OTRATERMINAL DE OTRA ENTIDAD FINANCIERA, REGISTRANDOSE EL IMPORTEEN LAS RESPECTIVAS CUENTAS.
DADO AL ALTO VOLUMEN POTENCIAL DE DINERO A INTERCAMBIAR,ESTOS SISTEMAS ESTAN EN UNA CATEGORIA DE ALTO RIESGO. PORENDE, LA SEGURIDAD DE ACCESO Y LA AUTORIZACION DE LOSPROCESOS SON CONTROLES MUY IMPORTANTES
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 12
TIPOS DE APLICACIONES
AUTOMATIZACION DE OFICINAS
EN LA ACTUALIDAD MUCHAS OFICINAS DISPONEN DE UNA GRANVARIEDAD DE DISPOSITIVOS Y TECNICAS ELECTRONICAS DE AYUDA PARALA REALIZACION DEL NEGOCIO.
LOS PROCESADORES DE TEXTO, HOJAS DE CALCULO AUTOMATIZADAS YEL CORREO ELECTRONICO SE USAN A DIARIO
LAS LAN´S ( REDES DE AREA LOCAL) ENLAZAN CON OTRAS OFICINAS Y AMENUDO PERMITEN EL ACCESO A MAINFRAMES.
AUNQUE MUCHAS LAN´S PUEDEN CONTENER DATOS SENSIBLES, LOSCONTROLES DE ACCESO SUELEN SER DEBILES O INEXISTENTES.
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 13
TIPOS DE APLICACIONES
CAJEROS AUTOMATICOS ( ATM )
ES UNA TERMINAL ESPECIALIZADA DE PUNTO DE VENTA DISEÑADA PARASU UTILIZACION POR LOS CLIENTES DE UNA ENTIDAD BANCARIA.
POR LO GENERAL PERMITEN UNA CANTIDAD DE OPERACIONESBANCARIAS Y DE DEBITO, EN ESPECIAL DEPOSITOS FINANCIEROS YRETIROS DE EFECTIVO.
LOS CAJEROS POR LO GENERAL ESTAN UBICADOS EN AREASCONTROLADAS Y UTILIZAN LINEAS DE TELECOMUNICACIONES SINPROTECCION ESPECIAL PARA LA TRANSMISION DE DATOS. POR LOTANTO, ESTOS SISTEMAS DEBEN POSEER GRANDES NIVELES DESEGURIDAD LOGICA Y FISICA TANTO PARA EL CLIENTE COMO PARA ELMECANISMO.
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 14
CARACTERISTICAS DE LAS APLICACIONES EMPRESARIALES
Fuerte movimiento empresarial hacia la estrategia de Comprar frente a
Desarrollar
Moda de los Sistemas Integrados
Los empleados deben seguir la dirección marcada por las
empresas y ser capaces de reaccionar a dichos cambios con la
misma velocidad con la que se producen.
La alta gerencia juega un papel fundamental en la
implementación de las mismas con el objeto de dar soporte a los
procesos empresariales.
La dirección empresarial puede ahora dictar las reglas de los
procesos empresariales y de los sistemas de TI. asignando súper
usuarios del negocio (usuarios claves) en el equipo del proyecto.
Implementación es un proceso lento y costoso.
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 15
BPCS
BANN
People Soft
Orade Applications
JDEdwards
Dinámica Gerencial
Seven
Kaptus
APLICACIONES EMPRESARIALES
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 16
SISTEMAS ERP – ENTERPRISE RESOURCE PLANNING
“Sistemas de Planeación de Recursos Empresariales”
“Conjunto o grupo de actividades que se tienen que realizar o
desarrollar en un determinado marco temporal, siguiendo un
calendario o programación, un costo planificado y con el
propósito de alcanzar un objetivo o un resultado previamente
establecido para la entera satisfacción de la empresa.'
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 17
CARACTERISTICAS DE UN SISTEMA ERP –ENTERPRISE RESOURCE PLANNING
Arquitectura Cliente – Servidor Multinivel ó Web.
Arquitectura Business Framework (abierta a la total integración conotros componentes y aplicaciones incluyendo Internet)
Interfaces de usuario homogéneas entre aplicaciones
Entorno de desarrollo fácil de entender
Integración de Aplicaciones
Conjunto de soluciones para configurar el Sistema
Amplio rango de Servicios (soporte telefónico, formación, Consultoría,Verificación de Calidad, etc.)
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 18
EXITO DE UN SISTEMA ERP – ENTERPRISE RESOURCE PLANNING
A pesar de ser un paquete estándar, se pueda configurar en múltiplesáreas y adaptar a las necesidades específicas de cualquier Empresa
Son soluciones altamente flexibles y configurables. Capaces de satisfacer la mayoría de las prácticas de negocio y de sus
necesidades de Información. Este tipo de paquetes relega a casos excepcionales el desarrollo de
aplicaciones a la medida. Las Empresas deben invertir parte de su tiempo y de su dinero en
obtener una correcta perspectiva de la ERP antes de comenzar elproyecto.
En su mayoría están orientados a un gran número de industrias:fabricación, Distribución, Químicas, Salud, Servicios públicos,petróleo, comunicaciones, etc..
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
Page 19
3. AUDITORIA A UNA APLICACION EN FUNCIONAMIENTO
Page 20
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
3.1 ENFOQUES DE AUDITORIA
Page 21
ENFOQUES DE AUDITORIAALREDEDOR DEL COMPUTADOR
E S
VS
SE AUDITAN LAS SALIDAS BASADO EN PRUEBAS MANUALES
DEL PROCESO USANDO LAS ENTRADAS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 22
ENFOQUES DE AUDITORIAALREDEDOR DEL COMPUTADOR
CONCENTRA SUS ESFUERZOS EN LA ENTRADA DE DATOS Y
EN LA SALIDA DE INFORMACIÓN. ES EL METODO MÁS
CÓMODO PARA LOS AUDITORES DE SISTEMAS, POR CUANTO
ÚNICAMENTE SE VERIFICA LA EFECTIVIDAD DEL SISTEMA DE
CONTROL INTERNO EN EL AMBIENTE EXTERNO DE LA
MÁQUINA. NATURALMENTE QUE SE EXAMINAN LOS
CONTROLES DESDE EL ORIGEN DE LOS DATOS PARA
PROTEGERLOS DE CUALQUIER TIPO DE RIESGO QUE
ATENTE CONTRA LA INTEGRIDAD, COMPLETITUD,
EXACTITUD Y LEGALIDAD.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 23
ENFOQUES DE AUDITORIAALREDEDOR DEL COMPUTADOR
METODO USADO SIN TENER EN CUENTA LA TECNOLOGIA DE
INFORMATICA USADA ( HARDWARE NI SOFTWARE ).
