Scribd Logo
Importer

Bienvenue sur Scribd !

  • AudInf Diapos 7

    Transféré par

    Kevin_Cuarezma_7817
    20 vues57 pages

    Titre original

    AudInf-Diapos-7

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    20 vues57 pages

    AudInf Diapos 7

    Transféré par

    Kevin_Cuarezma_7817

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 57

    TEMA 7 AUDITORA DE LAS APLICACIONES

    Tema 7. Contenido
    Objetivos del tema Objetivo de los controles de aplicaciones Controles de entrada de datos Controles de validacin, edicin y procesamiento de datos Controles sobre los archivos de datos Controles de salida de datos Auditora de las aplicaciones

    Objetivos del tema


    Conocer el objetivo de los controles de las aplicaciones Conocer los controles de entrada, edicin y validacin, procesamiento, salida y archivo de datos Conocer las tcnicas para auditar los controles de las aplicaciones Conocer qu es la auditora concurrente

    Tema 7. Contenido
    Objetivos del tema Objetivo de los controles de aplicaciones Controles de entrada de datos Controles de validacin, edicin y procesamiento de datos Controles sobre los archivos de datos Controles de salida de datos Auditora de los controles de aplicaciones

    Objetivo de los controles de aplicaciones

    solo se introduzcan datos completos, exactos y vlidos proceso realice tarea correcta resultados proceso cumplen las expectativas datos se mantengan correctos y actualizado en los archivos

    Controles de aplicaciones
    Tipos Entrada de datos Validacin y Edicin de Datos Proceso Salida Archivos datos

    Tema 7. Contenido
    Objetivos del tema Objetivo de los controles de aplicaciones Controles de entrada de datos Controles de validacin, edicin y procesamiento de datos Controles sobre los archivos de datos Controles de salida de datos Auditora de los controles de aplicaciones

    Controles de entrada de datos


    Objetivos
    Asegurar que: cada transaccin se reciba procese registre de forma exacta y en su totalidad slo se procese informacin vlida autorizada una nica vez.

    Controles de entrada de datos


    Autorizacin entrada Transacciones correctamente aprobadas/autorizadas Tipos autorizacin Firma en formularios lotes La firma provee evidencia de su autorizacin Control acceso en lnea solo las personas autorizada pueden acceder a los datos Contraseas nicas Identificacin terminales permite que solo se pueda realizar la entrada desde determinados terminales

    Controles de entrada de datos


    Documentos fuente En ellos se registran los datos para su posterior introduccin Se utilizan cuando hay una demora entre la captacin del dato y su introduccin en el sistema

    Controles de entrada de datos


    Documentos fuente Beneficios aumento velocidad/exactitud introduccin datos facilitar preparacin datos forma legible mquina aumento velocidad / exactitud lectura datos facilitar control para referencia posterior

    Controles de entrada de datos


    Documentos fuente Diseo Enfatizar facilidad uso / legibilidad Agrupar campos similares para facilitar entrada Cdigos entrada predeterminados para reducir los errores Utilizar casillas para prevenir errores tamaos campos.

    Controlados adecuadamente

    Controles de entrada de datos


    Controles lote y balance Se utilizan para asegurar que: cada transaccin tiene un documento de entrada todos los documentos se incluyen en lote se presentan todos los lotes para su proceso todos los lotes son aceptados por el ordenador se realiza la conciliacin de la totalizacin del lote investigacin y oportuna correccin de las diferencias

    Controles de entrada de datos


    Controles lote y balance Tipos Importe total N tems N documentos Totales hash o ciego Pueden ser una combinacin de los anteriores La informacin se pone en el formulario de cabecera del lote

    Controles de entrada de datos


    Controles lote y balance Tipos de balance Manual Se compara la salida procesada con los totales de control Automatizada Se introducen los totales de control (al principio final del lote) Un programa realiza la conciliacin

    Controles de entrada de datos


    Informes Errores Entrada y su manipulacin Para verificar que: solo se aceptan datos correctos de identifican y corrigen los errores de entrada Formas de rechazo Rechazando solo transacciones con errores Rechazando todo el lote Aceptando el lote en suspenso Aceptando el lote y sealando las transacciones con errores

    Controles de la entrada de datos


    Integridad lotes en sistemas interactivos /con BD Perodos tiempo Terminales Usuarios

    Supervisor revisa y libera lotes

    Tema 7. Contenido
    Objetivos del tema Objetivo de los controles de aplicaciones Controles de entrada de datos Controles de validacin, edicin y procesamiento de datos Controles sobre los archivos de datos Controles de salida de datos Auditora de los controles de aplicaciones

    Controles de validacin y edicin


    Los datos se deben validar tan cerca del origen como sea posible
    Sirven para identificar: errores datos datos incompletos / faltantes incongruencias entre tems que estn relacionados Terminales inteligentes ---> parte de la edicin y validacin se realiza en el preproceso

    Controles de validacin y edicin


    Control secuencia Control rango Control razonabilidad Doble introduccin Carcter de control Control duplicacin Control completitud Control relacin lgica Control lmite Control validez. Bsqueda en tablas.

    Controles de procesamiento de datos


    Aseguran la exactitud y completitud de los datos procesados
    Reclculos manuales (en una muestra) Edicin Totales ejecucin a ejecucin Controles programados Verificacin razonabilidad cifras calculadas Controles lmites cifras calculadas Informes de excepciones

    Tema 7. Contenido
    Objetivos del tema Objetivo de los controles de aplicaciones Controles de entrada de datos Controles de validacin, edicin y procesamiento de datos Controles sobre los archivos de datos Controles de salida de datos Auditora de los controles de aplicaciones

    Controles sobre los archivos de datos

    Sirven para asegurar que los datos que residen en los archivos han sufrido el proceso adecuado

    Controles sobre los archivos de datos


    Informes imagen previa y posterior actualizacin. Conservacin de documentos fuente. Retener durante un perodo adecuado para permitir recuperacin reconstruccin verificacin de los datos. Acceso autorizado Destruccin controlada resguardada y controlada Etiquetas internas y externas

    Controles sobre los archivos de datos


    Utilizacin versin correcta proceso/reproceso

    Histrico transacciones.
    Registro de todas las transacciones introducidas Permite: generar un listado detallado ( fecha y hora de la entrada, cdigo del usuario, ubicacin) para rastro de auditora que el personal de operaciones determine qu transacciones han sido introducidas Menor tiempo de investigacin en caso necesario Disminuir el tiempo de recuperacin si se produce un fallo del sistema.

    Tema 7. Contenido
    Objetivos del tema Objetivo de los controles de aplicaciones Controles de entrada de datos Controles de validacin, edicin y procesamiento de datos Controles sobre los archivos de datos Controles de salida de datos Auditora de los controles de aplicaciones

    Controles de salida de datos


    Sirven para asegurar que los datos de salida se presentan y formatean de forma consistente y oportuna

    Controles de salida de datos


    Registro en un histrico y almacenamiento de formularios sensibles o crticos en un lugar resguardado Autorizacin distribucin Manipulacin de errores de salida Retencin de informe producidos Verificacin de la recepcin de informes

    Tema 7. Contenido
    Objetivos del tema Objetivo de los controles de aplicaciones Controles de entrada de datos Controles de validacin, edicin y procesamiento de datos Controles sobre los archivos de datos Controles de salida de datos Auditora de los controles de aplicaciones

    Auditora de los controles de aplicaciones


    Revisin documentacin aplicacin Anlisis del flujo de transacciones a travs del sistema. Observacin y prueba de los procedimientos que realizan los usuarios Pruebas de la integridad de Datos Pruebas de las aplicaciones

    Auditora de los controles de aplicaciones


    Revisin documentacin aplicacin Documentos metodologa desarrollo Especificaciones funcionales Atencin a la comprensin de los controles clave Cambios a programas autorizacin evidenciada de los cambios Manuales usuarios Documentacin tcnica de referencia.

    Auditora de los controles de aplicaciones


    Anlisis flujo transacciones Brinda informacin sobre controles clave proceso. Examen puntos: se introducen procesan imputan ---> bsqueda debilidades control

    Auditora de los controles de aplicaciones


    Observacin y prueba procedimientos de usuarios (1/3) Segregacin de tareas (origen, autorizacin, modificacin) observacin examen descripcin tareas examen niveles de autorizacin Autorizacin entrada autorizacin escrita sobre documentos entrada utilizacin contraseas nicas. muestreo documentos de entrada buscando autorizacin correcta examinando las reglas de acceso al ordenador

    Auditora de los controles de aplicaciones


    Observacin y prueba procedimientos de usuarios (2/3) Balance. verificar conciliacin oportuna totales control repeticin de algn balance revisin anteriores conciliaciones. Control correccin errores verificar evidencia revisin, investigacin y nueva carga de correcciones revisando correcciones a errores anteriores. Distribucin informes (crticos). Verificar su resguardo y distribucin observacin examen histricos distribucin. informes en lnea: examen reglas acceso.

