Professional Documents
Culture Documents
B.
Controles en el desarrollo y mantenimiento de los sistemas
Es de suma importancia la participacin activa del auditor en el ciclo de desarrollo y mantenimiento de los
sistemas; no slo en la verificacin del cumplimiento de las etapas previstas, sino tambin para el asesoramiento
respecto de los controles internos a considerar en el nuevo sistema. Esto es muy importante, fundamentalmente
por dos razones:
1. No se puede esperar que un sistema quede determinado para luego auditarlo. Los auditores deben
aprovechar para introducir controles
2. El auditor puede sugerir y participar en el diseo de controles en los sistemas
NORMAS A CONSIDERAR EN LOS DESARROLLOS DE LOS SISTEMAS
CONTROL Y EFICIENCIA
:
Estandarizar tcnicas de programacin y procedimientos de
operacin de los sistemas.
Efectuar controles en caso de cambios a programas
DOCUMENTACIN
:
Documentacin adecuada que describa los sistemas y los
procedimientos para llevar a cabo su procesamiento
GENERALES
:
Metodologa formal de desarrollo
Especificaciones de diseo
Documentacin en la construccin
Diseo de archivos y tablas
Documentacin de pruebas y resultados
Diagramaciones
PROCESO DE SELECCIN PARA LA ADQUISICIN DEL SOFTWARE
Ante la necesidad de adquirir algn tipo de software se debe cumplir el siguiente procedimiento
1. Realizar tareas previas relacionadas a la definicin de requerimientos e invitacin a los proveedores
2. Llevar a cabo el proceso de seleccin teniendo en cuenta las caractersticas del proveedor, las caractersticas
de el/los productos que ofrece, las caractersticas del proyecto de trabajo que propone y la composicin de los
costos ofrecidos
3. Proceder a la evaluacin final, realizando de ser posible una matriz comparativa de los diferentes proveedores
ponderando cada una de las caractersticas relevadas y seleccionando el proveedor que ms satisfaga las
necesidades planteadas (matriz de objetivos mltiples)
C. Controles en los sistemas de informacin
Riesgos de Aplicacin
Podemos identificar cuatro categoras de los riesgos, y medios de control:
Acceso no autorizado al procesamiento y registro de datos
Riesgo: se puedan leer, modificar, agregar o eliminar informacin de los archivos de datos o
ingresar sin autorizacin transacciones para su procesamiento
Medios de Control: Acceso slo otorgado a quienes no desempean funciones incompatibles,
prohibicin de accesos no autorizados.
Datos no correctamente ingresados al sistema
Riesgo: datos pueden ser imprecisos, incompletos o ser ingresados ms de una vez.
Medios de Control: controles sobre la precisin e integridad de los datos ingresados para el
procesamiento (programas) Otros controles de validacin: que cada campo responda al formato
definido (numrico, alfabtico, alfanumrico) Cantidad de datos. Todos los campos de datos
importantes deben estar completos, los datos deben ser compatibles con los datos permanentes,
identificacin de los nros de documentos o lotes procesados, saldos de transacciones deben
balancear
Datos rechazados y en suspenso no aclarados
Riesgo: perder datos, partidas en suspenso que no se identifican, analizan y/o corrigen en
forma oportuna. Las alternativas pueden ser: Transacciones aceptadas por el sistema y sealadas en
un informe de excepcin, Transacciones destinadas a una cuenta en suspenso del sistema en lugar
de ser procesadas, Transacciones completamente rechazadas. El Riesgo es que estas transacciones
no sean adecuadamente resueltas y procesadas.
Medios de Control: controles sobre transacciones rechazadas y partidas en suspenso. Se
deber crear un registro que los incluya para que su posterior correccin y procesamiento pueda ser
controlado.
Procesamiento y registracin de transacciones incompletos y/o inoportunos
Riesgo: las transacciones ingresadas o generadas pueden perderse o ser procesadas o
registradas en forma incompleta o inexacta o en el perodo contable incorrecto. El riesgo est dado por
incorrecta actualizacin de los registros.
Medios de Control: En los procesamientos por lote: Totales de Control; en otros
procesamientos: controles de balanceo programados, de transmisin de datos, de re-enganche y
recuperacin, de corte programados, sobre los datos generados por el sistema.
D. Controles en los archivos y las Bases de datos
Los principales riesgos son: a) las destrucciones b) los accesos no autorizados c) la revelacin a terceros
a) Implica el riesgo de destruccin tanto del soporte como del contenido de los mismos. Deben implementarse
controles que se conocen en su conjunto como seguridad fsica.
Deben existir polticas de resguardo y recupero de informacin (BACK-UPS que deben planificarse. Lo ptimo
sera un back-up total de forma diaria pero no es econmicamente viable. Los soportes utilizados deben ser
inventariados y etiquetados de forma clara y deben ser adecuadamente custodiados. Para saber si los backups funcionan, peridicamente deben realizarse pruebas de recupero de informacin
b) Estos riesgos se atacan con controles relacionados con la seguridad lgica. Es necesario contar con controles
de acceso y perfiles de usuario. El control de acceso implica la identificacin y la autenticacin del usuario. El
perfil de usuario asegura que un usuario slo pueda realizar las operaciones para las que est autorizado.
Para que un usuario se autentique ser necesario contar con "algo que uno sabe (ej. password ), algo que uno
tiene (ej. tarjeta) o algo que uno es (tcnicas biomtricas)
c) debe aplicarse la criptografa (aunque la informacin pueda ser visualizada no ser entendible)
Tambin se debe tener en cuenta el control de concurrencia (acceso simultneo a los datos) y el control de
transacciones (asegurando que una transaccin pueda completarse totalmente o volverse hacia atrs luego de
producido un fallo)
E. Controles en la entrada de datos
En cualquier sistema de informacin si entra basura sale basura.
El costo de detectar y corregir los errores una vez que ingresaron al SI es mucho mayor que el costo de
establecer controles internos adecuados para prevenir esos errores. La informacin debe cumplir con todas sus
caractersticas fundamentales (exactitud, completitud, pertinencia, legitimidad, confidencialidad, oportunidad, no
duplicacin, etc.)
La captura de los datos puede dividirse en tres momentos: la captura en s, la validacin de los mismos y
el almacenamiento. Los problemas pueden presentarse en cualquiera de estos tres momentos. En la entrada de
datos se tiende a la introduccin de tecnologa para reducir errores. En la validacin de los datos ser fundamental
la exactitud en las reglas de programacin (rangos, tipos de datos, contadores, sumadores, dgito verificador).
Si bien se trata de automatizar la captura, debe existir un medio alternativo ante cualquier contingencia.
Descripcin de Tareas a Realizar (Metodologa)
Son los aspectos a ser tenidos en cuenta por el auditor, desde los siguientes puntos de vista:
Ambiente de sistema
Recabar informacin sobre el grado de utilizacin del procesamiento electrnico de datos en
aquellas aplicaciones financieras significativas. Principales temas a considerar para adquirir
conocimientos sobre el ambiente, son los siguientes:
Conocimiento de la estructura organizativa de los sistemas
Conocimiento de la naturaleza de la configuracin de sistemas
Alcance del procesamiento computarizado de la informacin
Ambiente de Control
Conjunto de condiciones dentro de las cuales operan los sistemas de control. Est referido al enfoque
que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que
ejerce ese control. Los aspectos a considerar para evaluar la efectividad del ambiente de control son:
El enfoque de control por parte del directorio y la gerencia superior
La organizacin gerencial: posicin del gerente de sistemas
El gerente de sistemas tiene como funcin crear y mantener un adecuado ambiente de control.
Hecha la planificacin estratgica, se documentan las decisiones preliminares para cada uno de los componentes
con un enfoque tentativo de auditora
Planificacin detallada
Es la seleccin de los procedimientos de auditora, que comunmente se traducen en la preparacin de los
programas de trabajo. El auditor se concentra en obtener y documentar una comprensin sobre los controles
directos y generales para los componentes significativos de los estados financieros-
En cuanto al proceso
En cuanto al uso
Salida
Prueba
de
salida
VERIFICACIN
Ya definidos cules deben ser los controles que una organizacin debe aplicar en cada uno de los
componentes de sus SI, debemos analizar los diferentes circuitos que existan para comprobar que esos controles
sean cumplidos.
Se pasa entonces a las etapas de verificacin en las cuales se debe obtener evidencia comprobatoria,
vlida y suficiente de que los controles funcionan adecuadamente. Son las denominadas pruebas de
Propios de la vecindad: pueden ser permanentes (por ej. que la organizacin se encuentre lindando a una
estacin de servicio) o transitorios (por ej. que existan obras en la cercana de la organizacin)
Propios del ente: son los riesgos del edificio, como los materiales con los que est construido, la disposicin
fsica del equipamiento elctrico, la insonorizacin, etc.
Controles: construcciones adecuadas, desages aptos, bombas de desagote, sensores de lnea, generadores
propios, instalaciones antiincendios, UPS, grupos electrgenos, utilizacin de cable canal, cableado elctrico
adecuado, realizacin de back-ups, separacin fsica de copias de seguridad y equipos de contingencia,
identificacin del personal afectado y no afectado al rea de sistemas, etc.
Seguridad lgica
Los datos pueden sufrir consultas y modificaciones no autorizadas, adems de destrucciones.
Por ello se deben implementar medidas de seguridad lgica que hacen a la:
Identificacin: de la persona que quiere acceder a esos datos
Autenticacin: de esa persona. Se debe certificar que quien se identifica es quien dice ser (algo que
uno sabe, algo que uno tiene, algo que uno es). Si se utilizan claves las mismas deben ser nicas,
fciles de memorizar, expirables luego de un lapso determinado y deben aceptar una cantidad mnima
de intentos fallidos. Es recomendable contar con un sector que se encargue de la administracin de
todas las claves.
Autorizacin: se deben limitar las autorizaciones en el uso de los recursos del SI (tanto de los datos
como de las funciones que puedan realizarse con esos datos)
Documentacin: se deben llevar registros de todos los acontecimientos para tareas de vigilancia y
seguimiento estadstico.
PLAN DE CONTINGENCIA
La organizacin debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales o actos
intencionales que pongan en peligro su normal operatoria. Siempre se debe asegurar el COB ( continuity of
business). Las principales causas de la falta de prevencin son:
No nos puede pasar a nosotros
Apata en los cargos jerrquicos
Desconocimiento de cmo preparar un plan
Difcil cuantificacin de beneficios
Se deben analizar todos los riesgos, establecer los recursos crticos, elaborar un proyecto, desarrollar el plan y
realizar las pruebas pertinentes
Fase de emergencia: si se produce algn hecho grave, se debe establecer el ambiente de reconstruccin y
recuperacin y minimizar los daos ocurridos (las medidas de prevencin sern fundamentales para evitar daos
graves).
Fase de enlace: se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben
facilitar las tareas de recuperacin del ambiente.
Fase de back-up: es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias
de resguardo necesarios para ello.
Fase de recupero: se debe restaurar totalmente el SI a su normal funcionamiento, discontinuando la operacin con
el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal