Você está na página 1de 69

EVALUACION DE APLICACIONES EN

FUNCIONAMIENTO
EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

CONCEPTOS GENERALES
RIESGOS Y CONTROLES
PROCESO DE EVALUACION DE APLICACIONES
CASO PRACTICO
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

1. OBJETIVOS DE LA AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO

Evaluar y verificar que el sistema de informacin satisfaga razonablemente las siguientes caracteristicas de
seguridad y efectividad.

Los controles establecidos en el software y los procedimientos manuales de la aplicacin, protegen


apropiadamente contra los riesgos .

La informacin producida por la aplicacion es confiable, completa y oportuna y proporcionan informacin


relevante para satisfacer las necesidades operativas, administrativas y gerenciales del negocio.

Los datos son completos, exactos y autorizados.

Las rutinas de calculo ejecutadas por la aplicacion y las cantidades calculadas son exactas y se aplican
correctamente a los archivos.

El sistema detecta y reporta los errores obvios y proporciona adecuadas pistas de auditoria.

El plan de contingencias de la aplicacion es apropiado para dar continuidad a las operaciones del
negocio en caso de interrupciones prolongadas por fallas de hardware, software o potencia electrica
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

1. OBJETIVOS DE LA AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO

Es arpopiada y suficiente la documentacin relacionada con el sistema.

Es adecuada la division de funciones desde el punto de vista de seguridad.

Es adecuado el grado de participacin de los usuarios en las actividades de diseo, desarrollo y pruebas
del sistema
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

ESCENARIOS DE RIESGO DE LAS APLICACIONES DE SISTEMAS COMPUTARIZADOS

Son las areas de revision de los riesgos y controles de las aplicaciones de computador:
1. Origen y preparacin de los datos
2. Captura y validacin de datos
3. Procesamiento y actualizacin
4. Salidas de la actualizacin
5. Seguridad lgica del software
6. Seguridad lgica de los archivos
7. Cambios al software
8. Procedimientos de Back-up y recuperacin
9. Comunicacin de datos
10. Documentacin tcnica y del usuario
11. Utilizacin y control de resultados
12. Seguridad fsica de las instalaciones de cmputo
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

ESCENARIOS DE RIESGO DE LAS APLICACIONES DE SISTEMAS COMPUTARIZADOS

1. Origen y preparacin de los datos

Comprende las actividades desde la generacin de documentos fuente hasta su recepcin.

Los responsables son las empresas y clientes que originan, generan, reciben documentos fuentes

2. Captura y validacin de datos

Comprende las actividades manuales y automatizadas que se realizan desde la recepcin de documentos
hasta su validacin y captura.

3. Procesamiento y actualizacin de datos

Evalua la exactitud, completitud y oportunidad del procesamiento de los datos. Verifica que los datos son
procesados por los programas y procesos autorizados
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

ESCENARIOS DE RIESGO DE LAS APLICACIONES DE SISTEMAS


COMPUTARIZADOS

4. Salidas del proceso de actualizacin

Evalua que existan controles adecuados para prevenir, detectar y corregir errores,
irregularidades y omisiones durante las actividades de produccin de resultados para los
usuarios.

Comprende las actividades desde la finalizacin del proceso de acutalizacin, incluyendo la


produccin de resultados, la identificacin , preparacin envio de resultados hasta su
recepcin por los usuarios

5. Seguridad del software

Evalua los procesos de identificacin, autorizacin autenticacin, journal y monitoreos


ofrecidos por la aplicacion y sistema operacional para controlar el acceso a los programas
fuentes y objetos de la aplicacin
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

ESCENARIOS DE RIESGO DE LAS APLICACIONES DE SISTEMAS


COMPUTARIZADOS

6. Seguridad lgica de los archivos.

Comprende los procedimientos de identificacin, autorizacin y autenticacin


ofrecidos por la aplicacin o el sistema operacional para controlar el acceso a los
archivos de datos.

7. Cambios al software de la aplicacin.

Comprende los procedimientos de solicitud, anlisis, diseo, ejecucin e


instalacin de cambios a los programas de la aplicacin.

8. Procedimientos Back up y Recuperacin

los procedimientos de respaldo y planes de contingencia previstos para grantizar


el funcionamiento continuo de las operaciones sitematizadas y recuperarse de
desastres causados por fallas de hardware actos humanos o de la naturaleza.
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

ESCENARIOS DE RIESGO DE LAS APLICACIONES DE SISTEMAS


COMPUTARIZADOS

9. Terminales y comunicacin de datos

Comprende los procedimientos de seguridad fsica y ambiental sobre las terminales de computador y la
comunicacin de datos

10. Documentacin del sistema

Comprende la suficiencia, disponibilidad y calidad de la documentacin tcnica y del usuario

11. Seguridad fsica y controles en las instalaciones

Comprende los controles ejercidos para proteger los recursos de hardware, software, datos, personas e
instalaciones contra riesgos causados por desastres naturales, accidentes, infidelidad etc.
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGO
Es la probabilidad de ocurrencia de un hecho no deseado

Es el valor de las perdidas a que se exponen las empresas por la


ocurrencia de eventos perjudiciales (causas)

CAUSAS RIESGOS
Mal proceso de visacin Pagar un cheque doblemente
Errores en calculos tributarios Sanciones legales
Mala prestacin deserviciosPerdida de credibilidad
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CAUSAS DEL RIESGO

Hechos que dan origen a los eventos no deseados o Riesgos

Los controles actuan sobre las causas, para que los riesgos se materialicen las
causas deben estar presentes:

Una causa puede generar mas de un riesgo y un riesgo puede ser generado por
mas de una causa
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CAUSAS DEL RIESGO

Las causas de los riesgos pueden tener su origen en:

Errores Humanos.

Mal funcionamiento de los equipos y programas

Actos mal intencionados

Desastres naturales
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CONTROLES

Son todas las acciones orientadas a minimizar la probabilidad de ocurrencia de un


riesgo o el impacto de estos

La capacidad de ejercer influencia o restriccion sobre una accin

Es la accin que se toma para condicionar una operacin de acuerdo a un plan


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CONTROLES

Un control puede ser efectivo para diferentes riesgos. Un riesgo puede tener varios
controles

Un riesgo debe contar con los controles suficientes para reducirlo a niveles
manejables.

El exceso de controles genera ineficiencia, lentitud, costos y pede llegar a producir


mal servicio
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CONTROLES

Los controles pueden ser de tres tipos:

PREVENTIVOS (Evitan la ocurrencia de las causas)

DETECTIVOS (Detectan la ocurrencia de las causas)

CORRECTIVOS (Corrigen las consecuencias producidas)


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CONTROLES

CONTROL PREVENTIVO

Ofrecen la primera linea de defensa contra los eventos no deseables

Los riesgos que sobrepasen esta barrera deben ser detectados por los otros
tipos de controles

CARACTERISTICAS

Son pasivos no generan retroalimentacin


Claves de acceso
Llaves fsicas

Orientan las acciones para que ocurran correctamente


Capacitacin
Listas de chequeo
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO
CONTROLES

CONTROL PREVENTIVO

CARACTERISTICAS (Cont)

Reducen la frecuencia de la amenaza


Validaciones
Inspecciones peridicas
Segregacin de funciones

Son transparentes para las personas.

Son de bajo costo.

Estos controles son generalemente automticos


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CONTROLES

CONTROL DETECTIVO

Ofrecen la segunda barrera. Informan la ocurrencia de los hechos no deseados

CARACTERISTICAS

Accionan alarmas
Alarmas

Registran la ocurrencia de los hechos


Logs
Totales de balanceo

Bloquean la operacin del sistema


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CONTROLES

CONTROL DETECTIVO

Ofrecen la segunda barrera. Informan la ocurrencia de los hechos no


deseados

CARACTERISTICAS

Alertan al personal
Listados de reconciliaciohn

Verifican la efectividad del control preventivo


Completitud de datos de entrada
Pruebas de razonabilidad
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CONTROLES

CONTROL CORRECTIVO

Por lo general actuan con los controles detectivos. Una vez que se ha
detectado el hecho se debe ejecutar una accin correctiva

CARACTERISTICAS

Toman accin para resolver el problema


Implican reprocesos
Son muy costosos

Ejemplos
Planes de contingencia
Procedimientos de backup y recuperacin
Procedimientos de recuperacin de errores
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGOS TIPICOS

1. DAO Y DESTRUCCION DE ACTIVOS

2. HURTO

3. DESVENTAJA COMPETITIVA

4. SANCIONES LEGALES

5.FRAUDE

6.PERDIDA DE NEGOCIOS Y CREDIBILIDAD PUBLICA

7. EXCESO DE EGRESOS

8. DECISIONES ERRONEAS

9. PERDIDA DE INGREOS
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGOS TIPICOS

1. DAO Y DESTRUCCION DE ACTIVOS

Perdidas de dinero por desastres naturales o provocados por el hombre, que producen
daos o destruccin de los recursos que soportan la prestaci del servicio

Desastres naturales
Desastres provocados por errores y omisiones
Desastres por actos terroristas

ACCIDENTAL Y MAL INTENCIONADO


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGOS TIPICOS

2. HURTO

Perdidas ocasionadas por el robo de dinero y activos representados en equipos,


titulos valores, datos, software, suministros de computador, por actos de
empleados o terceros

MAL INTENCIONAL
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGOS TIPICOS

3. DESVENTAJA COMPETITIVA

Perdidas de dinero que resultan de

Divulgar datos de secretos comerciales e investigaciones de mercados que


constituyen ventaja frente a los competidores.

Ofrecer servicios de inferior calidad que los competidores

ACCIDENTAL Y MAL INTENCIONADO


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGOS TIPICOS

4. SANCIONES LEGALES

Perdidas de dinero que resultan de las multas que deben pagar la empresa
cuando

Se ejecutan las acciones por fuera del marco legal establecido

Se violan los derechos a la intimidad o privacidad de la informacin de clientes o


empleados

No se produce a tiempo la informacin requerida

ACCIDENTAL O MAL INTENCIONADO


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGOS TIPICOS

5. FRAUDE

Es la apropiacin indebida por parte de un individuo, de activos de la empresa o


de terceros confiados al cuidado de la empresa.

MAL INTENCIONADO
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGOS TIPICOS

6. PERDIDA DEL NEGOCIO

Perdidas de dinero causadas por los negocios que no se hacen, cuando por
actos accidentales o mas intencionado, se ofrece mal servicio a los clientes

Por ejemplo el sabotaje produce perdidas de dinero cuando los empleados en


forma intencional producen fallas, cese de activiades etc.

ACCIDENTAL Y MAL INTENCIONADO


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGOS TIPICOS

7. PERDIDA POR EXCESO DE EGRESOS

Perdidas de dinero causadas por los negocios qu no se hacen, cuando por actos
accidentales o mas intencionado, se ofrece mal servicio a los clientes

Por ejemplo el sabotaje produce perdidas de dinero cuando los empleados en


forma intencional producen fallas, cese de activiades etc.

ACCIDENTAL Y MAL INTENCIONAdo


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

RIESGOS EN LAS APLICACIONES

1. RIESGO DE ACCESO

2.INGRESO DE DATOS

3. PROCESAMIENTOS

4. ITEMS RECHAZADOS

5. ESTRUCTURA DE SISTEMAS

6. CAMBIO DE SOFTWARE

7. CONTINUIDAD DEL PROCESO


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: DE ACCESO

ACCESO GENERAL
ACCESO A FUNCIONES DE PROCESAMIENTO
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: DE ACCESO

ACCESO GENERAL:
Personas no autorizadas pueden accesar los archivos o programas

CONSECUENCIAS:

Acceso no autorizado a informacin confidencial


Realizar fraudes o provocar errores por cambios a archivos o
programas.
Sabotear o destruir recursos del rea de sistemas
Copia o robo de programas
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: DE ACCESO

CONSECUENCIAS:

Ingreso de virus
Generacin y distribucin de informacin a personal no autorizado
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: DE ACCESO

ACCESO A FUNCIONES DE PROCESAMIENTO


Personas no autorizadas pueden accesar las funciones de procesamiento

CONSECUENCIAS
El usuario que modifica tablas y archivos maestros puede tambien
modificar transacciones

Posibilidad de que una persona no autorizada consulte inf


confidencial

El usuario autorizado a determinados aplicativos modifique otros


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: INGRESO DE DATOS

Los datos pueden ser incorrectos, incompletos, duplicados o no ingresados

CONSECUENCIAS
Transacciones fraudulentas, duplicadas o incorrectas
Transacciones incompletas
Errores en campos claves
Errores contables
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: ITEMS RECHAZADOS O EN SUSPENSO

Los datos rechazados o pendientes de procesar pueden no ser identificados,


analizados y corregidos

CONSECUENCIAS
Las transacciones pueden ser omitidas
Pueden ser resueltas sin autorizacin
Pueden ser resueltas en forma inoportuna
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: PROCESAMIENTO

Las transacciones pueden perderse o procesarse em forma incompleta,


inexacta o inoportuna

CONSECUENCIAS:
Las transacciones pueden ser omitidas
Las transacciones pueden ser procesadas de manera incompleta
Las transacciones pueden ser procesadas en forma inexacta
Perdida de informacin en la transmisin de datos
Pueden ser resueltas en forma inoportuna
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: PROCESAMIENTO

CONSECUENCIAS:

Perdida de transacciones por interrupciones en el procesamiento


Falta de confianza en los resultados obtenidos del procesamiento
Generacin y distribucin de repotes incompleto
Errores por deterioro de los medios magnticos utilizados
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: ESTRUCTURA ORGANIZACIONAL DEL AREA

La estructura organizacional del departamento de sistemas y los procedimientos


operativos no garantizan un ambiente de procesamiento de datos apropiado
para preparar informacin confiable

CONSECUENCIAS:

Concentracin de funciones incompatibles


Cada programador podra utilizar sus propios criterios de programacin
Desarrollo de aplicaciones que no concuerdan con los planes
informticos
Desconocimiento de las aplicaciones
Alta dependencia del personal de sistemas
Inadecuada adquisicion de Software y Hardware
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo:CAMBIOS A LOS PROGRAMAS

Los programadores pueden realizar cambios incorrectos o no autorizados en


el software de aplicacin

CONSECUENCIAS:
Fraudes cometidos por los programadores
Peden surgir errores inadvertidos por cambios no autorizados y/o
no probados
Desconocimiento de cambios hechos y no documentados
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo:CONTINUIDAD DE OPERACIONES

Imposibilidad de recuperar la capacidad de procesamiento ante una interrupcin

CONSECUENCIAS:

Perdida de ingresos ante la interrupcin


Prdida de ventaja competitiva
Prdida parcial o total de informacin
Prdida de clientes o disminucin de penetracin de mercado
Multas y sanciones, por violaciones de normas contactuales, litigios,
etc
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

CONTROLES PARA LOS RIESGOS DE SISTEMAS COMPUTARIZADOS


EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: DE ACCESO

MEDIOS DE CONTROL

Software de control de acceso *OS/2 *RACF *ACF 2


Anlisis de logs
Control de acceso fsico
Proteccin de datos
EVALUACION DE APLICACIONES EN FUNCIONAMIENTO

Riesgo: ACCESO A FUNCIONES DE PROCESAMIENTO

MEDIOS DE CONTROL

Segregacin de funciones
EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

Riesgo: ACCESO A FUNCIONES DE PROCESAMIENTO

MEDIOS DE CONTROL

Medios de control de acceso


EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

Riesgo: DE ACCESO

SEGREGACION DE FUNCIONES
Otorgar acceso solo a quienes no tengan
funciones incompatibles
Impedir accesos no autorizados para asegurar la
separacin

Adecuada Software de Segregacin


estructura control de efectiva
acceso
EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

Riesgo: ACCESO A FUNCIONES DE PROCESAMIENTO

CONTROL DE ACCESO
Utilizar medios fsicos como llaves
Utilizar perfiles y contaseas
Utilizar Menus obligatorios
Restringir usuarios a determinadas
terminales
Dejar Logs
EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

Riesgo: INGRESO DE DATOS

MEDIOS DE CONTROL

Controles de edicin y validacin


Controles de lotes
Doble digitacin de campos crticos
EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

Riesgo: INGRESO DE DATOS

Controles de Edicin y Validacin


Formato
Campos faltantes
Lmites
Validacin
Duplicidad
Correlacin
Balanceo
Digito verificador
EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

Riesgo: INGRESO DE DATOS

Digito verificador
Multiplica cada digito por su posicin y
suma
Dividir por el mdulo
El complemento del resto frente al
mdulo es el digito verificador
EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

Procesamiento por lotes


Control de datos Ingreso de datos

nro lote 002


ti[po registro 30
total 2000

validaciones
nro tipo total
lote reg
002 30 2000
informe
003 20 600 Recha Acept
de
zos ado
control

CONCILIACION
EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

DATOS

DOBLE INGRESO

COMPARACION
EVALUACION DE APLICACIONES EN
FUNCIONAMIENTO

Riesgo: TRANSACCIONES RECHAZADAS O EN SUSPENSO

MEDIOS DE CONTROL

Controles programados
controles de usuario
Riesgo: TRANSACCIONES RECHAZADAS O EN SUSPENSO

CONTROLES PROGRAMADOS

Datos

maestro Ingreso y acepta


validacion

Rechaza

Informe de control

CONTROLES DE USUARIO
Riesgo: PROCESAMIENTO

Formularios prenumerados y rutina de control de


secuencia

12

10 ?
09
Riesgo: PROCESAMIENTO

Controles de balanceo

Maestro + Novedad = Maestro


actializado
Riesgo: PROCESAMIENTO

Controles de lote

20
25

+ 45

20
25
45
Riesgo: PROCESAMIENTO

Controles de rotulos internos de archivos

Febrero
Abril

Marzo

Abril
Riesgo: PROCESAMIENTO

Controles de transmisin de datos

001

001 001
Riesgo: PROCESAMIENTO

Procedimientos de recuperacin
Riesgo: Estructura organizativa

Medios de control

Segregacion de funciones
en el dpto de sistemas

Controles y procedimientos
operativos
Operacin Sistemas
Riesgo: Estructura organizativa

Medios de control

Segregacion de funciones en el dpto de sistemas:

Segregacin de las funciones de los usuarios

Segregacin dentro del departamento de sistemas


Administracin de la base de datos
Funciones de programacin
Funciones de operacin
Administrador de seguridad
Riesgo: Estructura organizativa

Medios de control
Controles y procedimientos operativos

* Manuales de operacin
* Controles operativos diarios

. Supervisin
6 AM 2 PM 10 PM
2 PM 10PM 6 AM
Riesgo: Estructura organizativa

Medios de control
Controles y procedimientos operativos

* Controles operativos diarios


. Revision de logs

. Cronogramas de operacin
Riesgo: Estructura organizativa

Medios de control
Controles y procedimientos operativos

* Controles operativos diarios


. Autorizacin de corridas
no programadas
Form 2
Form 1
Riesgo: Estructura organizativa

Medios de control
Controles y procedimientos operativos

* Controles operativos diarios


. Rtulos internos Fecha cre
Nombre
Aplicaci
Expiracin

. Separacin de librerias Desarrollo Produccin


Riesgo: Estructura organizativa

Medios de control
Controles y procedimientos operativos

* Supervisin de usuarios privilegiados


* Control de software sensitivo

* Controles sobre desarrollo


Riesgo: Cambios a los programas

Medios de control
Modificacin

NO Procedimientos de
Iniciacin, aprobacin
y documentacin
Intervencin de los
usuarios

Procedimientos de
prueba

Proc. de catalogacin
Riesgo: Continuidad de operaciones

Medios de control

Desarrollar y documentar el plan de contingencias


Procedimientos de backup
Contratos de mantenimiento
Documentacin actualizada de aplicaciones
Utilizar UPS
Convenios de soporte con otras empresas
Polizas de seguros
Riesgo: Continuidad de operaciones

Medios de control

Desarrollar y documentar el plan de contingencias


Procedimientos de backup
Contratos de mantenimiento
Documentacin actualizada de aplicaciones
Utilizar UPS
Convenios de soporte con otras empresas
Polizas de seguros

Você também pode gostar