BASADO EN EFECTUAR PROCESOS DE CRUCE MANUALES (
PUNTEOS ) PARA VERIFICAR LA EXACTITUD DE LA INFORMACIÒN
GENERADA MEDIANTE LA SIMULACIÒN MANUAL DE LAS
OPERACIONES QUE DEBIÒ EFECTUAR EL SISTEMA AUTOMÀTICO
DEFINIDAS EN LAS NORMAS Y ESTANDARES DE LA EMPRESA
PARA ELLO SE TIENEN EN CUENTA LA INFORMACION PRESENTADA
EN LOS INFORMES O REPORTES ENTREGADOS POR EL SISTEMA, LOS
DATOS CAPTURADOS DE LOS DOCUMENTOS FUENTE Y LAS
FORMULAS NECESARIAS PARA GENERAR LOS RESULTADOS.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 24
ENFOQUES DE AUDITORIAA TRAVES DEL COMPUTADOR
ES
SE AUDITAN LAS SALIDAS BASADO EN PRUEBAS AUTOMATICAS
DEL PROCESO, REVISANDO LOS PROGRAMAS Y ARCHIVOS O
BASES DE DATOS DEL SISTEMA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 25
ENFOQUES DE AUDITORIAA TRAVES DEL COMPUTADOR
ESTE ENFOQUE ESTÁ ORIENTADO A EXAMINAR Y EVALUAR
LOS RECURSOS DEL SOFTWARE, Y SURGE COMO
COMPLEMENTO DEL ENFOQUE DE AUDITORÍA ALREDEDOR
DEL COMPUTADOR, EN EL SENTIDO DE QUE SU ACCIÓN VA
DIRIGIDA A EVALUAR EL SISTEMA DE CONTROLES
DISEÑADOS PARA MINIMIZAR LOS FRAUDES Y LOS
ERRORES QUE NORMALMENTE TIENEN ORIGEN EN LOS
PROGRAMAS.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 26
ENFOQUES DE AUDITORIAA TRAVES DEL COMPUTADOR
METODO USADO TENIENDO EN CUENTA LA TECNOLOGIA DE
INFORMATICA USADA ( HARDWARE Y SOFTWARE ).
BASADO EN EFECTUAR PROCESOS DE CRUCE AUTOMATICOS PARA
VERIFICAR LA EXACTITUD DE LA INFORMACIÒN GENERADA MEDIANTE
LA SIMULACIÒN AUTOMATICA DE LAS OPERACIONES QUE DEBIÒ
EFECTUAR EL SISTEMA AUTOMÀTICO DEFINIDAS EN LAS NORMAS Y
ESTANDARES DE LA EMPRESA
PARA ELLO SE TIENEN EN CUENTA LA INFORMACION PRESENTADA EN
LOS INFORMES O REPORTES ENTREGADOS POR EL SISTEMA. LOS
DATOS CAPTURADOS DE LOS DOCUMENTOS FUENTE, LAS FORMULAS
NECESARIAS PARA GENERAR LOS RESULTADOS, EL SOFTWARE
APLICATIVO, LOS ARCHIVOS O BASES DE DATOS DEL APLICATIVO Y
LOS MANUALES TECNICOS Y DE USUARIO DEL MISMO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 27
ENFOQUES DE AUDITORIACON EL COMPUTADOR
E SHARDWARE Y SOFTWARE
DEL AUDITOR
HARDWARE Y SOFTWARE
AUDITADO
RED
SE AUDITAN LAS SALIDAS BASADO EN PRUEBAS AUTOMATICAS DEL
PROCESO, USANDO HARDWARE Y/O SOFTWARE DEL AUDITOR DIFERENTE
AL SOFTWARE DEL SISTEMA EVALUADO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 28
ENFOQUES DE AUDITORIACON EL COMPUTADOR
ESTE ENFOQUE VA DIRIGIDO ESPECIALMENTE, AL EXAMEN Y EVALUACIÓN DE LOS
ARCHIVOS DE DATOS EN MEDIOS MAGNÉTICOS, CON EL AUXILIO DEL COMPUTADOR Y DE
SOFTWARE DE AUDITORÍA GENERALIZADO Y /O A LA MEDIDA. ESTE ENFOQUE ES
RELATIVAMENTE COMPLETO PARA VERIFICAR LA EXISTENCIA, LA INTEGRIDAD Y LA
EXACTITUD DE LOS DATOS, EN GRANDES VOLÚMENES DE TRANSACCIONES.
LA AUDITORÍA CON EL COMPUTADOR ES RELATIVAMENTE FÁCIL DE DESARROLLAR
PORQUE LOS PROGRAMAS DE AUDITORÍA VIENEN DOCUMENTADOS DE TAL MANERA
QUE SE CONVIERTEN EN INSTRUMENTOS DE SENCILLA APLICACIÓN.
EL SOFTWARE DE AUDITORÍA PERMITEN DESARROLLAR OPERACIONES Y PRUEBA,
TALES COMO:
• RECÁLCULOS Y VERIFICACIÓN DE INFORMACIÓN, COMO POR EJEMPLO, RELACIONES
SOBRE NÓMINA, MONTOS DE DEPRECIACIÓN Y ACUMULACIÓN DE INTERESES, ENTRE
OTROS.
• PRESENTACIÓN GRÁFICA DE DATOS SELECCIONADOS.
• SELECCIÓN DE MUESTRAS ESTADÍSTICAS.
• PREPARACIÓN DE ANÁLISIS DE CARTERA POR ANTIGÜEDAD.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 29
ENFOQUES DE AUDITORIACON EL COMPUTADOR
METODO USADO TENIENDO EN CUENTA LA TECNOLOGIA DE INFORMATICA
USADA ( HARDWARE Y SOFTWARE ) Y LA APLICACION DE TAACS ( TECNICAS
DE AUDITORIA ASISTIDAS CON EL COMPUTADOR
BASADO EN EFECTUAR PROCESOS DE CRUCE AUTOMATICOS PARA
VERIFICAR LA EXACTITUD DE LA INFORMACIÒN GENERADA MEDIANTE LA
SIMULACIÒN AUTOMATICA DE LAS OPERACIONES QUE DEBIÒ EFECTUAR EL
SISTEMA AUTOMÀTICO DEFINIDAS EN LAS NORMAS Y ESTANDARES DE LA
EMPRESA, USANDO SOFTWARE Y/0 HARDWARE DE LA AUDITORIA , HECHO A
LA MEDIDA O GENERALIZADO
PARA ELLO SE TIENEN EN CUENTA LA INFORMACION PRESENTADA EN LOS
INFORMES O REPORTES ENTREGADOS POR EL SISTEMA. LOS DATOS
CAPTURADOS DE LOS DOCUMENTOS FUENTE, LAS FORMULAS NECESARIAS
PARA GENERAR LOS RESULTADOS, LOS ARCHIVOS O BASES DE DATOS DEL
APLICATIVO, LOS MANUALES TECNICOS Y DE USUARIO DEL MISMO Y LOS
PROGRAMAS AUTOMATICOS DISEÑADOS POR EL AUDITOR, DESARROLLADOS
USANDO LENGUAJES DE PROGRAMACION DE LA EMPRESA O PAQUETES
GENERALIZADOS DE AUDITORIA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 30
OBJETIVOS DE LA AUDITORIA
LA AUDITORIA A TODOS LOS COMPONENTES DE UNA APLICACION TIENE COMO
OBJETIVOS EVALUAR Y VERIFICAR QUE EL SISTEMA DE APLICACION SATISFAGA
RAZONABLEMETE LAS SIGUIENTES CARACTERISTICAS DE SEGURIDAD Y
EFECTIVIDAD:
LOS CONTROLES ESTABLECIDOS EN EL SOFTWARE Y LOS PROCEDIMIENTOSMANUALES DE LA APLICACION PROTEGEN APROPIADAMENTE A LA EMPRESACONTRA LOS RIESGOS QUE PODRIAN AFECTAR LOS NEGOCIOS O SERVICIOSSOPORTADOS EN ELLA.
LA INFORMACION PRODUCIDA POR LA APLICACION ES CONFIABLE, COMPLETA YOPORTUNA PARA SATISFACER LAS NECESIDADES DE LA EMPRESA.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 31
OBJETIVOS DE LA AUDITORIA
.
LOS DATOS DE ENTRADA A LA APLICACION SON EXACTOS, COMPLETOS YAUTORIZADOS.
