AUDITORIA Y SEGURIDAD INFORMÁTICA LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
DEFINICIONES DE SISTEMA DE APLICACION EN LA DECLARACION Nro 2 SOBRE LOS ESTANDARES DE AUDITORIA DE SISTEMAS DE INFORMACION EMITIDOS POR ISACA (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION ), SE DEFINE UN SISTEMA DE APLICACION ASI:
“UN GRUPO INTEGRADO DE PROGRAMAS DE COMPUTADOR PARA REALIZAR UNA FUNCION PARTICULAR QUE TIENE ACTIVIDADES DE ENTRADA DE DATOS (INPUT), PROCESA MIENTO Y SALIDA ( OUTPUT)” DESDE EL PUNTO DE VISTA PRACTICO, UN SISTEMA DE APLICACION SE DEFINE COMO :
“UN CONJUNTO DE PROCEDIMIENTOS MANUALES Y AUTOMATIZADOS QUE SE UTILIZAN PARA MANEJAR EN FORMA ESTANDARIZADA, LOS DATOS Y LA INFORMACION DE UNO O MAS NEGOCIOS (O SERVICIOS) DE LA EMPRESA CON AYUDA DEL COMPUTADOR”
Page 2
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
COMPONENTES DE LOS SISTEMA DE APLICACIÓN COMPONENTES EXCLUSIVOS ò ò ò ò ò ò
SOFTWARE APLICATIVO ARCHIVOS Y/O BASES DE DATOS LISTADOS, INFORMES O REPORTES DOCUMENTOS FUENTE NORMAS Y PROCEDIMIENTOS QUE RIGEN EL FUNCIONAMIENTO DE LOS NEGOCIOS Y SERVICIOS QUE SE SOPORTAN EN LA APLICACIONES MANUALES TECNICO Y DEL USUARIO DEL SISTEMA
COMPONENTES COMPARTIDOS CON OTRAS APLICACIONES è è è è è
SOFTWARE DE UTILIDAD COMUN ( AMBIENTAL O DE SOPORTE ) HARDWARE ARCHIVOS Y BASES DE DATOS COMUNES PARA VARIAS APLICACIONES INSTALACIONES DE COMPUTO Y PRESTACION DE SERVICIOS PERSONAL TECNICO DE SISTEMAS
Page 3
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
FINALIDAD DE UNA APLICACIÓN INFORMATICA ò REGISTRAR FIELMENTE LA INFORMACIÓN EN TORNO A LAS OPERACIONES LLEVADAS A CABO POR DETERMINADA ORGANIZACIÓN ò CALIDAD EN LOS PROCESOS DE VALIDACIÓN, CÁLCULO, ALMACENAMIENTO, OPERACIÓN Y EDICIÓN A PARTIR DE LA INFORMACIÓN REGISTRADA ò RESPUESTA OPORTUNA E INTEGRA A CONSULTAS DE TODO TIPO SOBRE LA INFORMACIÓN ALMACENADA PARA DAR COBERTURA A LAS NECESIDADES MÁS COMUNES CONSTATADAS ò GENERAR Y PRESENTAR INFORMACIÓN PARA CUALQUIER FINALIDAD DE INTERÉS EN LA ORGANIZACIÓN
Page 4
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
DE ACUERDO CON SU FUNCIONALIDAD COMERCIALES: NÓMINA, INVENTAMOS, CAJA., FACTURACIÓN. CDT´S, AHORROS, CUENTAS CORRIENTES Y DE AHORRO, ETC. CIENTÍFICAS: INFORMACIÓN SOBRE INVESTIGACIONES. SISTEMAS EXPERTOS.
EDUCATIVAS: ENCICLOPEDIAS, DIFUSIÓN DEL CONOCIMIENTO. SOPORTE MULTIFUNCIONAL: (PAQUETES DE UTILIDAD) HOJAS ELECTRONICAS, PROCESADORES DE TEXTO, GRÁFICADORES, AUTOEDICION. DIVERSOS SECTORES: MANUFACTURA, FINANCIERO, EDUCATIVO, AEROVÍAS, HOTELERIA
Page 5
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
OTRO TIPO DE CLASIFICACION FORMA DE ADQUISICIÓN: COMPRADAS, DESARROLLADAS, ARRENDADAS. UBICACIÓN DEL SOFTWARE: CENTRALIZADAS, DESCENTRALIZADAS, CLIENTE – SERVIDOR, DISTRIBUIDAS, WEB TIPO DE HARDWARE USADO: MICROS INDEPENDIENTES, WORKSTATIONS, MICROCOMPUTADORES , MAINFRAME ESTRUCTURA DE PROGRAMACIÓN; ORIENTADA A OBJETOS, LENGUAJES DE CUARTA GENERACION, AMBIENTES GRÁFICOS
Page 6
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
SISTEMA DE INFORMACION Un conjunto de componentes que interactúan ENTRE si para que la Empresa pueda alcanzar los objetivos satisfactoriamente CONTROL PROCESO ENTRADAS
SALIDAS • Datos / información • Aplicaciones • Plataformas • Instalaciones • Talento Humano
CONTROL = Normas y Reglas
Page 7
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
TIPOS DE APLICACIONES SISTEMAS DE PUNTO DE VENTA ( POS) PERMITEN CAPTURAR DATOS AL MOMENTO MISMO Y EN EL MISMO LUGAR DE LA TRANSACCION. LAS TERMINALES DE PUNTO DE VENTA PUEDEN INCLUIR DISPOSITIVOS TALES COMO SCANNERS OPTICOS PARA LA LECTURA DE CODIGO DE BARRAS O LECTORES DE TARJETAS MAGNETICAS. ESTOS SISTEMAS PUEDEN ESTAR CONECTADOS ON-LINE CON UN COMPUTADOR CENTRAL O UTILIZAR TERMINALES STAND-ALONE (PROCESADORES LOCALES) O MICROCOMPUTADORES QUE RETIENEN LAS TRANSACCIONES POR UN PERIODO DETERMINADO HASTA SU ENVIO AL COMPUTADOR CENTRAL PARA SU PROCESAMIENTO EN BATCH
Page 8
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
TIPOS DE APLICACIONES SISTEMAS INTEGRADOS DE MANUFACTURA PROCESAN LOS MOVIMIENTOS DE INVENTARIOS. ESTA ACTIVIDAD PUEDE INCLUIR REGISTRO INTEGRAL DE TRANSACCIONES DE MATERIAS PRIMAS, TRABAJOS EN PROCESO Y PRODUCTOS TERMINADOS, ASI COMO AJUSTES A INVENTARIOS, COMPRAS, VENTAS, CUENTAS POR PAGAR Y POR COBRAR, INGRESO DE MATERIALES Y FACTURACION.
ALGUNOS SISTEMAS INTEGRADOS DE MANUFACTURA PUEDEN INCLUIR PROCEDIMIENTOS Y CONTROLES MANUALES
Page 9
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
TIPOS DE APLICACIONES INTERCAMBIO ELECTRONICO DE DATOS ( EDI ) TRANSMISION DE DOCUMENTOS EN FORMA LEGIBLE PARA LAS MAQUINAS ENTRE DOS ORGANIZACIONES. CON ELLO SE PROMUEVE UN AMBIENTE MAS EFICIENTE SIN LA UTILIZACION DE PAPELES LAS TRANSACCIONES EDI PUEDEN REEMPLAZAR LA UTILIZACION DE DOCUMENTOS ESTANDARES INCLUYENDO FACTURAS Y ORDENES DE COMPRA, DADO QUE EDI REEMPLAZA LOS PAPELES DEBE INCORPORARSE CONTROLES Y VALIDACIONES ADECUADAS EN EL SISTEMA DE APLICACIÓN PARA QUE SE REALICE TAL COMUNICACIÓN.
Page 10
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
TIPOS DE APLICACIONES TRANSFERENCIA ELECTRONICA DE FONDOS ( EFT ) ES EL INTERCAMBIO DE DINERO POR MEDIO DE TELECOMUNICACIONES. SE REFIERE CON ESTE TERMINO A CUALQUIER TRANSACCION FINANCIERA QUE SE ORIGINA EN UNA TERMINAL Y TRANSFIERE UNA SUMA DE DINERO DE UNA CUENTA A OTRA NORMALMENTE LAS TRANSACCIONES SE ORIGINAN EN UNA TERMINAL DE UNA ENTIDAD FINANCIERA O NEGOCIO Y SE TRANSFIERE A OTRA TERMINAL DE OTRA ENTIDAD FINANCIERA, REGISTRANDOSE EL IMPORTE EN LAS RESPECTIVAS CUENTAS.
