Programa de Formación Complementaria virtual

Controles y Seguridad Informática

Investigación

Controles de Aplicación en mi Empresa

Investigación

Controles de Aplicación en mi Empresa.

En una empresa al realizar auditoría a un sistema de información, se hace

necesario dividir este sistema en subsistemas que permitan realizar un mayor
análisis a cada uno de estos por lo tanto se realizan Controles de entrada,
controles de salida, controles de teleprocesamiento.

Tome como referencia la empresa donde labora u otra de su elección, allí revise
como se realiza el procesamiento de los datos (como se ingresan los datos al
sistema), qué controles se llevan a cabo para esta captura de datos.

Posteriormente indague como se realiza el procesamiento y salida de estos datos

según el sistema que esté analizando, verificando que controles de procesamiento
y salida se llevan a cabo.
Por último, verifique como se realizan los controles de teleprocesamiento en
cuanto a: como es la seguridad en los terminales, en el hardware y software, y los
usuarios que operan las terminales.

Una vez detallados los controles en las funciones administrativas de la empresa,

se realizan los controles a datos y transacciones, verificando que la información
mantiene tanto sus atributos como características, al igual que los sistemas
propuestos cumplen con los objetivos por los que fueron creados.

Los controles de aplicación deben ser cuidadosamente evaluados para analizar si

realmente son suficientes y efectivos en la salvaguarda de activos y en ayudar a
mantener la integridad de los datos.

En la actualidad muchas empresas implementan unos sistemas o herramientas

tecnológicas para su negocio para tener en ella un manejo ágil de la información y
de sus transacciones.
Es por eso que los auditores tienen la tarea de prestar especial atención a estos
sistemas por medio del control de aplicación para con ello lograr que la
información y los procesos que se manejan sean exactos, completos y correctos.

Esto se hace necesario con el fin de monitorear y mitigar los riesgos que la
implementación de dichos sistemas conlleva para las empresas.

 PARA EMPEZAR DEBEMOS SABER COMO AUDITAR CONTROLES DE

APLIACACION.

En la actualidad las empresas dependen mucho y cada vez más de los sistemas
como un medio seguro y efectivo para alcanzar los objetivos definidos, el
AUDITOR INTERNO cada vez más debe estar informado del funcionamiento de
dichas aplicaciones, de los riesgos que las mismas acarrean, así como la forma de
monitorear y mitigar dichos riesgos.

Dicho esto uno de los aspectos principales aspectos al momento de analizar el

control interno de una empresa es poder saber que es un “CONTROL DE
APLICACIÓN”.

CONTROL DE APLICACION.

 Los controles de aplicación permiten asegurar por completo con exactitud y

precisión la validez e integridad de los datos en el procesamiento de los
datos, en el procesamiento de las transacciones a través de las
aplicaciones informáticas.
 Estos controles se implementan en las etapas de entrada, procesamiento y
salida de los sistemas informáticos.
 Están diseñados para evitar que ingresen al sistema datos erróneos, es
decir que son primeramente controles preventivos.
 También permiten detectar y corregir errores que fueron ingresados al
sistema con anterioridad.
 Que los datos son procesos en tiempo oportuno.
 Los datos son almacenados de forma adecuada y completa.
 Que registros son mantenidos para realizar un seguimiento de las entradas
y eventuales salidas del sistema.

Los controles de aplicación consisten en actividades manuales y/o automatizadas

que aseguran que la información cumple con ciertos criterios, los que COBIT
refiere como requerimientos de negocio para la información.

Estos criterios son:

  Efectividad.
 Eficiencia.
 Confidencialidad.
 Integridad.
 Disponibilidad.
 Cumplimiento.
 Confiabilidad.

Los controles de aplicación se establecen para proporcionar una seguridad

razonable de que los objetivos que la gerencia establece sobre las aplicaciones se
alcanzan, estos objetivos se articulan normalmente a través de funciones
específicas para la solución, la definición de las reglas de negocio para el
procesamiento de información y la definición de procedimientos manuales de
soporte.

Un ejemplo de ellos es:

 Totalidad (Integridad).
 Exactitud.
 Validez.
 Autorización.
 Segregación de Funciones.

Es necesario asegurarse de que existen suficientes controles para mitigar los

riesgos, y que además estén operando con efectividad para proveer información
confiable.

Durante el ciclo de vida de los sistemas, diversas partes de la organización

realizan actividades, responsabilidades y roles con los controles de aplicación.

QUE ES COBIT.

Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en

inglés: Control Objectives for Information and related Technology) es una guía de
mejores prácticas presentada como framework, dirigida al control y supervisión de
tecnología de la información (TI).

LOS CONTROLES DE APLIACION PUEDEN SER

MANUALES:

 Autorización de créditos por el comité de créditos.

 Conciliaciones bancarias.
  Aprobación de pago a proveedores.

COMPUTARIZADOS:

 Control de solicitudes de crédito aprobados.

 Rechazo de asientos no balanceados.

QUE ES CONTROL DE ENTRADA DE DATOS.

Un Lenguaje de Control de Datos (DCL por sus siglas en inglés: Data Control
Language) es un lenguaje proporcionado por el Sistema de Gestión de Base de
Datos que incluye una serie de comandos SQL que permiten al administrador
controlar el acceso a los datos contenidos en la Base de Datos.

COMO SE REALIZA LOS CONTROLES DE ENTRADA DE PROCESAMIENTO

DE DATOS.

La forma de captura de datos es a través de entrada directa, ingreso de datos

mediante máquina y tarjetas con código de barras; a través del sistema se
ingresan las notas de las personas y para sacar las información de los mismos, se
utiliza el lector de tarjetas inteligentes, un lector óptico, el registro de cada persona
se realiza mediante un software web que sincronizado con el documento nacional
de identidad de cada persona genera los nombres apellidos de cada persona;
también se registran los datos de cada encargado de cada área de la empresa.

Los trabajos de entrada de datos no requieren ninguna calificación especial,

conocimiento o talento, y sólo requieren precisión y rapidez de respuesta. Como
tal, los trabajos de entrada de datos son frecuentemente subcontratados con el fin
de reducir los costos. Las computadoras también se utilizan en la entrada
automatizada de datos, ya que son muy precisas y pueden programarse para
buscar y transcribir datos en el medio requerido.

Los datos con clave precisa son la base sobre la cual la organización puede
realizar análisis y hacer planes.

La introducción manual de datos requiere a menudo buena concentración y

concentración durante un largo período de tiempo, y esto puede resultar un
desafío físico y mental para los trabajadores que ingresan datos.

Los datos son almacenados en un

DISPOSITIVO DE ALMACENAMIENTO
El control de datos intercepta todos los archivos que se copian en dispositivos de
almacenamiento controlados mediante el Explorador de Windows (incluido el
Escritorio). Sin embargo, no se interceptan los archivos que se guardan desde
aplicaciones, como Microsoft Word, o mediante transferencias desde la línea de
comandos.

Las acciones Pedir confirmación al usuario y registrar evento y Bloquear

transferencia y registrar evento permiten hacer que el uso del Explorador de
Windows sea obligatorio para todas las transferencias a dispositivos de
almacenamiento controlados. En ambos casos, el control de datos impide la
transferencia de archivos desde la línea de comandos o que se guarden
directamente desde una aplicación, y aparece una alerta para que el usuario utilice
el Explorador de Windows.

Cuando las políticas de control de datos sólo contienen reglas para la acción
Permitir transferencia y registrar evento, es posible guardar archivos directamente
desde aplicaciones y realizar transferencias desde la línea de comandos. Esta
configuración permite que los usuarios utilicen dispositivos de almacenamiento
libremente. Sin embargo, se siguen registrando eventos de control de datos de las
transferencias realizadas mediante el Explorador de Windows.

Esta restricción no afecta al control, de aplicaciones.

APLICACIONES.

Para garantizar que sólo se controlan los archivos cargados por los usuarios,
ciertas carpetas del sistema están excluidas del control de datos. De esta forma se
minimiza el número de falsas alarmas cuando la aplicación carga archivos de
configuración.