SON CONFIABLES LAS RUTINAS DE CALCULO IMPORTANTES EJECUTADAS PORLA APLICACION Y LAS CANTIDADES CALCULADAS SE APLICAN CORRECTAMENTEEN LOS ARCHIVOS DE COMPUTADOR Y EN LOS REGISTROS OFICIALES DE LAEMPRESA.
LA APLICACION DETECTA Y REPORTA LOS ERRORES OBVIOS Y PROPORCIONAADECUADAS PISTAS DE AUDITORIA DE LAS TRANSACCIONES PROCESADAS YAPLICADAS EN LOS REGISTROS OFICIALES DE LA EMPRESA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 32
OBJETIVOS DE LA AUDITORIA
LAS SALIDAS PRODUCIDAS POR LA APLICACION PROPORCIONANINFORMACION EXACTA, COMPLETA, OPORTUNA Y RELEVANTE PARASATISFACER LAS NECESIDADES OPERATIVAS Y ADMINISTRATIVAS DELNEGOCIO
EL PLAN DE CONTINGENCIAS DE LA APLICACION ES APROPIADO PARADAR CONTINUIDAD A LAS OPERACIONES DEL NEGOCIO, EN CASO DEINTERRUPCIONES PROLONGADAS OCASIONADAS POR FALLAS DEHARDWARE, SOFTWARE Y/O POTENCIA ELECTRICA.
ES APROPIADA Y SUFICIENTE LA DOCUMENTACION RELACIONADA CONEL SISTEMA DE APLICACIÓN.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 33
OBJETIVOS DE LA AUDITORIA
LOS PRINCIPIOS DE CONTABILIDAD INCORPORADOS EN LA APLICACION,SON CONSISTENTES CON LAS PRACTICAS DE CONTABILIDADGENERALMENTE ACEPTADAS, LAS POLITICAS DE LA COMPAÑIA Y LOSREQUERIMIENTOS LEGALES.
ES ADECUADA LA DIVISION DE FUNCIONES Y RESPONSABILIDADES ENACTIVIDADES DE LA APLICACION QUE SEAN INCOMPATIBLES DESDE ELPUNTO DE VISTA DE LA SEGURIDAD.
ES ADECUADO EL GRADO DE PARTICIPACION DE LOS USUARIOS EN LASACTIVIDADES DE DISEÑO, DESARROLLO Y PRUEBA DE LOS CAMBIOSAL SISTEMA DE APLICACION
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 34
ESCENARIOS DE RIESGO DE LAS
APLICACIONES
SON AREAS DE VULNERABILIDAD A RIESGOS, EN
LAS QUE SE DIVIDE EL CICLO COMPLETO DE
PROCESAMIENTO DE LOS DATOS, DESDE SU
ORIGEN EN LAS FUENTES DE INFORMACION
HASTA LOS CENTROS DE PROCESAMIENTO Y
DESDE ESTOS HASTA LAS DEPENDENCIAS QUE
UTILIZAN LOS RESULTADOS DE LA APLICACIÓN
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 35
E
P
S
1. ORIGEN Y PREPARACION DE DATOS
2. CAPTURA Y VALIDACION DE DATOS
3. PROCESAMIENTO Y ACTUALIZACION DE DATOS.
4. SALIDAS DE LA ACTUALIZACION.
5. UTILIZACION Y CONTROL DE RESULTADOS
POR LOS USUARIOS
ESCENARIOS DE RIESGO EN APLICACIONES
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 36
E
P
S
ESCENARIOS DE RIESGO EN APLICACIONES
6. SEGURIDAD LOGICA DEL SOFTWARE DE LA APLICACIÓN
7. SEGURIDAD LOGICA DEL LOS ARCHIVOS / BASES DE DATOS
8. CAMBIOS AL SOFTWARE DE LA APLICACION
9. PROCEDIMIENTOS DE BACKUP Y RECUPERACION
10. TERMINALES Y COMUNICACION DE DATOS
11. DOCUMENTACION TECNICA Y DEL USUARIO
12. UTILIZACION Y CONTROL DE RESULTADOS POR LOS USUARIOS
13. SEGURIDAD FISICA DE LAS INSTALACIONES DE COMPUTO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 37
E
P
S
ESCENARIOS DE RIESGO EN APLICACIONES
14. ACCESO A LA BASE DE DATOS A TRAVES DEL
DBMS
15. EL SISTEMA DE DIRECTORIO / DICCIONARIO DE
DATOS ( SD / DD )
16. LA FUNCION DEL ADMINISTRADOR DE LA BASE
DE DATOS ( DBA )
BASES
DE
DATOS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 38
APLICACION
E P S
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 39
ACTIVIDADES A TENER EN CUENTA
POR ESCENARIO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 40
E
P
S
1. ORIGEN Y PREPARACION DE DATOS
2. CAPTURA Y VALIDACION DE DATOS
3. PROCESAMIENTO Y ACTUALIZACION DE DATOS.
4. SALIDAS DE LA ACTUALIZACION.
5. UTILIZACION Y CONTROL DE RESULTADOS
POR LOS USUARIOS
ESCENARIOS DE RIESGO EN APLICACIONES
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 41
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
ORIGEN Y/O PREPARACIÓN DE DATOS
INEFICIENCIAS EN EL PROCESO
ENVIO DE INFORMACION NO AUTORIZADA
ENVIO NO AUTORIZADO DE INFORMACIÓN AUTORIZADA
REVISIONES INEXISTENTES O EXCESIVAS
REMISIÓN ERRADA DE LA INFORMACIÓN
INSTRUCCIONES INSUFICIENTES PARA ENVÍO Y RECEPCIÓN DE INFORMACIÓN
DOCUMENTOS ENMENDADOS, TACHONES, BORRONES
ENVIÓ INOPORTUNO DE LA INFORMACIÓN
INFORMACIÓN FALTANTE O SOBRANTE
INFORMACIÓN SIN CUADRES
INFORMACION SIN REGISTRO DE RECIBO O ENTREGA
PÉRDIDA OE DOCUMENTOS O DE INFORMACIÓN
RETENCION DE DOCUMENTOS O INFORMACIÓN
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 42
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
ORIGEN Y/O PREPARACIÓN DE DATOS
CAMBIO EN LOS DATOS
SUSTRACCIÓN DE DOCUMENTOS
FALTA DE SEGREGACION DE FUNCIONES, PERDIDA DE LA RESPONSABILIDAD
PÉRDIDA DEL RASTRO PARA RECONSTRUIR OPERACIONES
ERRORES EN LOS PROCEDIMIENTOS
ANULACIÓN DE DOCUMENTOS (SELLOS, PERFORACIONES )
AMBIENTE DE CONTROL V SEGURIDAD (ENTORNO): ILUMINACIÓN, UBICACIÓN,
PROTECCIÓN
CONOCIMIENTO CLARO DEL ENVIÓ DE INFORMACIÓN; SITIO. TIEMPO, MEDIO
ORDENAMIENTO/ Y CLASIFICACIÓN DE DOCUMENTOS, ARCHIVO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 43
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
ENTRADA, CAPTURA Y VALIDACION DE DATOS
INFORMACIÓN O DOCUMENTOS NO LEGIBLES
DOCUMENTOS DAÑADOS, DETERIORADOS
DOCUMENTOS NO IDENTIFICADOS
PANTALLA DE CAPTURA NO COINCIDE CON DOCUMENTO FUENTE
ENTRADA DE DATOS POR PERSONAL NO AUTORIZADO
ENTRADA DE DATOS NO AUTORIZADOS
SIN CONTROL LÓGICO DE ACCESO A LOS MÓDULOS DE CAPTURA O DE INFORMACIÓN
PERSONAL NO AUTORIZADO CON CLAVES VALIDAS