DADO AL ALTO VOLUMEN POTENCIAL DE DINERO A INTERCAMBIAR, ESTOS SISTEMAS ESTAN EN UNA CATEGORIA DE ALTO RIESGO. POR ENDE, LA SEGURIDAD DE ACCESO Y LA AUTORIZACION DE LOS PROCESOS SON CONTROLES MUY IMPORTANTES Page 11
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
TIPOS DE APLICACIONES AUTOMATIZACION DE OFICINAS EN LA ACTUALIDAD MUCHAS OFICINAS DISPONEN DE UNA GRAN VARIEDAD DE DISPOSITIVOS Y TECNICAS ELECTRONICAS DE AYUDA PARA LA REALIZACION DEL NEGOCIO. LOS PROCESADORES DE TEXTO, HOJAS DE CALCULO AUTOMATIZADAS Y EL CORREO ELECTRONICO SE USAN A DIARIO LAS LAN´S ( REDES DE AREA LOCAL) ENLAZAN CON OTRAS OFICINAS Y A MENUDO PERMITEN EL ACCESO A MAINFRAMES. AUNQUE MUCHAS LAN´S PUEDEN CONTENER DATOS SENSIBLES, LOS CONTROLES DE ACCESO SUELEN SER DEBILES O INEXISTENTES. Page 12
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
TIPOS DE APLICACIONES CAJEROS AUTOMATICOS ( ATM ) ES UNA TERMINAL ESPECIALIZADA DE PUNTO DE VENTA DISEÑADA PARA SU UTILIZACION POR LOS CLIENTES DE UNA ENTIDAD BANCARIA. POR LO GENERAL PERMITEN UNA CANTIDAD DE OPERACIONES BANCARIAS Y DE DEBITO, EN ESPECIAL DEPOSITOS FINANCIEROS Y RETIROS DE EFECTIVO. LOS CAJEROS POR LO GENERAL ESTAN UBICADOS EN AREAS CONTROLADAS Y UTILIZAN LINEAS DE TELECOMUNICACIONES SIN PROTECCION ESPECIAL PARA LA TRANSMISION DE DATOS. POR LO TANTO, ESTOS SISTEMAS DEBEN POSEER GRANDES NIVELES DE SEGURIDAD LOGICA Y FISICA TANTO PARA EL CLIENTE COMO PARA EL MECANISMO. Page 13
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
CARACTERISTICAS DE LAS APLICACIONES EMPRESARIALES Fuerte movimiento empresarial hacia la estrategia de Comprar frente a Desarrollar Moda de los Sistemas Integrados Los empleados deben seguir la dirección marcada por las empresas y ser capaces de reaccionar a dichos cambios con la misma velocidad con la que se producen. La alta gerencia juega un papel fundamental en la implementación de las mismas con el objeto de dar soporte a los procesos empresariales. La dirección empresarial puede ahora dictar las reglas de los procesos empresariales y de los sistemas de TI. asignando súper usuarios del negocio (usuarios claves) en el equipo del proyecto. Implementación es un proceso lento y costoso. Page 14
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
APLICACIONES EMPRESARIALES BPCS
BANN People Soft
Orade Applications JDEdwards
Dinámica Gerencial Seven Kaptus
Page 15
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
SISTEMAS ERP – ENTERPRISE RESOURCE PLANNING “Sistemas de Planeación de Recursos Empresariales” “Conjunto o grupo de actividades que se tienen que realizar o desarrollar en un determinado marco temporal, siguiendo un calendario o programación, un costo planificado y con el propósito de alcanzar un objetivo o un resultado previamente establecido para la entera satisfacción de la empresa.'
Page 16
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
CARACTERISTICAS DE UN SISTEMA ERP – ENTERPRISE RESOURCE PLANNING Arquitectura Cliente – Servidor Multinivel ó Web. Arquitectura Business Framework (abierta a la total integración con otros componentes y aplicaciones incluyendo Internet) Interfaces de usuario homogéneas entre aplicaciones Entorno de desarrollo fácil de entender
Integración de Aplicaciones Conjunto de soluciones para configurar el Sistema
Amplio rango de Servicios (soporte telefónico, formación, Consultoría, Verificación de Calidad, etc.)
Page 17
LA SEGURIDAD Y LA PLANIFICACIÓN EN EL CICLO DE VIDA DEL DESARROLLO DE SW
EXITO DE UN SISTEMA ERP – ENTERPRISE RESOURCE PLANNING A pesar de ser un paquete estándar, se pueda configurar en múltiples áreas y adaptar a las necesidades específicas de cualquier Empresa Son soluciones altamente flexibles y configurables. Capaces de satisfacer la mayoría de las prácticas de negocio y de sus necesidades de Información. Este tipo de paquetes relega a casos excepcionales el desarrollo de aplicaciones a la medida. Las Empresas deben invertir parte de su tiempo y de su dinero en obtener una correcta perspectiva de la ERP antes de comenzar el proyecto. En su mayoría están orientados a un gran número de industrias: fabricación, Distribución, Químicas, Salud, Servicios públicos, petróleo, comunicaciones, etc.. Page 18
3. AUDITORIA A UNA APLICACION EN FUNCIONAMIENTO
Page 19
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
3.1 ENFOQUES DE AUDITORIA
Page 20
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ENFOQUES DE AUDITORIA ALREDEDOR DEL COMPUTADOR
S
E
VS SE AUDITAN LAS SALIDAS BASADO EN PRUEBAS MANUALES DEL PROCESO USANDO LAS ENTRADAS
Page 21
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ENFOQUES DE AUDITORIA ALREDEDOR DEL COMPUTADOR CONCENTRA SUS ESFUERZOS EN LA ENTRADA DE DATOS Y EN LA SALIDA DE INFORMACIÓN. ES EL METODO MÁS CÓMODO PARA LOS AUDITORES DE SISTEMAS, POR CUANTO ÚNICAMENTE SE VERIFICA LA EFECTIVIDAD DEL SISTEMA DE CONTROL INTERNO EN EL AMBIENTE EXTERNO DE LA MÁQUINA. NATURALMENTE QUE SE EXAMINAN LOS CONTROLES DESDE EL ORIGEN DE LOS DATOS PARA PROTEGERLOS DE CUALQUIER TIPO DE RIESGO QUE ATENTE CONTRA LA INTEGRIDAD, COMPLETITUD, EXACTITUD Y LEGALIDAD.
Page 22
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ENFOQUES DE AUDITORIA ALREDEDOR DEL COMPUTADOR METODO USADO SIN TENER EN CUENTA LA TECNOLOGIA DE INFORMATICA USADA ( HARDWARE NI SOFTWARE ). BASADO EN EFECTUAR PROCESOS DE CRUCE MANUALES ( PUNTEOS ) PARA VERIFICAR LA EXACTITUD DE LA INFORMACIÒN GENERADA MEDIANTE LA SIMULACIÒN MANUAL DE LAS OPERACIONES QUE DEBIÒ EFECTUAR EL SISTEMA AUTOMÀTICO DEFINIDAS EN LAS NORMAS Y ESTANDARES DE LA EMPRESA
PARA ELLO SE TIENEN EN CUENTA LA INFORMACION PRESENTADA EN LOS INFORMES O REPORTES ENTREGADOS POR EL SISTEMA, LOS DATOS CAPTURADOS DE LOS DOCUMENTOS FUENTE Y LAS FORMULAS NECESARIAS PARA GENERAR LOS RESULTADOS.
Page 23
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ENFOQUES DE AUDITORIA A TRAVES DEL COMPUTADOR
E
S
SE AUDITAN LAS SALIDAS BASADO EN PRUEBAS AUTOMATICAS DEL PROCESO, REVISANDO LOS PROGRAMAS Y ARCHIVOS O BASES DE DATOS DEL SISTEMA Page 24
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ENFOQUES DE AUDITORIA A TRAVES DEL COMPUTADOR ESTE ENFOQUE ESTÁ ORIENTADO A EXAMINAR Y EVALUAR LOS RECURSOS DEL SOFTWARE, Y SURGE COMO COMPLEMENTO DEL ENFOQUE DE AUDITORÍA ALREDEDOR DEL COMPUTADOR, EN EL SENTIDO DE QUE SU ACCIÓN VA DIRIGIDA A EVALUAR EL SISTEMA DE CONTROLES DISEÑADOS PARA MINIMIZAR LOS FRAUDES Y LOS ERRORES QUE NORMALMENTE TIENEN ORIGEN EN LOS PROGRAMAS.