    Auditora de los controles de aplicaciones


    Observacin y prueba procedimientos de usuarios (3/3) Examen y prueba autorizaciones y capacidades acceso. Tablas de control de acceso. Examen reglas de acceso

    Informes actividades asegurar actividad solo desarrollada horas normales operacin.

    Informes violaciones revisin procedimientos seguimiento

    Auditora de los controles de aplicaciones


    Pruebas de la integridad de los datos Son un subconjunto de las pruebas sustantivas para verificar que los datos sean exactos, completos, coherentes y autorizados Se utilizan pruebas similares a las de control sobre la entrada de datos Los errores en la integridad de los datos indican errores en los controles de entrada o de procesamiento.

    Auditora de los controles de aplicaciones


    Pruebas de la integridad de Datos : Integridad de dominio Sirven para verificar que los datos son conformes con sus definiciones Su principal objetivo es verificar que las rutinas de validacin y edicin funcionan satisfactoriamente. La prueba es a nivel de campo Aseguran que los elementos de datos tienen un valor legtimo.

    Auditora de los controles de aplicaciones


    Pruebas de la integridad de Datos: Integridad Relacional A nivel de campo y de registro La integridad relacional se consigue mediante rutinas de validacin de datos o mediante restricciones, que se ponen a los valores posibles de los campos, en la definicin de la tabla de la base de datos Puede ser un mezcla de las dos

    Auditora de los controles de aplicaciones


    Pruebas de la integridad de Datos: Integridad de Entidad La integridad de entidad establece que ninguna clave primaria pueda tener valores nulos El valor la clave primaria debe ser nico en toda la relacin

    Auditora de los controles de aplicaciones


    Pruebas de la integridad de Datos: Integridad Referencial Sirve para mantener la consistencia entre los datos de diferentes tablas. Todo valor de una clave externa de una tabla debe tener su correspondiente valor de clave primaria en otra tabla. Permite: (1) realizar borrados de un registro de una tabla y los correspondientes de las tablas con las claves externas correspondientes (2) actualizaciones de las claves externas cuando se actualice una clave primaria.

    Auditora de los controles de aplicaciones


    Pruebas de la integridad de Datos en sistemas de proceso

    de transacciones en lnea

    Sistemas multiusuario Necesidad de: acceder en paralelo a los datos almacenados (compartir datos) provisin de tolerancia a los fallos Este tipo de pruebas son vitales en los sistemas actuales basados en la utilizacin de un SGDB. Importancia del principio ACID (Atomicity, Consistency, Isolation, Durability):

    Auditora de los controles de aplicaciones


    Integridad de datos en sistemas de proceso de transacciones en lnea Atomicidad una transaccin o se completa en su totalidad (se actualizan todas las tablas relevantes) o no se actualiza nada. si ocurre un error en una transaccin se tienen que deshacer todos las actualizaciones ocasionadas hasta el momento por la transaccin.

    Auditora de los controles de aplicaciones


    Integridad de datos en sistemas de proceso de transacciones en lnea Consistencia Cada transaccin tiene que llevar a la BD desde un estado consistente a otro estado consistente. Aislamiento Cada transaccin se asla del resto de las transacciones Solo accede a datos que son parte de un estado consistente de la BDs. Durabilidad El resultado del proceso de la transaccin en la BD sobrevive a los subsiguientes fallos tanto de hardware como de software.

    Auditora de los controles de aplicaciones


    Pruebas de las aplicaciones Las pruebas de la eficacia de los controles de aplicaciones involucran:
    analizar los programas de aplicacin probar los controles de las aplicaciones seleccionar y seguir el proceso de las transacciones

    Auditora de los controles de aplicaciones


    Para analizar los programas de aplicacin Instantnea Registra el flujo de las transacciones seleccionadas a travs de los caminos lgicos en los programas Mapeado Identifica partes de la lgica de un programa que an no ha sido probada y analiza los programas en ejecucin para indicar que sentencias han sido ejecutadas Trazado y etiquetado Muestra las instrucciones ejecutadas. El etiquetado es el marcado de las transacciones seleccionadas y el trazado su seguimiento

    Auditora de los controles de aplicaciones


    Para probar los controles de aplicacin Datos de prueba Transacciones simuladas en programas reales Operacin paralela Los datos reales se procesan al mismo tiempo por un sistema actual y uno nuevo y se comparan los resultados Se utiliza para verificar un sistema nuevo antes de reemplazar a uno antiguo

    Auditora de los controles de aplicaciones


    Para probar los controles de aplicacin Centro de pruebas integrado Crea ficheros ficticios en la base de datos y prueba el proceso de las transacciones simultneamente con datos reales Simulacin Los datos reales se procesan con programas que simulan la lgica de un programa de aplicacin

    Auditora de los controles de aplicaciones


    Para seguir el proceso de los datos de las transacciones Programas de seleccin de transacciones Utiliza software de auditora para filtrar y seleccionar la transacciones de entrada reales Recogida de datos de auditora empotrada Un software empotrado en las aplicaciones filtra y selecciona tanto transacciones de entrada como generadas durante el proceso. Registros extendidos Recoge todos los datos afectados por un determinado programa.

    Auditora concurrente

    La auditora concurrente est siendo cada vez ms importante en el mundo de los negocios electrnicos actuales provee un mtodo para recoger evidencias en el mismo momento que tiene lugar el proceso permite seguir la operacin de un sistema de forma continua y recoger evidencias de forma selectiva directamente del ordenador. Si la evidencia recogida no indica que haya que tomar una accin inmediata, se almacena en ficheros de auditora separados para que su anlisis posterior

    Auditora concurrente
    VENTAJAS Las tcnicas de auditora concurrente son herramientas importantes de auditora
    especialmente en los complejos entornos actuales en los que se procesa un gran nmero de transacciones y que dejan un mnimo rastro en papel.

    incrementan la seguridad del sistema, al permitir que los auditores evalen, de forma continua, los controles operacionales sin interferir las operaciones normales. Cuando alguien malutiliza un sistema
    (p.e. retirando dinero de una cuenta inoperativa)

    una de estas tcnicas informar de esta mala utilizacin inmediatamente al auditor. Por tanto, se reducir el espacio de tiempo entre el momento de la mala utilizacin y su deteccin.

    Auditora concurrente
    Centros de pruebas integrados (ITF Integrated test facilities) Consiste en establecer una entidad ficticia en el sistema de archivos de una aplicacin en produccin para procesar datos de prueba frente a dicha entidad. Permite verificar la correccin del proceso. El ITF involucra ciertos riesgos Es necesario asegurarse de que no se alteran los datos de produccin Los resultados de las pruebas deben ser guardados separadamente de los resultados de la aplicacin Hay que asegurarse de que no quedan efectos residuales de las pruebas efectuadas.

    Auditora concurrente
    Instantneas/registro extendido Consiste en tomar fotografas de una transaccin a medida que se procesa en el sistema informtico. Esto se consigue integrando rutinas de auditora en el software de aplicacin en distintos puntos de la lgica del procesamiento en donde se quiera tomar una instantnea. Permite que el auditor rastree los datos y evale los procesos que se aplican a los datos en las diferentes etapas de procesamiento. La diferencia entre instantanea/registro extendido es que en la primera se escribe un registro por cada instantnea y en la segunda todas las instantneas se escriben en un nico archivo.

    Auditora concurrente
    Fichero de revisin de auditora y control del sistema y mdulos de auditora empotrados (SCARF System Control Audit Review Ffile) Consiste en integrar mdulos de auditora en determinados puntos de una aplicacin para realizar una monitorizacin continua de las transacciones del sistema La informacin recopilada se escribe en un fichero especial, el fichero SCARF, que posteriormente es revisado por los auditores.

    Auditora concurrente
    Ganchos de auditora Consiste en poner ganchos en las aplicaciones Funcionan como banderas de alerta para que el auditor puede actuar antes de que un error o irregularidad quede fuera de control.

    Auditora concurrente

    Simulacin continua e intermitente (CIS Continuous and intermitent simulation) Es una variacin de la anterior Slo se puede utilizar en sistemas que utilicen un SGBD (SGDB).

    Auditora concurrente
    Simulacin continua e intermitente (CIS Continuous and intermitent simulation) Cada vez que la aplicacin requiere un servicio al SGDB, ste le comunica al CIS que se le ha requerido un servicio el CIS toma la determinacin de procesar o no la transaccin, en funcin de los criterios marcados por el auditor Si procesa la transaccin el CIS realiza su proceso de la transaccin, al mismo tiempo que se realiza el proceso normal. El CIS analiza las actualizaciones ocasionadas por la transaccin en la base de datos frente a sus datos y escribe las excepciones en un archivo.

    Auditora concurrente
    Simulacin continua e intermitente (CIS Continuous and intermitent simulation) Su ventaja es que no hay que modificar la aplicacin para integrar los mdulos de auditora. Tampoco hay que hay que modificar el SGBD
    los actuales SGBDs tienen facilidades que permiten escribir mdulos que pueden ser invocados por el SGBD.

    Su mayor desventaja es que no permite recoger informacin en otros puntos del proceso que los que invocan los servicios del SGBD.

    Vous aimerez peut-être aussi