TRANSACCIONES U OPERACIONES NO AUTORIZABAS PERO HABILITADAS EN ELSISTEMA
SIN IDENTIFICACIÓN ÚNICA DE LOS OPERADORES O QUIENES INGRESAN LOS DATOS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 44
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
ENTRADA, CAPTURA Y VALIDACION DE DATOS
DESCONOCIMIENTO DE LA FORMA DE INGRESO DE DATOS
DOCUMENTACIÓN INEXISTENTE O INCOMPLETA PARA ENTRADA DE DATOS
SIN INSTRUCCIONES EN CASO DE EMERGENCIA
VALIDACIONES INSUFICIENTES O EXCESIVAS
CONTROLES DE ENTRADA INEFICIENTES
DATOS CRÍTICOS SIN VALIDACIONES
DUPLICACIÓN DE INFORMACIÓN
PÉRDIDA DE INFORMACIÓN CON DETECCIÓN TARDÍA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 45
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
ACTUALIZACION, PROCESAMIENTO Y COMPLEMENTARIOS
IDENTIFICACIÓN DE CONTROLES AUTOMÁTICOS
INICIO INOPORTUNO DE PROCESOS
ACTUALIZACIÓN INOPORTUNA DE LA INFORMACIÓN
OPERACIÓN NO AUTORIZADA DE LOS PROCESOS
SEGURIDAD LÓGICA DEFICIENTEMENTE DEFINIDA O INEXISTENTE
IMPOSIBILIDAD DE IDENTIFICAR LAS TERMINALES O LOS OPERADORES QUE
EFECTUAN MODIFICACIONES
CAPACITACIÓN DEFICIENTE, NULA, INEXISTENTE
DOCUMENTACIÓN DEFICIENTE, NULA, INEXISTENTE, MAL UBICADA
INTERVENCIÓN PERMANENTE DEL OPERADOR EN LOS PROCESOS
ALTA DIGITACIÓN DE PARÁMETROS POR CONSOLA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 46
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
ACTUALIZACION, PROCESAMIENTO Y COMPLEMENTARIOS
LOS PROCESOS NO ENTREGAN MENSAJES DE ERROR
SIN VALIDACIÓN DE LABELS INTERNOS AUTOMÁTICAMENTE
EJECUCIÓN DE PROCESOS NO AUTORIZADOS
EJECUCIÓN CON VERSIONES DESACTUALIZADAS
ACTUALIZACIÓN CON PROGRAMAS NO AUTORIZADOS
EJECUCIÓN EN ORDEN ERRADO DE LOS PROCESOS
ACTUALIZACIÓN SIN CIFRAS DE CONTROL QUE GARANTICEN EL CORRECTO
PROCESAMIENTO
DESATENCIÓN A LOS MENSAJES DE ERROR DEL SISTEMA Y DEL APLICATIVO
NO REVISIÓN DE LAS CIFRAS EMITIDAS POR EL APLICATIVO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 47
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
ACTUALIZACION, PROCESAMIENTO Y COMPLEMENTARIOS
INSTALACION ERRADA DE ARCHIVOS PARA ACTUALIZACION
ESPACIO EN DISCO INSUFICIENTE
CAPACIDAD DE EQUIPO BAJA FRENTE A LA OPORTUNIDAD REQUERIDA Y A LOS
VOLÚMENES
ACCESO NO AUTORIZADO AL ÁREA DONDE SE EJECUTAN LOS PROCESOS DE
ACTUALIZACIÓN
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 48
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
SALIDAS DEL PROCESO
IMPRESIÓN INOPORTUNA DE REPORTES
INFORMACIÓN IMPRESA INCOMPLETA
LISTADOS, MEDIOS MAGNÉTICOS, ARCHIVOS REMITIDOS ERRONEAMENTE
CAPACITACION INADECUADA PARA MANEJAR INFORMACION DE SALIDA
DOCUMENTACION DE INFORMACIÓN DE SALIDA INSUFICIENTE, DEFICIENTE, INCOMPLETA,FALTANTE O NO CLARA
SIN CLARIDAD SOBRE LA OPORTUNIDAD REQUERIDA DE LA INFORMACION POR LOSCLIENTES
SIN IDENTIFICAR PERSONAL QUE RETIRA LA INFORMACIÓN O QUE ACCEDE A ELLA UNA VEZSE PRODUCE
PÉRDIDA DE LISTADOS O MEDIOS MAGNÉTICOS DE SALIDA
PÉRDIDA DE LOS DOCUMENTOS AL ENVIARLOS
ALTERACIÓN, MODIFICACIÓN, CAMBIO DE DOCUMENTOS, LISTADOS, MEDIOS MAGNÉTICOSLUEGO DE PRODUCCIÓN
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 49
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
DESTINATARIOS DE LAS SALIDAS
DETERMINACION DEL GRADO DE UTILIDAD DE LA INFORMACIÓN EN LOS USUARIOS,DEFINICION DE NECESIDADES
DESCONOCIMIENTO DE LOS USUARIOS DE LA INFORMACION
ENVIÓ DE INFORMACIÓN INVALIDA AL USUARIO
ENTREGA DE INFORMACIÓN NO AUTORIZADA AL USUARIO
USUARIOS SIN RECIBIR INFORMACIÓN REQUERIDA
GENERACIÓN DE INFORMACIÓN QUE NO SE REQUIERE
PRODUCIR LA MISMA INFORMACION EN DIFERENTES FORMATOS AL MISMO USUARIOO A DIFERENTES USUARIOS
UTILIZACIÓN DE LISTADOS PARA HACER CAPTURA DE INFORMACIÓN DE OTRASAPLICACIONES
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 50
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
DESTINATARIOS DE LAS SALIDAS
RECIBO INOPORTUNO DE LA INFORMACION POR EL USUARIO
ADAPTACION DEL USUARIO A LAS SALIDAS Y NO AL CONTRARIO
EL USUARIO REQUIERE DE MUCHOS CALCULOS ANTES O DESPUES DEL PROCESO
PRESENTACION PARA LOS USUARIOS NO REQUERIDA
SERVICIOS RECIBIDOS INOPORTUNAMENTE
OBTENCION DEMORADA DE LOS RESULTADOS
EXCESO DE AJUSTES / CORRECCIONES
SOLICITUDES DE CAMBIO ATENDIDAS INOPORTUNAMENTE
DESCONOCIMIENTO DE LOS USUARIOS DE LAS UTILIDADES DISPONIBLES
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 51
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
CAMBIO A LOS PROGRAMAS
MODIFICACIONES, REVISIONES V CAMBIOS AUTORIZADOS
AMBIENTE CONTROLADO, SEGURO
PRUEBAS SUFICIENTES, APROBADAS, PLANEADAS
ESPECIFICACIONES DIFUSAS PARA EJECUTAR UN CAMBIO
CAMBIOS REALIZADOS DIFERENTES A LOS REQUERIDOS
USUARIOS NO PARTICIPAN EN LAS PRUEBAS, NO LAS AUTORIZAN / APRUEBAN
NO SE PRUEBAN TODAS LAS POSIBILIDADES
INEXISTENTE AMBIENTE DE PRUEBAS
MUESTRA DE PRUEBAS NO ES REPRESENTATIVA
NO SE CUANTIFICAN LOS REQUERIMIENTOS DE PERSONAL, EQUIPOS,PROCEDIMIENTOS, INSTRUCCIONES, REQUERIDAS PARA EL CAMBIO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 52
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
CAMBIO A LOS PROGRAMAS
SIN DOCUMENTACION SOBRE ARCHIVOS O PROGRAMAS QUE REQUIEREN SER