Page 25
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ENFOQUES DE AUDITORIA A TRAVES DEL COMPUTADOR METODO USADO TENIENDO EN CUENTA LA TECNOLOGIA DE INFORMATICA USADA ( HARDWARE Y SOFTWARE ). BASADO EN EFECTUAR PROCESOS DE CRUCE AUTOMATICOS PARA VERIFICAR LA EXACTITUD DE LA INFORMACIÒN GENERADA MEDIANTE LA SIMULACIÒN AUTOMATICA DE LAS OPERACIONES QUE DEBIÒ EFECTUAR EL SISTEMA AUTOMÀTICO DEFINIDAS EN LAS NORMAS Y ESTANDARES DE LA EMPRESA PARA ELLO SE TIENEN EN CUENTA LA INFORMACION PRESENTADA EN LOS INFORMES O REPORTES ENTREGADOS POR EL SISTEMA. LOS DATOS CAPTURADOS DE LOS DOCUMENTOS FUENTE, LAS FORMULAS NECESARIAS PARA GENERAR LOS RESULTADOS, EL SOFTWARE APLICATIVO, LOS ARCHIVOS O BASES DE DATOS DEL APLICATIVO Y LOS MANUALES TECNICOS Y DE USUARIO DEL MISMO
Page 26
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ENFOQUES DE AUDITORIA CON EL COMPUTADOR
RED
S
E
HARDWARE Y SOFTWARE DEL AUDITOR
HARDWARE Y SOFTWARE AUDITADO SE AUDITAN LAS SALIDAS BASADO EN PRUEBAS AUTOMATICAS DEL PROCESO, USANDO HARDWARE Y/O SOFTWARE DEL AUDITOR DIFERENTE AL SOFTWARE DEL SISTEMA EVALUADO Page 27
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ENFOQUES DE AUDITORIA CON EL COMPUTADOR ESTE ENFOQUE VA DIRIGIDO ESPECIALMENTE, AL EXAMEN Y EVALUACIÓN DE LOS ARCHIVOS DE DATOS EN MEDIOS MAGNÉTICOS, CON EL AUXILIO DEL COMPUTADOR Y DE SOFTWARE DE AUDITORÍA GENERALIZADO Y /O A LA MEDIDA. ESTE ENFOQUE ES RELATIVAMENTE COMPLETO PARA VERIFICAR LA EXISTENCIA, LA INTEGRIDAD Y LA EXACTITUD DE LOS DATOS, EN GRANDES VOLÚMENES DE TRANSACCIONES. LA AUDITORÍA CON EL COMPUTADOR ES RELATIVAMENTE FÁCIL DE DESARROLLAR PORQUE LOS PROGRAMAS DE AUDITORÍA VIENEN DOCUMENTADOS DE TAL MANERA QUE SE CONVIERTEN EN INSTRUMENTOS DE SENCILLA APLICACIÓN. EL SOFTWARE DE AUDITORÍA PERMITEN DESARROLLAR OPERACIONES Y PRUEBA, TALES COMO: • • • •
Page 28
RECÁLCULOS Y VERIFICACIÓN DE INFORMACIÓN, COMO POR EJEMPLO, RELACIONES SOBRE NÓMINA, MONTOS DE DEPRECIACIÓN Y ACUMULACIÓN DE INTERESES, ENTRE OTROS. PRESENTACIÓN GRÁFICA DE DATOS SELECCIONADOS. SELECCIÓN DE MUESTRAS ESTADÍSTICAS. PREPARACIÓN DE ANÁLISIS DE CARTERA POR ANTIGÜEDAD.
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ENFOQUES DE AUDITORIA CON EL COMPUTADOR METODO USADO TENIENDO EN CUENTA LA TECNOLOGIA DE INFORMATICA USADA ( HARDWARE Y SOFTWARE ) Y LA APLICACION DE TAACS ( TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR BASADO EN EFECTUAR PROCESOS DE CRUCE AUTOMATICOS PARA VERIFICAR LA EXACTITUD DE LA INFORMACIÒN GENERADA MEDIANTE LA SIMULACIÒN AUTOMATICA DE LAS OPERACIONES QUE DEBIÒ EFECTUAR EL SISTEMA AUTOMÀTICO DEFINIDAS EN LAS NORMAS Y ESTANDARES DE LA EMPRESA, USANDO SOFTWARE Y/0 HARDWARE DE LA AUDITORIA , HECHO A LA MEDIDA O GENERALIZADO PARA ELLO SE TIENEN EN CUENTA LA INFORMACION PRESENTADA EN LOS INFORMES O REPORTES ENTREGADOS POR EL SISTEMA. LOS DATOS CAPTURADOS DE LOS DOCUMENTOS FUENTE, LAS FORMULAS NECESARIAS PARA GENERAR LOS RESULTADOS, LOS ARCHIVOS O BASES DE DATOS DEL APLICATIVO, LOS MANUALES TECNICOS Y DE USUARIO DEL MISMO Y LOS PROGRAMAS AUTOMATICOS DISEÑADOS POR EL AUDITOR, DESARROLLADOS USANDO LENGUAJES DE PROGRAMACION DE LA EMPRESA O PAQUETES GENERALIZADOS DE AUDITORIA Page 29
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
OBJETIVOS DE LA AUDITORIA LA AUDITORIA A TODOS LOS COMPONENTES DE UNA APLICACION TIENE COMO OBJETIVOS EVALUAR Y VERIFICAR QUE EL SISTEMA DE APLICACION SATISFAGA RAZONABLEMETE LAS SIGUIENTES CARACTERISTICAS DE SEGURIDAD Y EFECTIVIDAD:
LOS CONTROLES ESTABLECIDOS EN EL SOFTWARE Y LOS PROCEDIMIENTOS MANUALES DE LA APLICACION PROTEGEN APROPIADAMENTE A LA EMPRESA CONTRA LOS RIESGOS QUE PODRIAN AFECTAR LOS NEGOCIOS O SERVICIOS SOPORTADOS EN ELLA. LA INFORMACION PRODUCIDA POR LA APLICACION ES CONFIABLE, COMPLETA Y OPORTUNA PARA SATISFACER LAS NECESIDADES DE LA EMPRESA.
Page 30
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
OBJETIVOS DE LA AUDITORIA .
LOS DATOS DE ENTRADA A LA APLICACION SON EXACTOS, COMPLETOS Y AUTORIZADOS. SON CONFIABLES LAS RUTINAS DE CALCULO IMPORTANTES EJECUTADAS POR LA APLICACION Y LAS CANTIDADES CALCULADAS SE APLICAN CORRECTAMENTE EN LOS ARCHIVOS DE COMPUTADOR Y EN LOS REGISTROS OFICIALES DE LA EMPRESA.
LA APLICACION DETECTA Y REPORTA LOS ERRORES OBVIOS Y PROPORCIONA ADECUADAS PISTAS DE AUDITORIA DE LAS TRANSACCIONES PROCESADAS Y APLICADAS EN LOS REGISTROS OFICIALES DE LA EMPRESA
Page 31
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
OBJETIVOS DE LA AUDITORIA
LAS SALIDAS PRODUCIDAS POR LA APLICACION PROPORCIONAN INFORMACION EXACTA, COMPLETA, OPORTUNA Y RELEVANTE PARA SATISFACER LAS NECESIDADES OPERATIVAS Y ADMINISTRATIVAS DEL NEGOCIO
EL PLAN DE CONTINGENCIAS DE LA APLICACION ES APROPIADO PARA DAR CONTINUIDAD A LAS OPERACIONES DEL NEGOCIO, EN CASO DE INTERRUPCIONES PROLONGADAS OCASIONADAS POR FALLAS DE HARDWARE, SOFTWARE Y/O POTENCIA ELECTRICA.
ES APROPIADA Y SUFICIENTE LA DOCUMENTACION RELACIONADA CON EL SISTEMA DE APLICACIÓN.
Page 32
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
OBJETIVOS DE LA AUDITORIA
LOS PRINCIPIOS DE CONTABILIDAD INCORPORADOS EN LA APLICACION, SON CONSISTENTES CON LAS PRACTICAS DE CONTABILIDAD GENERALMENTE ACEPTADAS, LAS POLITICAS DE LA COMPAÑIA Y LOS REQUERIMIENTOS LEGALES.
ES ADECUADA LA DIVISION DE FUNCIONES Y RESPONSABILIDADES EN ACTIVIDADES DE LA APLICACION QUE SEAN INCOMPATIBLES DESDE EL PUNTO DE VISTA DE LA SEGURIDAD.
ES ADECUADO EL GRADO DE PARTICIPACION DE LOS USUARIOS EN LAS ACTIVIDADES DE DISEÑO, DESARROLLO Y PRUEBA DE LOS CAMBIOS AL SISTEMA DE APLICACION
Page 33
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ESCENARIOS DE RIESGO DE LAS APLICACIONES SON AREAS DE VULNERABILIDAD A RIESGOS, EN LAS QUE SE DIVIDE EL CICLO COMPLETO DE PROCESAMIENTO DE LOS DATOS, DESDE SU ORIGEN EN LAS FUENTES DE INFORMACION HASTA LOS CENTROS DE PROCESAMIENTO Y DESDE ESTOS HASTA LAS DEPENDENCIAS QUE UTILIZAN LOS RESULTADOS DE LA APLICACIÓN
Page 34
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ESCENARIOS DE RIESGO EN APLICACIONES 1. ORIGEN Y PREPARACION DE DATOS
E
P
2. CAPTURA Y VALIDACION DE DATOS
3. PROCESAMIENTO Y ACTUALIZACION DE DATOS.
4. SALIDAS DE LA ACTUALIZACION.
S Page 35
5. UTILIZACION Y CONTROL DE RESULTADOS POR LOS USUARIOS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ESCENARIOS DE RIESGO EN APLICACIONES
E
P
S Page 36
6. SEGURIDAD LOGICA DEL SOFTWARE DE LA APLICACIÓN 7. SEGURIDAD LOGICA DEL LOS ARCHIVOS / BASES DE DATOS 8. CAMBIOS AL SOFTWARE DE LA APLICACION 9. PROCEDIMIENTOS DE BACKUP Y RECUPERACION 10. TERMINALES Y COMUNICACION DE DATOS 11. DOCUMENTACION TECNICA Y DEL USUARIO 12. UTILIZACION Y CONTROL DE RESULTADOS POR LOS USUARIOS 13. SEGURIDAD FISICA DE LAS INSTALACIONES DE COMPUTO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ESCENARIOS DE RIESGO EN APLICACIONES
BASES DE DATOS E
P
S Page 37
14. ACCESO A LA BASE DE DATOS A TRAVES DEL DBMS 15. EL SISTEMA DE DIRECTORIO / DICCIONARIO DE DATOS ( SD / DD ) 16. LA FUNCION DEL ADMINISTRADOR DE LA BASE DE DATOS ( DBA )
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
APLICACION
E
Page 38
P
S
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO
Page 39
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ESCENARIOS DE RIESGO EN APLICACIONES 1. ORIGEN Y PREPARACION DE DATOS
E
P
2. CAPTURA Y VALIDACION DE DATOS
3. PROCESAMIENTO Y ACTUALIZACION DE DATOS.
4. SALIDAS DE LA ACTUALIZACION.
S Page 40
5. UTILIZACION Y CONTROL DE RESULTADOS POR LOS USUARIOS
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO ORIGEN Y/O PREPARACIÓN DE DATOS INEFICIENCIAS EN EL PROCESO ENVIO DE INFORMACION NO AUTORIZADA ENVIO NO AUTORIZADO DE INFORMACIÓN AUTORIZADA
REVISIONES INEXISTENTES O EXCESIVAS REMISIÓN ERRADA DE LA INFORMACIÓN INSTRUCCIONES INSUFICIENTES PARA ENVÍO Y RECEPCIÓN DE INFORMACIÓN
DOCUMENTOS ENMENDADOS, TACHONES, BORRONES ENVIÓ INOPORTUNO DE LA INFORMACIÓN INFORMACIÓN FALTANTE O SOBRANTE
INFORMACIÓN SIN CUADRES INFORMACION SIN REGISTRO DE RECIBO O ENTREGA PÉRDIDA OE DOCUMENTOS O DE INFORMACIÓN
RETENCION DE DOCUMENTOS O INFORMACIÓN
Page 41
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO ORIGEN Y/O PREPARACIÓN DE DATOS CAMBIO EN LOS DATOS SUSTRACCIÓN DE DOCUMENTOS FALTA DE SEGREGACION DE FUNCIONES, PERDIDA DE LA RESPONSABILIDAD
PÉRDIDA DEL RASTRO PARA RECONSTRUIR OPERACIONES ERRORES EN LOS PROCEDIMIENTOS ANULACIÓN DE DOCUMENTOS (SELLOS, PERFORACIONES )
AMBIENTE DE CONTROL V SEGURIDAD (ENTORNO): ILUMINACIÓN, UBICACIÓN, PROTECCIÓN CONOCIMIENTO CLARO DEL ENVIÓ DE INFORMACIÓN; SITIO. TIEMPO, MEDIO
ORDENAMIENTO/ Y CLASIFICACIÓN DE DOCUMENTOS, ARCHIVO
Page 42
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO ENTRADA, CAPTURA Y VALIDACION DE DATOS INFORMACIÓN O DOCUMENTOS NO LEGIBLES DOCUMENTOS DAÑADOS, DETERIORADOS DOCUMENTOS NO IDENTIFICADOS
PANTALLA DE CAPTURA NO COINCIDE CON DOCUMENTO FUENTE ENTRADA DE DATOS POR PERSONAL NO AUTORIZADO ENTRADA DE DATOS NO AUTORIZADOS
SIN CONTROL LÓGICO DE ACCESO A LOS MÓDULOS DE CAPTURA O DE INFORMACIÓN PERSONAL NO AUTORIZADO CON CLAVES VALIDAS TRANSACCIONES U OPERACIONES NO AUTORIZABAS PERO HABILITADAS EN EL SISTEMA SIN IDENTIFICACIÓN ÚNICA DE LOS OPERADORES O QUIENES INGRESAN LOS DATOS
Page 43
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO ENTRADA, CAPTURA Y VALIDACION DE DATOS DESCONOCIMIENTO DE LA FORMA DE INGRESO DE DATOS DOCUMENTACIÓN INEXISTENTE O INCOMPLETA PARA ENTRADA DE DATOS SIN INSTRUCCIONES EN CASO DE EMERGENCIA
VALIDACIONES INSUFICIENTES O EXCESIVAS CONTROLES DE ENTRADA INEFICIENTES DATOS CRÍTICOS SIN VALIDACIONES DUPLICACIÓN DE INFORMACIÓN PÉRDIDA DE INFORMACIÓN CON DETECCIÓN TARDÍA
Page 44
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO ACTUALIZACION, PROCESAMIENTO Y COMPLEMENTARIOS IDENTIFICACIÓN DE CONTROLES AUTOMÁTICOS INICIO INOPORTUNO DE PROCESOS ACTUALIZACIÓN INOPORTUNA DE LA INFORMACIÓN OPERACIÓN NO AUTORIZADA DE LOS PROCESOS SEGURIDAD LÓGICA DEFICIENTEMENTE DEFINIDA O INEXISTENTE IMPOSIBILIDAD DE IDENTIFICAR LAS TERMINALES O LOS OPERADORES QUE EFECTUAN MODIFICACIONES CAPACITACIÓN DEFICIENTE, NULA, INEXISTENTE DOCUMENTACIÓN DEFICIENTE, NULA, INEXISTENTE, MAL UBICADA INTERVENCIÓN PERMANENTE DEL OPERADOR EN LOS PROCESOS ALTA DIGITACIÓN DE PARÁMETROS POR CONSOLA
Page 45
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO ACTUALIZACION, PROCESAMIENTO Y COMPLEMENTARIOS LOS PROCESOS NO ENTREGAN MENSAJES DE ERROR SIN VALIDACIÓN DE LABELS INTERNOS AUTOMÁTICAMENTE
EJECUCIÓN DE PROCESOS NO AUTORIZADOS EJECUCIÓN CON VERSIONES DESACTUALIZADAS ACTUALIZACIÓN CON PROGRAMAS NO AUTORIZADOS
EJECUCIÓN EN ORDEN ERRADO DE LOS PROCESOS ACTUALIZACIÓN SIN CIFRAS DE CONTROL QUE GARANTICEN EL CORRECTO PROCESAMIENTO
DESATENCIÓN A LOS MENSAJES DE ERROR DEL SISTEMA Y DEL APLICATIVO NO REVISIÓN DE LAS CIFRAS EMITIDAS POR EL APLICATIVO
Page 46
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO ACTUALIZACION, PROCESAMIENTO Y COMPLEMENTARIOS INSTALACION ERRADA DE ARCHIVOS PARA ACTUALIZACION
ESPACIO EN DISCO INSUFICIENTE CAPACIDAD DE EQUIPO BAJA FRENTE A LA OPORTUNIDAD REQUERIDA Y A LOS VOLÚMENES
ACCESO NO AUTORIZADO AL ÁREA DONDE SE EJECUTAN LOS PROCESOS DE ACTUALIZACIÓN
Page 47
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO SALIDAS DEL PROCESO IMPRESIÓN INOPORTUNA DE REPORTES INFORMACIÓN IMPRESA INCOMPLETA LISTADOS, MEDIOS MAGNÉTICOS, ARCHIVOS REMITIDOS ERRONEAMENTE CAPACITACION INADECUADA PARA MANEJAR INFORMACION DE SALIDA DOCUMENTACION DE INFORMACIÓN DE SALIDA INSUFICIENTE, DEFICIENTE, INCOMPLETA, FALTANTE O NO CLARA SIN CLARIDAD SOBRE LA OPORTUNIDAD REQUERIDA DE LA INFORMACION POR LOS CLIENTES SIN IDENTIFICAR PERSONAL QUE RETIRA LA INFORMACIÓN O QUE ACCEDE A ELLA UNA VEZ SE PRODUCE PÉRDIDA DE LISTADOS O MEDIOS MAGNÉTICOS DE SALIDA PÉRDIDA DE LOS DOCUMENTOS AL ENVIARLOS ALTERACIÓN, MODIFICACIÓN, CAMBIO DE DOCUMENTOS, LISTADOS, MEDIOS MAGNÉTICOS LUEGO DE PRODUCCIÓN
Page 48
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO DESTINATARIOS DE LAS SALIDAS DETERMINACION DEL GRADO DE UTILIDAD DE LA INFORMACIÓN EN LOS USUARIOS, DEFINICION DE NECESIDADES DESCONOCIMIENTO DE LOS USUARIOS DE LA INFORMACION ENVIÓ DE INFORMACIÓN INVALIDA AL USUARIO ENTREGA DE INFORMACIÓN NO AUTORIZADA AL USUARIO USUARIOS SIN RECIBIR INFORMACIÓN REQUERIDA GENERACIÓN DE INFORMACIÓN QUE NO SE REQUIERE PRODUCIR LA MISMA INFORMACION EN DIFERENTES FORMATOS AL MISMO USUARIO O A DIFERENTES USUARIOS
UTILIZACIÓN DE LISTADOS PARA HACER CAPTURA DE INFORMACIÓN DE OTRAS APLICACIONES
Page 49
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO DESTINATARIOS DE LAS SALIDAS RECIBO INOPORTUNO DE LA INFORMACION POR EL USUARIO
ADAPTACION DEL USUARIO A LAS SALIDAS Y NO AL CONTRARIO EL USUARIO REQUIERE DE MUCHOS CALCULOS ANTES O DESPUES DEL PROCESO PRESENTACION PARA LOS USUARIOS NO REQUERIDA
SERVICIOS RECIBIDOS INOPORTUNAMENTE OBTENCION DEMORADA DE LOS RESULTADOS EXCESO DE AJUSTES / CORRECCIONES
SOLICITUDES DE CAMBIO ATENDIDAS INOPORTUNAMENTE DESCONOCIMIENTO DE LOS USUARIOS DE LAS UTILIDADES DISPONIBLES
Page 50
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO CAMBIO A LOS PROGRAMAS MODIFICACIONES, REVISIONES V CAMBIOS AUTORIZADOS AMBIENTE CONTROLADO, SEGURO PRUEBAS SUFICIENTES, APROBADAS, PLANEADAS ESPECIFICACIONES DIFUSAS PARA EJECUTAR UN CAMBIO CAMBIOS REALIZADOS DIFERENTES A LOS REQUERIDOS USUARIOS NO PARTICIPAN EN LAS PRUEBAS, NO LAS AUTORIZAN / APRUEBAN NO SE PRUEBAN TODAS LAS POSIBILIDADES INEXISTENTE AMBIENTE DE PRUEBAS MUESTRA DE PRUEBAS NO ES REPRESENTATIVA NO SE CUANTIFICAN LOS REQUERIMIENTOS DE PERSONAL, PROCEDIMIENTOS, INSTRUCCIONES, REQUERIDAS PARA EL CAMBIO
Page 51
EQUIPOS,
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO CAMBIO A LOS PROGRAMAS SIN DOCUMENTACION SOBRE ARCHIVOS O PROGRAMAS QUE REQUIEREN SER CAMBIADOS
NO SE INFORMA LA FECHA DE CAMBIO A TODOS LOS INTERESADOS USUARIOS SIN INSTRUCCIÓN COMPLETA OPERADORES Y USUARIOS SIN CAPACITACIÓN PARA EL MANEJO DEL CAMBIO
SIN CLARIDAD SOBRE QUE HACER 81 NO FUNCIONA EL CAMBIO, AFECTANDO LA CONTINUIDAD DEL SERVICIO CAMBIOS EFECTUADOS POR FUERA DE LOS ESTÁNDARES
SIN REGISTRAR O DEJAR RASTRO DE LOS CAMBIOS EFECTUADOS DOCUMENTACIÓN DEFICIENTE O INEXISTENTE SOBRE LOS CAMBIOS REALIZADOS SIN CLARIDAD SOBRE A DONDE DISTRIBUIR LOS CAMBIOS
Page 52
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO CAMBIO A LOS PROGRAMAS DEFICIENCIA EN PROCEDIMIENTOS DE INSTALACIÓN DE CAMBIOS DEJAR DE DOCUMENTAR O DE ARCHIVAR LAS VERSIONES ANTERIORES SOBRE EL USO CORRESPONDIENTE CAMBIO REALIZADO SIN EL SOPORTE CORRESPONDIENTE
Page 53
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO TERMINALES / PCS/ DISPOSITIVOS MOVILES SEGURIDADES FÍSICAS Y LÓGICAS
PROTECCIÓN DE LA INFORMACIÓN A TRAVÉS DEL APLICATIVO ASEGURAR: EXACTITUD, PRIVACIDAD, INTEGRIDAD, COMPLETITUD ACCESOS NO AUTORIZADOS A LAS TERMINALES
SIN REGISTRO DE ACCESO A LAS APLICACIONES FALTA DEFINICIÓN DE NIVELES DE ACCESO A LA INFORMACIÓN MANEJADA POR EL APLICATIVO
IMPOSIBILIDAD DE CONSULTAR LOS RASTROS DEJADOS INCAPACIDAD DE LA APLICACIÓN DE CRECER EN TERMINALES INFLEXIBILIDAD DE LA APLICACIÓN FRENTE A CAMBIOS EN LAS TERMINALES SIN CONTROL DE TIMEOUT
Page 54
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO TRANSMISION / COMUNICACIÓN DE DATOS CONTROL DE LA APLICACIÓN SOBRE LA INFORMACION RECIBIDA O TRANSMITIDA INTERFERENCIA DE LINEAS CAÍDAS DE LINEA RETRANSMISIÓN AUTOMÁTICA
PÉRDIDA DE ARCHIVOS TIEMPOS DE TRANSMISIÓN CONTROL DE INFORMACIÓN ENVIADA Y RECIBIDA VERIFICACIÓN AUTOMÁTICA DE TOTALES REPETICIÓN DE TRANSMISIONES, PUNTO DE REINICIO MONI TOREO A LAS COMUNICACIONES
VERIFICACION ESTADOS DE LINEA Y FUNCIONAMIENTO DE APLICATIVOS
Page 55
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO SEGURIDAD Y ACCESO A LOS ARCHIVOS DEL APLICATIVO RIESGOS POTENCIALES DE FRAUDE POR MANIPULACIÓN DE ARCHIVOS RESIDENTES EN EL COMPUTADOR O MEDIOS DE ALMACENAMIENTO EXTERNO
CONTROL DE ACCESO FÍSICO O LÓGICO DEFICIENTE SIN SEGREGACIÓN DE FUNCIONES PARA MODIFICACIÓN Y CUSTODIA ARCHIVOS FÁCILES DE CONSULTAR CON UTILITARIOS
SIN RESTRINGIR EL USO DE UTILITARIOS DOCUMENTACIÓN DE ESTRUCTURAS DE ARCHIVOS NO RESTRINGIDA BACKUPS EN SITIOS INSEGUROS, ACCESO INDISCRIMINADO
Page 56
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO RESPALDO SOPORTE Y RECUPERACION RESTABLECER EL SISTEMA EN CASO DE INTERRUPCIONES SIN BACKUPS DE PROGRAMAS Y DE ARCHIVOS EFECTUAR MODIFICACIONES A LAS COPIAS LUEGO DE LOS CAMBIOS BACKUPS EN SITIOS EN SITIOS DIFERENTES AL DEL PROCESO NORMAL LAS COPIAS DE LOS ARCHIVOS NO PERMITEN RECONSTRUIR LA OPERACIÓN NO SE PUEDEN UTILIZAR LAS COPIAS EXISTENTES POR DAÑOS O POR SECUENCIAS ERRADAS SIN DETERMINAR LOS PERIODOS DE RETENCION POR PARTE DE LOS USUARIOS SIN INSTRUCCIONES DE COMO EFECTUAR LOS BACKUPS
Page 57
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO ACTIVIDADES A TENER EN CUENTA POR ESCENARIO RESPALDO SOPORTE Y RECUPERACION EL PROCESO NO TIENE PUNTO DE REINIC1O O SON DESCONOCIDOS POR LOS OPERADORES SIN INSTRUCCIONES DE QUE HACER AL PRESENTAR FALLAS EL PROCESO DE EJECUCIÓN DE COPIAS LABELS DE COPIAS ILEGIBLES O SIN ESTÁNDARES MARCAR ERRADAMENTE LAS COPIAS DE RESPALDO
SIN PROCEDIMIENTO PARA USAR LAS COPIAS DE RESPALDO SIN PLAN DE CONTINGENCIA SIN ACCESO RESTRINGIDO DONDE ESTÁN LAS COPIAS SIN EVALUACIÓN DE ARCHIVOS A CONSERVAR Y PERIODOS DE RETENCIÓN
Page 58
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
ACTIVIDADES A TENER EN CUENTA POR ESCENARIO PISTAS ADMINISTRATIVAS Y DE AUDITABILIDAD EVALUACIÓN PARA DETERMINAR SI ES POSIBLE RECONSTRUIR UNA OPERACIÓN IDENTIFICACIÓN DE RESPONSABILIDADES POSIBILIDAD DE RECONSTRUIR LO OCURRIDO ENTENDIMIENTO DE LO OCURRIDO, QUIENES, CUANDO, DONDE
Page 59
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
GUIAS DE AUDITORIA *
El Propósito de las Guías de Auditoria es suministrar una estructura simple para auditar los controles
*
Las Guías de Auditoria son Genéricas y de alto estructura
*
Las Guías no pretenden ser una herramienta para crear el plan de auditoria completo
*
Permiten al Auditor revisar los Procesos contra los Objetivos de Control
Page 60
nivel en
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA CAPTURA DE DATOS
VERIFICACIÓN DEL REGISTRO DE DATOS DÍGITO DE CONTROL RESTRICCIÓN DE ACCESO A LOS DISPOSITIVOS CONTROL DE DOCUMENTOS FUENTES CONTROL DE DOCUMENTOS NEGOCIABLES MANUAL DE PROCEDIMIENTOS ENTRENAMIENTO DEL PERSONAL
Page 61
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
COMUNICACION DE DATOS
CÓDIGO DE IDENTIFICACIÓN ELECTRÓNICA SEGURIDAD PARA EQUIPOS TELEFÓNICOS LOG DE CONTROL DEL SISTEMA DE COMUNICACIÓN MODEM DE APLICACIONES MÚLTIPLES LOG DE REGISTRO DE ERRORES DOCUMENTACIÓN COMPRENSIBLE DEL SISTEMA
Page 62
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA PROCESAMIENTO DE DATOS
CÓDIGO DE TRANSACCIONES VERIFICACIÓN DE SECUENCIAS MANUALES DE OPERACIÓN CLAVES DE SEGURIDAD RECHAZO DE TRANSACCIONES E INCONSISTENTES
Page 63
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA SALIDA DE INFORMACION
SUFICIENCIA Y PERTINENCIA CONCILIAR TOTALES DE SALIDA IDENTIFICACION DE INFORMES DISTRIBUCIÓN DE INFORMES CONTROL Y CUSTODIA DE INFORMES LOG| DE AUDITORIA
Page 64
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA SISTEMAS DISTRIBUIDOS LOCALIZACION DE LOS EQUIPOS TIPO DE RED UTILIZADA CAPACIDAD DE ALMACENAMIENTO DE LOS EQUIPOS LOG DE LAS TERMINALES SEGURIDAD FISICA DE LOS EQUIPOS CONTRATOS DE ASEGURAMIENTO TRABAJO EN LINEA CLAVES DE ACCESO A LAS TERMINALES PLAN DA CONTINGENCIA PROCEDIMIENTOS PARA CORRECCIÓN DE ERRORES
Page 65
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO GUIAS DE AUDITORIA
SISTEMAS OPERACIONALES IDENTIFICACIÓN DEL SISTEMA OPERACLONAL
CONTROL DE ACCESO A LOS UTILITARIOS LOG DE REGISTRO DE PROBLEMAS DEL SOFTWARE
DEFINICIÓN DE INTERFASES CONTROL DE FECHA Y HORA DEL SISTEMA DOCUMENTACIÓN DEL SISTEMA OPERATIVO ALMACENAMIENTO CRIPTOGRÁFICO RESTRICCIÓN A LOS PROGRAMADORES MANTENIMIENTO DEL SISTEMA
Page 66
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO METODOLOGIA DE AUDITORIA
METODOLOGIA DE AUDITORIA
Page 67
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO METODOLOGIA DE AUDITORIA
1. FAMILIARIZACION CON EL AMBIENTE TECNICO Y OPERATIVO DE LA APLICACIÓN A. IDENTIFICACION DE AREAS FUNCIONALES DE LA EMPRESA QUE PARTICIPAN EN EL MANEJO DE LA APLICACION B. IDENTIFICAR LOS PROCESOS (TAREAS O SUBPROCESOS) QUE SE EJECUTAN EN LA OPERACIÓN DE LA APLICACIÓN ( MANUALES Y AUTOMATICOS ) C. ELABORAR MATRICES DE DEPENDENCIAS VS. PROCESOS D. IDENTIFICAR LAS PERSONAS CLAVES EN EL CICLO DE OPERACION DE LA APLICACION EN CADA DEPENDENCIA E. INVENTARIO DE DOCUMENTOS FUENTE Y OTROS MEDIOS DE ENTRADA DE DATOS
Page 68
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO METODOLOGIA DE AUDITORIA
1. FAMILIARIZACION CON EL AMBIENTE TECNICO Y OPERATIVO DE LA APLICACIÓN F. DESCRIPCION DEL DISEÑO DE ARCHIVOS DE ENTRADA / SALIDA Y DE TABLAS UTILIZADAS POR LA APLICACION G. INVENTARIO DE INFORMES QUE PRODUCE Y DESTINATARIOS DE LOS MISMOS
H. NORMAS LEGALES E INSTITUCIONALES QUE RIGEN EL FUNCIONAMIENTO DE LA APLICACION I.
INTERFASES DE LA APLICACION CON OTROS SISTEMAS
J. FUNCIONES U OPERACIONES DE NEGOCIO QUE EJECUTA LA PORCION AUTOMATIZADA DE LA APLICACION K.
INVENTARIOS DE MANUALES DE DOCUMENTACION EXISTENTE
L.
INFORMACION SOBRE FRAUDES Y OTROS ANTECEDENTES DE LA APLICACION
Page 69
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO METODOLOGIA DE AUDITORIA
2. ANALISIS DE RIESGOS
3. DISEÑO Y EJECUCION DE PRUEBA 4. DOCUMENTACION DE HALLAZGOS E INFORMES 5. SEGUIMIENTO A LAS RECOMENDACIONES
Page 70
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
TECNICAS DE AUDITORIA Y EVALUACION APROPIADAS
Page 71
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
ALGUNAS TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR} A. TECNICAS PARA PROBAR LOS CONTROLES EN SISTEMAS DE APLICACION - METODO DE LOS DATOS DE PRUEBA () - CASO BASE
- OPERACION PARALELA - FACILIDAD DE LA PRUEBA INTEGRADA ( ITF ) () - SIMULACION PARALELA ()
Page 72
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
ALGUNAS TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR B. TECNICAS PARA SELECCIONAR Y MONITOREAR TRANSACCIONES SELECCION DE TRANSACCIONES DE ENTRADA
MODULOS DE AUDITORIA ENCAJADOS EN LOS SISTEMAS REGISTROS EXTENDIDOS ()
Page 73
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
ALGUNAS TECNICAS DE AUDITORIA ASISTIDAS CON EL COMPUTADOR C. TECNICAS PARA ANALIZAR PROGRAMAS DE APLICACION
Page 74
SNAPSHOT () MAPPING TRACING () TAGGING () FLUJOGRAMAS DE CONTROL
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
DATOS DE PRUEBA ESTA TECNICA CONSISTE EN EJECUTAR LOS PROGRAMAS DE LA APLICACION QUE ESTEN EN PRODUCCION CON UN PAQUETE DE DATOS DE PRUEBA ( TEST DECK ) ESPECIALMENTE PREPARADOS POR EL AUDITOR PARA PROBAR LA EXACTITUD DEL PROCESAMIENTO Y LOS CONTROLES INCORPORADOS EN EL SOFTWARE DE LA APLICACION. ES EL METODO DE PRUEBA MAS FACIL DE APLICAR Y UNO DE LOS MAS EFECTIVOS PARA VERIFICAR EL FUNCIONAMIENTO CORRECTO DE LOS PROGRAMAS DE LAS APLICACIONES.
Page 75
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
DATOS DE PRUEBA EL PAQUETE DE DATOS DE PRUEBA QUE SE PREPARE LA PRIMERA VEZ, PUEDE SER REUTILIZADO POSTERIORMENTE PARA HACER SEGUIMIENTOS Y EN LOS SIGUIENTES AUDITAJES DE LA APLICACION. SIRVE PARA :
••CONOCER LA LOGICA DE PROCESAMIENTO DE LA APLICACION. ••VERIFICAR LA EXACTITUD DE LOS CALCULOS EFECTUADOS POR LOS PROGRAMAS DE APLICACION. ••OBTENER EVIDENCIA DE LOS CONTROLES IMPLANTADOS DENTRO DE LOS PROGRAMAS DE LAS APLICACIONES QUE ESTEN EN PRODUCCION.
Page 76
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
FACILIDAD DE LA PRUEBA INTEGRADA - ITF ES UNA SOFISTICACION DEL METODO DE DATOS DE PRUEBA. EN VEZ DE REALIZAR LA CORRIDA DE PRUEBA EN FORMA SEPARADA DE LA DE PRODUCCION, SE INTEGRAN LOS ODS PROCESOS, EL DEL AUDITOR Y EL DE PRODUCCION NORMAL. LOS DATOS DE PRUEBA ELABORADOS POR EL AUDITOR SE MEZCLAN CON LOS DATOS OFICIALES DE LA EMPRESA Y SE PROCESAN JUNTOS EN UNA MISMA CORRIDA UTILIZANDO EL AMBIENTE DE PRODUCCION NORMAL.
PARA NO ALTERAR LOS RESULTADOS OFICIALES DE LA EMPRESA CON LOS DATOS DEL AUDITOR, SE UTILIZA UNA "ENTIDAD FICTICIA" DENTRO DE LOS ARCHIVOS DE LA APLICACION, A DONDE VAN A PARAR LOS RESULTADOS DEL AUDITOR.
Page 77
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
FACILIDAD DE LA PRUEBA INTEGRADA - ITF SE DENOMINA INTEGRADA PORQUE LOS DATOS DE PRUEBA ELABORADOS POR EL AUDITOR, SE PROCESAN JUNTO CON LAS TRANSACCIONES REALES DE PRODUCCION. LOS REGISTROS MAESTROS DE AUDITORIA RESIDEN EN LOS ARCHIVOS NORMALES DE LA APLICACION, EN UNA ENTIDAD FICTICIA QUE ES PARTE DE LA ESTRUCTURA ORGANIZACIONAL DE LA APLICACION LAS PRUEBAS DE AUDITORIA PUEDEN SER REALKIZADAS EN EL CICLO NORMAL DE PROCESAMIENTO. SIRVE PARA: EXAMINAR EL PROCESAMIENTO DE UNA APLICACION EN SU AMBIENTE DE OPERACION NORMAL O REGULAR DE PRODUCCION.
Page 78
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
REGISTROS EXTENDIDOS ESTA TECNICA RECOGE ( SELECCIONA ), POR MEDIO DE UNO O MAS PROGRAMAS ESPECIALES, TODOS LOS DATOS SIGNIFICATIVOS QUE HAN AFECTADO EL PROCESAMIENTO DE UNA TRANSACCION INDIVIDUAL DENTRO DE UNA APLICACION COMPUTARIZADA EN PARTICULAR. ESTO INCLUYE LA ACUMULACION DENTRO DE UN UNICO REGISTRO DE LOS RESULTADOS DEL PROCESAMIENTO SOBRE EL MISMO PERIODO DE TIEMPO REQUERIDO PARA EL PROCESAMIENTO COMPLETO DE LA TRANSACCION. EL REGISTRO EXTENDIDO INCLUYE DATOS DE TODOS LOS SISTEMAS DE APLICACION DE COMPUTADOR QUE CONTRIBUYERON AL PROCESAMIENTO DE UNA TRANSACCION.
Page 79
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
REGISTROS EXTENDIDOS LOS REGISTROS EXTENDIDOS SON COMPILADOS DENTRO DE ARCHIVOS QUE PROPORCIONAN UNA FUENTE CONVENIENTEMENTE ACCESIBLE PARA LOS ADTOS DE LAS TRANSACCIONES.
ESTA TECNICA ES INSTALADA POR EL PERSONAL DE SISTEMAS. ES ENCAJADA DENTRO DEL SISTEMA DE APLICACION. PROPORCIONA UNA PISTA DE AUDITORIA COMPLETA PARA CADA TRANSACCION APLICABLE A TODOS LOS SISTEMAS DE APLICACION
Page 80
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
SIMULACION PARALELA RECIBE SU NOMBRE DEL HECHO DE QUE EL AUDITOR PUEDE CREAR UN NUEVO JUEGO DE PROGRAMAS DE APLICACION QUE PROCESEN INFORMACION EN PARALELO CON LOS PROGRAMAS DE PROCESAMIENTO REALES ( PROTOTIPO ).
EL TERMINO SIMULACION SE DA YA QUE LOS PROGRAMAS DISEÑADOS POR EL AUDITOR EFECTUAN LAS MISMAS FUNCIONES DE PROCESAMIENTO QUE LOS PROGRAMAS DE LA APLICACION NORMALES, PERO A TRAVES DE DIFERENTES CAMINOS, PERO NO NECESARIAMENTE SE PROCESAN AL MISMO TIEMPO. NO SE NECESITA REPRODUCIR INTEGRAMENTE LA APLICACION, SINO NOLAMENTE LAS FUNCIONES QUE SEAN RELEVANTES PARA EL AUDITOR.
Page 81
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
SIMULACION PARALELA ESTA TECNICA PERMITE VERIFICAR Y EVALUAR : •• EL PROCESAMIENTO DE CONTROL Y DE VALIDACION DE ENTRADAS. •• LOS CALCULOS Y LA LOGICA DEL PROCESAMIENTO. ••LA LOGICA DE ACTUALIZACION DE ARCHIVOS MAESTROS. • LOS CONTROLES Y PROCEDIMIENTOS DE BALANCEO DE CIFRAS.
LOS PROGRAMAS DE SIMULACION LEEN LOS MISMOS DATOS DE ENTRADA QUE LOS PROGRAMAS DE LA APLICACION, UTILIZAN LOS MISMOS ARCHIVOS Y TRATAN DE PRODUCIR LOS MISMOS RESULTADOS .
Page 82
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
TAGGING - TRACING - SNAPHOT ES UNA FORMA DE PISTA DE LAS TRANSACCIONES, QUE SE ESTIPULA UNICAMENTE PARA LOS DATOS DE ENTRADA SELECCIONADOS, LOS CUALES LLEVAN UNA CLAVE ESPECIAL. ESTE SISTEMA ES USADO GENERALMENTE PARA GRANDES VOLUMENES DE INFORMACION EN QUE LA PISTA COMPLETA DE TODAS LAS TRANSACCIONES DE ENTRADA GENERARIA UN EXCESO DE INFORMACION NO UTILIZABLE. SI ESTAS FUNCIONES SE IMPLANTAN POR ANTICIPADO EN EL SISTEMA DE APLICACION, PUEDE AÑADIRSE UNA CLAVE ESPECIAL A CUALQUIER TRANSACCION DE ENTRADA PARA GENERAR UNA PISTA IMPRESA DE ESA PARTIDA ESPECIFICA, SIGUIENDO CADA PASO DEL PROCESAMIENTO DE LA APLICACION.
Page 83
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
TAGGING - TRACING - SNAPHOT CON LA APLICACION DE RUTINAS DE MARCACION Y SEGUIMIENTO ( TAGGING Y TRACING ) EN LA LOGICA DE PROGRAMACION, TODA TRANSACCION Y SU INFORMACION RELACIONADA PUEDE SEGUIRSE A TRAVES DEL SISTEMA Y CONOCER SU ESTADO DONDE SE QUIERA MEDIANTE SNAPHOT. A MEDIDA QUE SE EJECUTA CADA ETAPA, SE MUESTRA LA INTERACCION DE LAS TRANSACCIONES SELECCIONADAS CON LA DEMAS INFORMACION Y CON LAS PRUEBAS RELACIONADAS.
Page 84
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
COMPARACION DE CODIGOS CONSISTE EN COMPARAR COPIAS DE DOS (2) VERSIONES CONSECUTIVAS DE LA CODIFICACION DE LOS PROGRAMAS DE UNA APLICACION. SU OBJETIVO ES VERIFICAR SI SE ESTAN SIGUIENDO CORRECTAMENTE LOS PROCEDIMIENTOS DE MANTENIMIENTO Y CAMBIO DE PROGRAMAS Y DE LIBRERIAS DE PROGRAMAS.
GENERALMENTE ESTA TECNICA ES UTILIZADA PARA COMPARAR UNA COPIA QUE ESTA BAJO EL CONTROL DEL AUDITOR CON LA VERSION DEL PROGRAMA EN USO ACTUALMENTE EN EL PROCESAMIENTO DE DATOS. ESTA TECNICA SIRVE PARA PRUEBAS DE CUMPLIMIENTO MAS QUE PARA PRUEBAS SUSTANTIVAS.
Page 85
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
COMPARACION DE CODIGOS ES ESPECIALMENTE UTIL PARA PROGRAMAS QUE EJECUTAN FUNCIONES CRITICAS DE LOS NEGOCIOS Y ESTAN SUJETAS A CAMBIOS CONTINUOS ( SENSITIVOS ). NINGUNA EVIDENCIA PRODUCTO DE ESTA TECNICA PROPORCIONA INFORMACION SOBRE LA EFICIENCIA DE LOS PROGRAMAS DE APLICACION Y LA CONFIABILIDAD DE LOS ARCHIVOS DE DATOS QUE PROCESA.
SE PUEDE REALIZAR AUTOMATICA
Page 86
EN
FORMA
MANUAL
COMO
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
SOFTWARE A LA MEDIDA EL SOFTWARE A LA MEDIDA TAMBIEN DENOMINADO PROGRAMAS ESPECIALIZADOS DE AUDITORIA SON ESCRITOS PARA EJECUTAR TAREAS ESPECILAES DE AUDITORIA EN CIRCUNSTANCIAS ESPECIFICAS. LOS PROGRAMAS ESTAN ESCRITOS PARA O POR EL AUDITOR EN UN LENGUAJE DE PROGRAMACION . EL DESARROLLO Y USO DE PROGRAMAS ESPECIALIZADOS DE AUDITORIA ES USUALMENTE MAS DIFICIL QUE EL UTILIZADO EN UN PAQUETE GENERALIZADO DE AUDITORIA, PUES REQUIERE DEL AUDITOR UNA MAYOR HABILIDAD TECNICA.
Page 87
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
SOFTWARE A LA MEDIDA EL AUDITOR DEBE DEFINIR LOS OBJETIVOS DEL PROGRAMA Y CUANDO SEA NECESARIO, PROVEEER EL FLUJO DE LA LOGICA DEL PROGRAMA, LO MISMO QUE ANTICIPAR Y CONTROLAR LA PRUEBA Y EJECUCION DEL PROGRAMA. SI EL PERSONAL DE SISTEMAS DE LA EMPRESA ESCRIBE EL PROGRAMA, EL AUDITOR NO DEBE SOLAMENTE DETERMINAR QUE EL PROGRAMA ESTA DIRIGIDO A LOS OBJETIVOS DE LA AUDITORIA, SINO TAMBIEN QUE NO HAY UN CODIGO ADICIONAL INTRODUCIDO EN EL PROGRAMA QUE PUEDA ALTERAR LOS RESULTADOS DEL PROCESAMIENTO.
Page 88
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
SOFTWARE A LA MEDIDA TAMBIEN DEBE CONSIDERAR LOS CONTROLES GENERALES Y EJECUTAR LAS PRUEBAS QUE CONSIDERE APROPIADAS A LAS CIRCUNSTANCIAS. ADEMAS, DEBE CONSIDERAR LA REVISION DE LA LOGICA DEL PROGRAMA Y CONTROLAR LA COMPILACION ASI COMO LA PRUEBA Y PROCESAMIENTO DEL PROGRAMA.
SOLAMENTE DESPUES QUE EL AUDITOR ESTE SATISFECHO QUE EL PROGRAMA ESPECIALIZADO DE AUDITORIA EJECUTA LAS FUNCIONES DESEADAS DE AUDITORIA Y QUE SU PROCESAMIENTO ESTA CONTROLADO, DEBE ACEPTAR SUS RESULTADOS.
Page 89
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
SOFTWARE ( PAQUETE ) GENERALIZADO DE AUDITORIA ES UNA HERRAMIENTA DE AUDITORIA CONSISTENTE EN PAQUETES ( DE USO COMERCIAL ) DISEÑADOS EN LENGUAJES DE PROGRAMACION ESPECIALIZADOS, QUE TIENEN LA CAPACIDAD DE PROCESAR ARCHIVOS, CONTROLADOS POR PARAMETROS DE ENTRADA DEFINIDOS POR EL AUDITOR Y CUYO OBJETIVO ES SATISFACER SUS NECESIDADES. EXISTE SOFTWARE GENERALIZADO DE AUDITORIA DE DOS TIPOS:
• PREPROCESADORES O GENERADORES PROGRAMAS ( EN UN LENGUAJE ) • MACROLENGUAJES O INTERPRETADORES.
Page 90
DE
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
SOFTWARE ( PAQUETE ) GENERALIZADO DE AUDITORIA NO PERMITEN MODIFICAR LOS ARCHIVOS DE ENTRADA, SINO SOLAMENTE CONSULTARLOS PARA EXTRAER LA INFORMACION QUE REQUIERA EL AUDITOR. CON BASE EN EL PAQUETE, SE GENERAN PROGRAMAS DE COMPUTADOR, CON CAPACIDAD DE PROCESAR ARCHIVOS DE DATOS DE ACUERDO A LOS PARAMETROS DE ENTRADA PROPORCIONADOS POR EL AUDITOR.
Page 91
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
SOFTWARE ( PAQUETE ) GENERALIZADO DE AUDITORIA EL AUDITOR ESTRUCTURA SU PROGRAMA, CONSIDERANDO LOS DATOS DE ENTRADA ( LOS ARCHIVOS DEL SISTEMA A AUDITAR ), LOS PROCEDIMIENTOS A UTILIZAR ( DE ACUERDO AL OBJETO DE LA AUDITORIA ) Y LOS REBULTADOS ESPERADOS O REPORTES REQUERIDOS. UTILIZANDO LAS INSTRUCCIONES DEL LENGUAJE DE PROGRAMACION ESPECIALIZADO ( SOFTWARE GENERALIZADO DE AUDITORIA ) DISEÑA SU PROGRAMA DE AUDITORÍA. ESTE SOFTWARE GENERALIZADO PUEDE SER USADO PARA EL DISEÑO Y APLICACION DE OTRAS TECNICAS DE AUDITORIA DE SISTEMAS, YA QUE FACILITA LA PROGRAMACION SI SE CONOCE EL MANEJO Y OPERATIVIDAD DEL PAQUETE.
Page 92
CONTROL Y AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO TECNICAS DE AUDITORIA
SOFTWARE ( PAQUETE ) GENERALIZADO DE AUDITORIA EL USO DE ESTE SOFTWARE PERMITE REALIZAR PRUEBAS MAS DETALLADAS, YA QUE EL AUDITOR NO SE LIMITA A UNA MUESTRA MINIMA DE DATOS, SINO EN MUCHOS CASOS A TODOS LOS DATOS QUE CONTIENEN LOS ARCHIVOS DE LA APLICACION. EL COSTO SERIA MINIMO COMPARADO CON EL QUE SE INCURRIRA USANDO LENGUAJES DE PROGRAMACION CONVENCIONALES. EL COMPUTADOR SE USA DIRECTAMENTE PARA EFECTUAR FUNCIONES DE AUDITORIA; POR LO TANTO, EL USO DE PROGRAMAS DE OPERACION DE AUDITORIA DE PROPOSITO GENERAL, EN DONDE QUIERA QUE SE APLIQUE, NORMALMENTE DA COMO RESULTADO QUE LAS PRUEBAS SE EFECTUEN EN MENOS TIEMPO DEL PERSONAL Y A UN COSTO MAS BAJO DE LO QUE SERIA POSIBLE SI SE UTILIZAN OTRAS TECNICAS. Page 93