Es importante saber que si se generan falsas alarmas al utilizar alguna aplicación,

pruebe a excluir la carpeta de la aplicación o haga las reglas menos restrictivas.

Las exclusiones del escaneado en acceso no se aplican siempre al control de

datos.

CONTROLES DE PROCESAMIENTO.

Los programas de computación deben ser sometidos a pruebas antes de ser

lanzados a producción rutinaria, y los datos de entrada también deben ser
controlados antes de ingresar a un procesamiento, el auditor debe revisar las
condiciones bajo las cuales se realiza el procesamiento interno.
Programar controles sobre el procesamiento tiene sus razones; una de ellas es
que un programa puede ser modificado indebidamente (con intención o
accidentalmente).

El auditor no debe confiar en que una vez controlados los datos de entrada,
controlados los archivos y probados los programas, no puedan ocurrir errores de
procesamiento que den por resultado salidas incorrectas.

Fuentes de errores en los programas de aplicación:

 Errores de codificación.

En el momento de escribir las instrucciones, el programador puede cometer

errores de codificación, los cuales son detectados durante el proceso de
compilación cuando el programa es traducido del lenguaje simbólico (humano) al
lenguaje absoluto (de maquina).

 Errores u omisiones en el diseño lógico del procesamiento.

Un diseño debe contemplar la totalidad de condiciones de procesamiento que

puedan presentarse. En algunos casos es imposible probar con anticipación todos
los juegos de combinaciones posibles dentro de un programa complejo, y con el
paso del tiempo puede presentarse una situación no prevista.

 Modificaciones incorrectas del programa.

Toda modificación aun programa deber ser probada y aprobada. En programas

complejos, una modificación puede quedar incompleta si no se prevé el impacto
que la misma puede ocasionar sobre otra parte del programa o sobre otros
programas asociados.

 Controles incluidos en los programas para detectar errores de

procesamiento..

Los programas de aplicación deben prever la posibilidad de detectar errores de

procesamiento y, en ese caso, deben indicar el error a través de mensajes
dirigidos en primera instancia al operador. Estos mensajes, o bien las
instrucciones al operador contenidas en el manual de operaciones o en las ayudas
(helps) visibles en pantalla, deben especificar un procedimiento de corrección.
Según el tipo de error, el procesamiento deberá ser interrumpido o por el contario
continuar.
Algunos de los tipos de control que comprueban el procesamiento de la
computadora:

 Importe totales predeterminados.

En el procesamiento se incluye una corrida, un importe total que deberá ser

conciliado al final del procesamiento de todas las partidas procesadas. La
conciliación se puede efectuar automáticamente por el mismo programa; esto
aseguraría que el procesamiento ha sido correcto y completo, al menos en cuanto
a la cantidad de ítems procesados.

 Controles de razonabilidad y de límites de importes calculados por

programa.

Los programas deben comprobar la razonabilidad de un cálculo aritmético

efectuado durante el procesamiento, comparando el resultado obtenido en cada
operación con límites fijos o flexibles predeterminados. En operaciones de
facturación de productos relativamente homogéneos, el programa puede prever un
cálculo adicional que permita comprobar si el precio resultante queda dentro de un
marco de referencia razonable o estándar. Si el precio llegase a ser erróneo esté
se deberá anunciar por medio de un mensaje de error.

El auditor debe controlar la efectividad del método, desde su inicio hasta su final.

 Prueba de sumas horizontales.

Es un método de control cruzado que consiste en llegar a un importe neto final

por dos caminos diferentes. Si las cifras finales obtenidas a través de estos dos
caminos no coinciden, se deberá indicar el error en el procesamiento.

QUE ES CONTROL DE SALIDA.

Los datos de salida son datos derivados, es decir, obtenidos a partir de los datos
de entrada. Por esta razón, a los datos de salida se les considera más
significativos que a los datos de entrada. Ambos tipos de datos son información
(textos, imágenes, sonidos, vídeos,...) que maneja la computadora. Sin embargo,
en un sentido más filosófico, a los datos de entrada se les considera la materia
prima de los datos de salida, considerados estos como la verdadera información.
COMO SE REALIZA LOS CONTROLES DE SALIDA.

La información de salida de un procesamiento computarizado se refleja en listados

o tabulados impresos en papel o formularios continuos.

Algunos de los controles de salida más habituales son:

 Custodia de los formulario críticos o negociables.

Los formularios en blanco que serán destinados para ser impresos por
computadora deben estar protegidos adecuadamente contra robos o daños.
También deberán mantenerse adecuados registros sobre la existencia y uso de
los mismos, y cumplirse con planes de recuentos físicos periódicos.

 Conciliación entre formularios salidos del inventario y aquellos procesados

(impresos).

Una persona ajena a quien genere la impresión deberá conciliar y fundamentar las
razones de las diferencias por errores de impresión, mutilaciones, etc.

 Conciliación de importes totales contenidos en las salidas.

El encargado de Mesa de Control o de la sección Control de Datos deberá

conciliar los importes totales de salida con los respectivos importes totales de
datos de entrada. Al auditor de sistemas tendrá que verificar si en el diseño del
sistema la existencia de pistas de auditoria permitirá el rastreo del procesamiento
de las transacciones en caso de ausencia de balanceo.

 Control de distribución y verificación de recepción.

El control de distribución obedece a la necesidad de mantener la confidencialidad

de la información reservada. Debido a que actualmente la mayoría del
procesamiento de información pasa por procesos computarizados.

 Tiempo de retención de informes.

La política de retención deberá determinar los tiempos fijados desde el punto de

vista legal y desde la normativa interna de la empresa.

 Información de salida para corrección de errores.

Los programas prevén métodos de detención de errores, en estos casos, los
errores se imprimen en un listado o bien se muestran por pantalla pero lo
realmente importante es verificar que los mismos queden registrados en
almacenamiento transitorio hasta tanto se verifique su corrección y reingreso al
proceso. El auditor revisara el procedimiento que utiliza el usuario para corregir y
retornar los datos al proceso.

QUE SON CONTROLES DE TELEPROCESAMIENTO.

Es la ejecución de una aplicación de forma remota, mediante el uso de una red de

comunicación de datos.

Es el resultado de la conjunción de dos palabras, la primera TELE significa “a distancia” y

PROCESO “en el ámbito de la informática, es la ejecución sistemática de un
conjunto de instrucciones, para capturar datos de entrada, transformarlos y
generar una salida”, por lo tanto se puede inferir que

Es la ejecución de una aplicación de forma remota, mediante el uso de una red de

comunicación de datos.
Teleproceso esta generalmente asociada con las redes de comunicación de datos,
esto es totalmente cierto, porque es una condición necesaria, no obstante el
Teleproceso existe en todas la aplicaciones de la vida que cumplen con la
definición antes descrita, por ejemplo en los programas de radio, en la televisión,
en la telemedicina, en la telemetría, etc.

COMO SE REALIZA LOS CONTROLES DE TELEPROCESAMIENTO.

Una red es un sistema donde los elementos que lo componen (por lo general
ordenadores) son autónomos y están conectados entre sí por medios físicos y/o
lógicos y que pueden comunicarse para compartir recursos. Independientemente a
esto, definir el concepto de red implica diferenciar entre el concepto de red física y
red de comunicación.

Respecto a la estructura física, los modos de conexión física, los flujos de datos,
etc. una red la constituyen dos o más ordenadores que comparten determinados
recursos, sea hardware (impresoras, sistemas de almacenamiento...) o sea
software (aplicaciones, archivos, datos...). Desde una perspectiva más
comunicativa, podemos decir que existe una red cuando se encuentran
involucrados un componente humano que comunica, un componente tecnológico
(ordenadores, televisión, telecomunicaciones) y un componente administrativo
(institución o instituciones que mantienen los servicios). En fin, una red, más que
varios ordenadores conectados, la constituyen varias personas que solicitan,
proporcionan e intercambian experiencias e informaciones a través de sistemas de
comunicación, eficaz de conexión para, al mismo tiempo, aumentar la fiabilidad del
sistema, evitar los tiempos de espera en la transmisión, permitir un mejor control
de la red y lograr de forma eficiente el aumento del número de las estaciones de
trabajo.