CAMBIADOS
NO SE INFORMA LA FECHA DE CAMBIO A TODOS LOS INTERESADOS
USUARIOS SIN INSTRUCCIÓN COMPLETA
OPERADORES Y USUARIOS SIN CAPACITACIÓN PARA EL MANEJO DEL CAMBIO
SIN CLARIDAD SOBRE QUE HACER 81 NO FUNCIONA EL CAMBIO, AFECTANDO LA
CONTINUIDAD DEL SERVICIO
CAMBIOS EFECTUADOS POR FUERA DE LOS ESTÁNDARES
SIN REGISTRAR O DEJAR RASTRO DE LOS CAMBIOS EFECTUADOS
DOCUMENTACIÓN DEFICIENTE O INEXISTENTE SOBRE LOS CAMBIOS REALIZADOS
SIN CLARIDAD SOBRE A DONDE DISTRIBUIR LOS CAMBIOS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 53
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
CAMBIO A LOS PROGRAMAS
DEFICIENCIA EN PROCEDIMIENTOS DE INSTALACIÓN DE CAMBIOS
DEJAR DE DOCUMENTAR O DE ARCHIVAR LAS VERSIONES ANTERIORES SOBRE EL
USO CORRESPONDIENTE
CAMBIO REALIZADO SIN EL SOPORTE CORRESPONDIENTE
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 54
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
TERMINALES / PCS/ DISPOSITIVOS MOVILES
SEGURIDADES FÍSICAS Y LÓGICAS
PROTECCIÓN DE LA INFORMACIÓN A TRAVÉS DEL APLICATIVO
ASEGURAR: EXACTITUD, PRIVACIDAD, INTEGRIDAD, COMPLETITUD
ACCESOS NO AUTORIZADOS A LAS TERMINALES
SIN REGISTRO DE ACCESO A LAS APLICACIONES
FALTA DEFINICIÓN DE NIVELES DE ACCESO A LA INFORMACIÓN MANEJADA POR ELAPLICATIVO
IMPOSIBILIDAD DE CONSULTAR LOS RASTROS DEJADOS
INCAPACIDAD DE LA APLICACIÓN DE CRECER EN TERMINALES
INFLEXIBILIDAD DE LA APLICACIÓN FRENTE A CAMBIOS EN LAS TERMINALES
SIN CONTROL DE TIMEOUT
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 55
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
TRANSMISION / COMUNICACIÓN DE DATOS
CONTROL DE LA APLICACIÓN SOBRE LA INFORMACION RECIBIDA O TRANSMITIDA
INTERFERENCIA DE LINEAS
CAÍDAS DE LINEA RETRANSMISIÓN AUTOMÁTICA
PÉRDIDA DE ARCHIVOS
TIEMPOS DE TRANSMISIÓN
CONTROL DE INFORMACIÓN ENVIADA Y RECIBIDA VERIFICACIÓN AUTOMÁTICA DE
TOTALES
REPETICIÓN DE TRANSMISIONES, PUNTO DE REINICIO
MONI TOREO A LAS COMUNICACIONES
VERIFICACION ESTADOS DE LINEA Y FUNCIONAMIENTO DE APLICATIVOS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 56
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
SEGURIDAD Y ACCESO A LOS ARCHIVOS DEL APLICATIVO
RIESGOS POTENCIALES DE FRAUDE POR MANIPULACIÓN DE ARCHIVOS RESIDENTES
EN EL COMPUTADOR O MEDIOS DE ALMACENAMIENTO EXTERNO
CONTROL DE ACCESO FÍSICO O LÓGICO DEFICIENTE
SIN SEGREGACIÓN DE FUNCIONES PARA MODIFICACIÓN Y CUSTODIA
ARCHIVOS FÁCILES DE CONSULTAR CON UTILITARIOS
SIN RESTRINGIR EL USO DE UTILITARIOS
DOCUMENTACIÓN DE ESTRUCTURAS DE ARCHIVOS NO RESTRINGIDA
BACKUPS EN SITIOS INSEGUROS, ACCESO INDISCRIMINADO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 57
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
RESPALDO SOPORTE Y RECUPERACION
RESTABLECER EL SISTEMA EN CASO DE INTERRUPCIONES
SIN BACKUPS DE PROGRAMAS Y DE ARCHIVOS
EFECTUAR MODIFICACIONES A LAS COPIAS LUEGO DE LOS CAMBIOS
BACKUPS EN SITIOS EN SITIOS DIFERENTES AL DEL PROCESO NORMAL
LAS COPIAS DE LOS ARCHIVOS NO PERMITEN RECONSTRUIR LA OPERACIÓN
NO SE PUEDEN UTILIZAR LAS COPIAS EXISTENTES POR DAÑOS O POR SECUENCIAS
ERRADAS
SIN DETERMINAR LOS PERIODOS DE RETENCION POR PARTE DE LOS USUARIOS
SIN INSTRUCCIONES DE COMO EFECTUAR LOS BACKUPS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 58
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
RESPALDO SOPORTE Y RECUPERACION
EL PROCESO NO TIENE PUNTO DE REINIC1O O SON DESCONOCIDOS POR LOS
OPERADORES
SIN INSTRUCCIONES DE QUE HACER AL PRESENTAR FALLAS EL PROCESO DE
EJECUCIÓN DE COPIAS
LABELS DE COPIAS ILEGIBLES O SIN ESTÁNDARES
MARCAR ERRADAMENTE LAS COPIAS DE RESPALDO
SIN PROCEDIMIENTO PARA USAR LAS COPIAS DE RESPALDO
SIN PLAN DE CONTINGENCIA
SIN ACCESO RESTRINGIDO DONDE ESTÁN LAS COPIAS
SIN EVALUACIÓN DE ARCHIVOS A CONSERVAR Y PERIODOS DE RETENCIÓN
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 59
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
PISTAS ADMINISTRATIVAS Y DE AUDITABILIDAD
EVALUACIÓN PARA DETERMINAR SI ES POSIBLE RECONSTRUIR UNA OPERACIÓN
IDENTIFICACIÓN DE RESPONSABILIDADES
POSIBILIDAD DE RECONSTRUIR LO OCURRIDO
ENTENDIMIENTO DE LO OCURRIDO, QUIENES, CUANDO, DONDE
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
Page 60
GUIAS DE AUDITORIA
* El Propósito de las Guías de Auditoria es suministrar una
estructura simple para auditar los controles
* Las Guías de Auditoria son Genéricas y de alto nivel en
estructura
* Las Guías no pretenden ser una herramienta para crear el
plan de auditoria completo
* Permiten al Auditor revisar los Procesos contra los Objetivos de
Control
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
Page 61
CAPTURA DE DATOS
VERIFICACIÓN DEL REGISTRO DE DATOS
DÍGITO DE CONTROL
RESTRICCIÓN DE ACCESO A LOS DISPOSITIVOS
CONTROL DE DOCUMENTOS FUENTES
CONTROL DE DOCUMENTOS NEGOCIABLES
MANUAL DE PROCEDIMIENTOS
ENTRENAMIENTO DEL PERSONAL
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
Page 62
COMUNICACION DE DATOS
CÓDIGO DE IDENTIFICACIÓN ELECTRÓNICA
SEGURIDAD PARA EQUIPOS TELEFÓNICOS
LOG DE CONTROL DEL SISTEMA DE COMUNICACIÓN
MODEM DE APLICACIONES MÚLTIPLES
LOG DE REGISTRO DE ERRORES
DOCUMENTACIÓN COMPRENSIBLE DEL SISTEMA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
Page 63
PROCESAMIENTO DE DATOS
CÓDIGO DE TRANSACCIONES
VERIFICACIÓN DE SECUENCIAS
MANUALES DE OPERACIÓN
CLAVES DE SEGURIDAD
RECHAZO DE TRANSACCIONES E INCONSISTENTES
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
Page 64
SALIDA DE INFORMACION
SUFICIENCIA Y PERTINENCIA
CONCILIAR TOTALES DE SALIDA
IDENTIFICACION DE INFORMES
DISTRIBUCIÓN DE INFORMES
CONTROL Y CUSTODIA DE INFORMES
LOG| DE AUDITORIA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
Page 65
SISTEMAS DISTRIBUIDOS
LOCALIZACION DE LOS EQUIPOS
TIPO DE RED UTILIZADA
CAPACIDAD DE ALMACENAMIENTO DE LOS EQUIPOS
LOG DE LAS TERMINALES
SEGURIDAD FISICA DE LOS EQUIPOS
CONTRATOS DE ASEGURAMIENTO
TRABAJO EN LINEA
CLAVES DE ACCESO A LAS TERMINALES
PLAN DA CONTINGENCIA
PROCEDIMIENTOS PARA CORRECCIÓN DE ERRORES
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
Page 66
SISTEMAS OPERACIONALES
IDENTIFICACIÓN DEL SISTEMA OPERACLONAL
CONTROL DE ACCESO A LOS UTILITARIOS
LOG DE REGISTRO DE PROBLEMAS DEL SOFTWARE
DEFINICIÓN DE INTERFASES
CONTROL DE FECHA Y HORA DEL SISTEMA
DOCUMENTACIÓN DEL SISTEMA OPERATIVO
ALMACENAMIENTO CRIPTOGRÁFICO
RESTRICCIÓN A LOS PROGRAMADORES
MANTENIMIENTO DEL SISTEMA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
Page 67
METODOLOGIA DE AUDITORIA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO METODOLOGIA DE AUDITORIA
Page 68
1. FAMILIARIZACION CON EL AMBIENTE TECNICO Y OPERATIVO DELA APLICACIÓN
A. IDENTIFICACION DE AREAS FUNCIONALES DE LA EMPRESA QUE PARTICIPAN EN EL
MANEJO DE LA APLICACION
B. IDENTIFICAR LOS PROCESOS (TAREAS O SUBPROCESOS) QUE SE EJECUTAN EN LA
OPERACIÓN DE LA APLICACIÓN ( MANUALES Y AUTOMATICOS )
C. ELABORAR MATRICES DE DEPENDENCIAS VS. PROCESOS
D. IDENTIFICAR LAS PERSONAS CLAVES EN EL CICLO DE OPERACION DE LA
APLICACION EN CADA DEPENDENCIA
E. INVENTARIO DE DOCUMENTOS FUENTE Y OTROS MEDIOS DE ENTRADA DE DATOS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO METODOLOGIA DE AUDITORIA
Page 69
1. FAMILIARIZACION CON EL AMBIENTE TECNICO Y OPERATIVO DE LAAPLICACIÓN
F. DESCRIPCION DEL DISEÑO DE ARCHIVOS DE ENTRADA / SALIDA Y DE TABLAS UTILIZADAS
POR LA APLICACION
G. INVENTARIO DE INFORMES QUE PRODUCE Y DESTINATARIOS DE LOS MISMOS
H. NORMAS LEGALES E INSTITUCIONALES QUE RIGEN EL FUNCIONAMIENTO DE LA
APLICACION
I. INTERFASES DE LA APLICACION CON OTROS SISTEMAS
J. FUNCIONES U OPERACIONES DE NEGOCIO QUE EJECUTA LA PORCION AUTOMATIZADA
DE LA APLICACION
K. INVENTARIOS DE MANUALES DE DOCUMENTACION EXISTENTE
L. INFORMACION SOBRE FRAUDES Y OTROS ANTECEDENTES DE LA APLICACION
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO METODOLOGIA DE AUDITORIA
Page 70
2. ANALISIS DE RIESGOS
3. DISEÑO Y EJECUCION DE PRUEBA
4. DOCUMENTACION DE HALLAZGOS E INFORMES
5. SEGUIMIENTO A LAS RECOMENDACIONES
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO METODOLOGIA DE AUDITORIA
Page 71
TECNICAS DE AUDITORIA Y EVALUACION
APROPIADAS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 72
ALGUNAS TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR}
A. TECNICAS PARA PROBAR LOS CONTROLES EN
SISTEMAS DE APLICACION
- METODO DE LOS DATOS DE PRUEBA ()
- CASO BASE
- OPERACION PARALELA
- FACILIDAD DE LA PRUEBA INTEGRADA ( ITF ) ()
- SIMULACION PARALELA ()
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 73
ALGUNAS TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR
B. TECNICAS PARA SELECCIONAR Y MONITOREAR
TRANSACCIONES
SELECCION DE TRANSACCIONES DE ENTRADA
MODULOS DE AUDITORIA ENCAJADOS EN LOS SISTEMAS
REGISTROS EXTENDIDOS ()
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 74
ALGUNAS TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR
C. TECNICAS PARA ANALIZAR PROGRAMAS DE
APLICACION
SNAPSHOT ()
MAPPING
TRACING ()
TAGGING ()
FLUJOGRAMAS DE CONTROL
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 75
DATOS DE PRUEBA
ESTA TECNICA CONSISTE EN EJECUTAR LOS PROGRAMAS
DE LA APLICACION QUE ESTEN EN PRODUCCION CON UN
PAQUETE DE DATOS DE PRUEBA ( TEST DECK )
ESPECIALMENTE PREPARADOS POR EL AUDITOR PARA
PROBAR LA EXACTITUD DEL PROCESAMIENTO Y LOS
CONTROLES INCORPORADOS EN EL SOFTWARE DE LA
APLICACION.
ES EL METODO DE PRUEBA MAS FACIL DE APLICAR Y UNO
DE LOS MAS EFECTIVOS PARA VERIFICAR EL
FUNCIONAMIENTO CORRECTO DE LOS PROGRAMAS DE
LAS APLICACIONES.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 76
DATOS DE PRUEBA
EL PAQUETE DE DATOS DE PRUEBA QUE SE PREPARE LA
PRIMERA VEZ, PUEDE SER REUTILIZADO
POSTERIORMENTE PARA HACER SEGUIMIENTOS Y EN LOS
SIGUIENTES AUDITAJES DE LA APLICACION.
SIRVE PARA :
••CONOCER LA LOGICA DE PROCESAMIENTO DE LA
APLICACION.
••VERIFICAR LA EXACTITUD DE LOS CALCULOS
EFECTUADOS POR LOS PROGRAMAS DE APLICACION.
••OBTENER EVIDENCIA DE LOS CONTROLES
IMPLANTADOS DENTRO DE LOS PROGRAMAS DE LAS
APLICACIONES QUE ESTEN EN PRODUCCION.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 77
FACILIDAD DE LA PRUEBA INTEGRADA - ITF
ES UNA SOFISTICACION DEL METODO DE DATOS DE PRUEBA.
EN VEZ DE REALIZAR LA CORRIDA DE PRUEBA EN FORMA
SEPARADA DE LA DE PRODUCCION, SE INTEGRAN LOS ODS
PROCESOS, EL DEL AUDITOR Y EL DE PRODUCCION NORMAL.
LOS DATOS DE PRUEBA ELABORADOS POR EL AUDITOR SE
MEZCLAN CON LOS DATOS OFICIALES DE LA EMPRESA Y SE
PROCESAN JUNTOS EN UNA MISMA CORRIDA UTILIZANDO EL
AMBIENTE DE PRODUCCION NORMAL.
PARA NO ALTERAR LOS RESULTADOS OFICIALES DE LA
EMPRESA CON LOS DATOS DEL AUDITOR, SE UTILIZA UNA
"ENTIDAD FICTICIA" DENTRO DE LOS ARCHIVOS DE LA
APLICACION, A DONDE VAN A PARAR LOS RESULTADOS DEL
AUDITOR.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 78
FACILIDAD DE LA PRUEBA INTEGRADA - ITF
SE DENOMINA INTEGRADA PORQUE LOS DATOS DE PRUEBAELABORADOS POR EL AUDITOR, SE PROCESAN JUNTO CONLAS TRANSACCIONES REALES DE PRODUCCION.
LOS REGISTROS MAESTROS DE AUDITORIA RESIDEN EN LOS
ARCHIVOS NORMALES DE LA APLICACION, EN UNA ENTIDAD
FICTICIA QUE ES PARTE DE LA ESTRUCTURA
ORGANIZACIONAL DE LA APLICACION
LAS PRUEBAS DE AUDITORIA PUEDEN SER REALKIZADAS EN
EL CICLO NORMAL DE PROCESAMIENTO.
SIRVE PARA:
EXAMINAR EL PROCESAMIENTO DE UNA APLICACION EN SU
AMBIENTE DE OPERACION NORMAL O REGULAR DE
PRODUCCION.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 79
REGISTROS EXTENDIDOS
ESTA TECNICA RECOGE ( SELECCIONA ), POR MEDIO DE UNOO MAS PROGRAMAS ESPECIALES, TODOS LOS DATOSSIGNIFICATIVOS QUE HAN AFECTADO EL PROCESAMIENTO DEUNA TRANSACCION INDIVIDUAL DENTRO DE UNA APLICACIONCOMPUTARIZADA EN PARTICULAR.
ESTO INCLUYE LA ACUMULACION DENTRO DE UN UNICOREGISTRO DE LOS RESULTADOS DEL PROCESAMIENTOSOBRE EL MISMO PERIODO DE TIEMPO REQUERIDO PARA ELPROCESAMIENTO COMPLETO DE LA TRANSACCION.
EL REGISTRO EXTENDIDO INCLUYE DATOS DE TODOS LOSSISTEMAS DE APLICACION DE COMPUTADOR QUECONTRIBUYERON AL PROCESAMIENTO DE UNATRANSACCION.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 80
REGISTROS EXTENDIDOS
LOS REGISTROS EXTENDIDOS SON COMPILADOS DENTRODE ARCHIVOS QUE PROPORCIONAN UNA FUENTECONVENIENTEMENTE ACCESIBLE PARA LOS ADTOS DELAS TRANSACCIONES.
ESTA TECNICA ES INSTALADA POR EL PERSONAL DESISTEMAS.
ES ENCAJADA DENTRO DEL SISTEMA DE APLICACION.
PROPORCIONA UNA PISTA DE AUDITORIA COMPLETA PARACADA TRANSACCION APLICABLE A TODOS LOS SISTEMASDE APLICACION
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 81
SIMULACION PARALELA
RECIBE SU NOMBRE DEL HECHO DE QUE EL AUDITOR PUEDECREAR UN NUEVO JUEGO DE PROGRAMAS DE APLICACIONQUE PROCESEN INFORMACION EN PARALELO CON LOSPROGRAMAS DE PROCESAMIENTO REALES ( PROTOTIPO ).
EL TERMINO SIMULACION SE DA YA QUE LOS PROGRAMASDISEÑADOS POR EL AUDITOR EFECTUAN LAS MISMASFUNCIONES DE PROCESAMIENTO QUE LOS PROGRAMAS DELA APLICACION NORMALES, PERO A TRAVES DE DIFERENTESCAMINOS, PERO NO NECESARIAMENTE SE PROCESAN ALMISMO TIEMPO.
NO SE NECESITA REPRODUCIR INTEGRAMENTE LAAPLICACION, SINO NOLAMENTE LAS FUNCIONES QUE SEANRELEVANTES PARA EL AUDITOR.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 82
SIMULACION PARALELA
ESTA TECNICA PERMITE VERIFICAR Y EVALUAR :
•• EL PROCESAMIENTO DE CONTROL Y DE VALIDACION DEENTRADAS.
•• LOS CALCULOS Y LA LOGICA DEL PROCESAMIENTO.
••LA LOGICA DE ACTUALIZACION DE ARCHIVOS MAESTROS.
• LOS CONTROLES Y PROCEDIMIENTOS DE BALANCEO DECIFRAS.
LOS PROGRAMAS DE SIMULACION LEEN LOS MISMOS DATOSDE ENTRADA QUE LOS PROGRAMAS DE LA APLICACION,UTILIZAN LOS MISMOS ARCHIVOS Y TRATAN DE PRODUCIRLOS MISMOS RESULTADOS .
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 83
TAGGING - TRACING - SNAPHOT
ES UNA FORMA DE PISTA DE LAS TRANSACCIONES, QUE SEESTIPULA UNICAMENTE PARA LOS DATOS DE ENTRADASELECCIONADOS, LOS CUALES LLEVAN UNA CLAVEESPECIAL.
ESTE SISTEMA ES USADO GENERALMENTE PARA GRANDESVOLUMENES DE INFORMACION EN QUE LA PISTA COMPLETADE TODAS LAS TRANSACCIONES DE ENTRADA GENERARIAUN EXCESO DE INFORMACION NO UTILIZABLE.
SI ESTAS FUNCIONES SE IMPLANTAN POR ANTICIPADO EN ELSISTEMA DE APLICACION, PUEDE AÑADIRSE UNA CLAVEESPECIAL A CUALQUIER TRANSACCION DE ENTRADA PARAGENERAR UNA PISTA IMPRESA DE ESA PARTIDA ESPECIFICA,SIGUIENDO CADA PASO DEL PROCESAMIENTO DE LAAPLICACION.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 84
TAGGING - TRACING - SNAPHOT
CON LA APLICACION DE RUTINAS DE MARCACION YSEGUIMIENTO ( TAGGING Y TRACING ) EN LA LOGICA DEPROGRAMACION, TODA TRANSACCION Y SUINFORMACION RELACIONADA PUEDE SEGUIRSE A TRAVESDEL SISTEMA Y CONOCER SU ESTADO DONDE SE QUIERAMEDIANTE SNAPHOT.
A MEDIDA QUE SE EJECUTA CADA ETAPA, SE MUESTRA LAINTERACCION DE LAS TRANSACCIONES SELECCIONADASCON LA DEMAS INFORMACION Y CON LAS PRUEBASRELACIONADAS.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 85
COMPARACION DE CODIGOS
CONSISTE EN COMPARAR COPIAS DE DOS (2) VERSIONESCONSECUTIVAS DE LA CODIFICACION DE LOSPROGRAMAS DE UNA APLICACION.
SU OBJETIVO ES VERIFICAR SI SE ESTAN SIGUIENDOCORRECTAMENTE LOS PROCEDIMIENTOS DEMANTENIMIENTO Y CAMBIO DE PROGRAMAS Y DELIBRERIAS DE PROGRAMAS.
GENERALMENTE ESTA TECNICA ES UTILIZADA PARACOMPARAR UNA COPIA QUE ESTA BAJO EL CONTROL DELAUDITOR CON LA VERSION DEL PROGRAMA EN USOACTUALMENTE EN EL PROCESAMIENTO DE DATOS.
ESTA TECNICA SIRVE PARA PRUEBAS DE CUMPLIMIENTOMAS QUE PARA PRUEBAS SUSTANTIVAS.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 86
COMPARACION DE CODIGOS
ES ESPECIALMENTE UTIL PARA PROGRAMAS QUEEJECUTAN FUNCIONES CRITICAS DE LOS NEGOCIOS YESTAN SUJETAS A CAMBIOS CONTINUOS ( SENSITIVOS ).
NINGUNA EVIDENCIA PRODUCTO DE ESTA TECNICAPROPORCIONA INFORMACION SOBRE LA EFICIENCIA DELOS PROGRAMAS DE APLICACION Y LA CONFIABILIDADDE LOS ARCHIVOS DE DATOS QUE PROCESA.
SE PUEDE REALIZAR EN FORMA MANUAL COMOAUTOMATICA
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 87
SOFTWARE A LA MEDIDA
EL SOFTWARE A LA MEDIDA TAMBIEN DENOMINADOPROGRAMAS ESPECIALIZADOS DE AUDITORIA SON ESCRITOSPARA EJECUTAR TAREAS ESPECILAES DE AUDITORIA ENCIRCUNSTANCIAS ESPECIFICAS.
LOS PROGRAMAS ESTAN ESCRITOS PARA O POR EL AUDITOREN UN LENGUAJE DE PROGRAMACION .
EL DESARROLLO Y USO DE PROGRAMAS ESPECIALIZADOSDE AUDITORIA ES USUALMENTE MAS DIFICIL QUE ELUTILIZADO EN UN PAQUETE GENERALIZADO DE AUDITORIA,PUES REQUIERE DEL AUDITOR UNA MAYOR HABILIDADTECNICA.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 88
SOFTWARE A LA MEDIDA
EL AUDITOR DEBE DEFINIR LOS OBJETIVOS DELPROGRAMA Y CUANDO SEA NECESARIO, PROVEEER ELFLUJO DE LA LOGICA DEL PROGRAMA, LO MISMO QUEANTICIPAR Y CONTROLAR LA PRUEBA Y EJECUCION DELPROGRAMA.
SI EL PERSONAL DE SISTEMAS DE LA EMPRESA ESCRIBEEL PROGRAMA, EL AUDITOR NO DEBE SOLAMENTEDETERMINAR QUE EL PROGRAMA ESTA DIRIGIDO A LOSOBJETIVOS DE LA AUDITORIA, SINO TAMBIEN QUE NO HAYUN CODIGO ADICIONAL INTRODUCIDO EN EL PROGRAMAQUE PUEDA ALTERAR LOS RESULTADOS DELPROCESAMIENTO.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 89
SOFTWARE A LA MEDIDA
TAMBIEN DEBE CONSIDERAR LOS CONTROLESGENERALES Y EJECUTAR LAS PRUEBAS QUE CONSIDEREAPROPIADAS A LAS CIRCUNSTANCIAS. ADEMAS, DEBECONSIDERAR LA REVISION DE LA LOGICA DEL PROGRAMAY CONTROLAR LA COMPILACION ASI COMO LA PRUEBA YPROCESAMIENTO DEL PROGRAMA.
SOLAMENTE DESPUES QUE EL AUDITOR ESTESATISFECHO QUE EL PROGRAMA ESPECIALIZADO DEAUDITORIA EJECUTA LAS FUNCIONES DESEADAS DEAUDITORIA Y QUE SU PROCESAMIENTO ESTACONTROLADO, DEBE ACEPTAR SUS RESULTADOS.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 90
SOFTWARE ( PAQUETE ) GENERALIZADO DE AUDITORIA
ES UNA HERRAMIENTA DE AUDITORIA CONSISTENTE ENPAQUETES ( DE USO COMERCIAL ) DISEÑADOS ENLENGUAJES DE PROGRAMACION ESPECIALIZADOS, QUETIENEN LA CAPACIDAD DE PROCESAR ARCHIVOS,CONTROLADOS POR PARAMETROS DE ENTRADADEFINIDOS POR EL AUDITOR Y CUYO OBJETIVO ESSATISFACER SUS NECESIDADES.
EXISTE SOFTWARE GENERALIZADO DE AUDITORIA DE DOSTIPOS:
• PREPROCESADORES O GENERADORES DEPROGRAMAS ( EN UN LENGUAJE )
• MACROLENGUAJES O INTERPRETADORES.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 91
SOFTWARE ( PAQUETE ) GENERALIZADO DE AUDITORIA
NO PERMITEN MODIFICAR LOS ARCHIVOS DE ENTRADA,SINO SOLAMENTE CONSULTARLOS PARA EXTRAER LAINFORMACION QUE REQUIERA EL AUDITOR.
CON BASE EN EL PAQUETE, SE GENERAN PROGRAMAS DECOMPUTADOR, CON CAPACIDAD DE PROCESARARCHIVOS DE DATOS DE ACUERDO A LOS PARAMETROSDE ENTRADA PROPORCIONADOS POR EL AUDITOR.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 92
SOFTWARE ( PAQUETE ) GENERALIZADO DE AUDITORIA
EL AUDITOR ESTRUCTURA SU PROGRAMA,CONSIDERANDO LOS DATOS DE ENTRADA ( LOS ARCHIVOSDEL SISTEMA A AUDITAR ), LOS PROCEDIMIENTOS A UTILIZAR( DE ACUERDO AL OBJETO DE LA AUDITORIA ) Y LOSREBULTADOS ESPERADOS O REPORTES REQUERIDOS.UTILIZANDO LAS INSTRUCCIONES DEL LENGUAJE DEPROGRAMACION ESPECIALIZADO ( SOFTWAREGENERALIZADO DE AUDITORIA ) DISEÑA SU PROGRAMA DEAUDITORÍA.
ESTE SOFTWARE GENERALIZADO PUEDE SER USADO PARAEL DISEÑO Y APLICACION DE OTRAS TECNICAS DEAUDITORIA DE SISTEMAS, YA QUE FACILITA LAPROGRAMACION SI SE CONOCE EL MANEJO Y OPERATIVIDADDEL PAQUETE.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
Page 93
SOFTWARE ( PAQUETE ) GENERALIZADO DE AUDITORIA
EL USO DE ESTE SOFTWARE PERMITE REALIZAR PRUEBASMAS DETALLADAS, YA QUE EL AUDITOR NO SE LIMITA A UNAMUESTRA MINIMA DE DATOS, SINO EN MUCHOS CASOS ATODOS LOS DATOS QUE CONTIENEN LOS ARCHIVOS DE LAAPLICACION.
EL COSTO SERIA MINIMO COMPARADO CON EL QUE SEINCURRIRA USANDO LENGUAJES DE PROGRAMACIONCONVENCIONALES.
EL COMPUTADOR SE USA DIRECTAMENTE PARA EFECTUARFUNCIONES DE AUDITORIA; POR LO TANTO, EL USO DEPROGRAMAS DE OPERACION DE AUDITORIA DE PROPOSITOGENERAL, EN DONDE QUIERA QUE SE APLIQUE,NORMALMENTE DA COMO RESULTADO QUE LAS PRUEBAS SEEFECTUEN EN MENOS TIEMPO DEL PERSONAL Y A UN COSTOMAS BAJO DE LO QUE SERIA POSIBLE SI SE UTILIZAN OTRASTECNICAS.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA