Controles Generales y de Aplicacin

Prof. C.P.C. Jess Orna

Prof. C.P.C. J. Orna

El control interno es un proceso efectuado por la direccin y el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras: Eficacia y eficiencia de las operaciones Confiabilidad de la informacin financiera Cumplimiento de las leyes, reglamentos y normas que sean aplicables

Prof. C.P.C. J. Orna

Prof. C.P.C. J. Orna

Prof. C.P.C. J. Orna

Prof. C.P.C. J. Orna

La aplicacin de un ambiente computarizado y la respectiva asociacin al modelo de control interno utilizado por la organizacin, exige un desarrollo de normas y procedimientos que estandarice las tareas rutinarias de los usuarios finales. Para realizar lo mismo, la organizacin deber desarrollar: misiones y funciones de cada puesto en particular de la organizacin Procedimientos formales y estndares para la ejecucin de actividades especificas Metodologas especificas y apropiadas para el desarrollo y mantenimiento de aplicaciones y/o la adquisicin de nuevos software Documentos formales sobre el formato y contenido de la documentacin que respalde las operaciones criticas

Prof. C.P.C. J. Orna

Las gerencias que ejercen un manejo adecuado de la TI a menudo descubren y atienden los problemas con anticipacin al simplemente hacerse las siguientes preguntas: Qu tan importante es la TI para mantener a la organizacin? Cul es la trascendencia para el crecimiento de la compaa? Qu tan crticos son los riesgos inherentes al negocio de organizacin? El costo de mitigarlos, justifica los medios a utilizar? La TI es un tema regular en el programa de la direccin y se atiende de manera estructurada? El nivel de los informes del director de mayor rango de la TI corresponde a la importancia que tiene la misma en la organizacin?

Prof. C.P.C. J. Orna

Prof. C.P.C. J. Orna

La constante evolucin de los negocios, ya sea por globalizacin o por necesidades de mercados internos, hace que la administracin de las operaciones sea cada vez ms compleja y que las tareas operativas manuales ya no sean suficientes para garantizar la confiabilidad de los estados financieros de cada organizacin. Las transformaciones producidas sobre los ambientes operativos de las organizaciones son: - Informacin globalizada, intercambiada sin limitaciones de tiempo, - Dependencia de la informacin y de los sistemas que la proveen - El aumento de la vulnerabilidad de las estructuras y la amplitud de las amenazas - El costo de las inversiones en los sistemas de informacin - La manera en que las tecnologas influyen en las organizaciones

Prof. C.P.C. J. Orna

El logro de la eficiencia econmica, mediante procesos de mejoras continuas, el enfoque integral para la administracin de riesgos y el trato focalizado al cliente constituyen los principales retos para la moderna empresa. Como consecuencia, el entorno informtico de las empresas est caracterizado por la existencia de mltiples aplicaciones de mltiples proveedores, donde los sistemas legacy o perifricos coexisten con las nuevas aplicaciones integradas ERP, interconectados por una compleja red de interfases.

Prof. C.P.C. J. Orna

10

Esta situacin que a primera vista agrega ventajas significativas en la operaciones trae aparejados los llamados riesgos de la automatizacin, los cuales al no ser identificados y tratados adecuadamente, han ocasionado fuga de ingresos en muchos componentes del ciclo de ingresos y la aparicin de diversas modalidades de fraudes y delitos informticos.

Estudios de firmas consultoras internacionales han determinado entre las causas fundamentales de las prdidas, la falta de seguridad de la informacin y unido a esto la falta de consistencia en la informacin almacenada en las bases de datos, as como la no efectividad de los Sistemas de Gestin de Clientes y Provisin
del Servicio.

Prof. C.P.C. J. Orna

11

Prof. C.P.C. J. Orna

12

La importancia y complejidad del procesamiento realizado por medio de computadoras, tiene que ver con la significacin de las afirmaciones de los estados contables que se encuentran vinculados al referido proceso, y el grado de complejidad tiene que ver con cuestiones como las que se detallan: Alto porcentaje de procesos computarizados sustanciales de la organizacin que generan informacin para los estados contables. Alto volumen de transacciones que impide la adecuada identificacin y control de los errores de procesamiento a travs de aplicacin de tcnicas tradicionales. Existencia de reas de desarrollo de nuevos sistemas y mantenimiento de los existentes. Cambios continuos en los sistemas de informacin, esencialmente originados en nuevas demandas de los distintos sectores de la organizacin. Operaciones de negocio implementadas a travs del uso de aplicaciones va WEB (por Internet o por redes privadas Intranet/extranet-), que implican una fuerte interaccin con clientes y proveedores.

Prof. C.P.C. J. Orna

13

Utilizacin intensiva de sistemas de informacin computarizados (SIC) para asistir la toma de decisiones (sistemas de informacin gerenciales, sistemas de soporte a las decisiones herramientas de anlisis de datos para la revisin de la toma de decisiones u otros programas de estas caractersticas). Grado de descentralizacin importante de las actividades de SIC. Alta proporcin de procesos de la organizacin que se encuentran tercerizados.

Prof. C.P.C. J. Orna

14

El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados.

Prof. C.P.C. J. Orna

15

Los procedimientos de controles a instrumentar en ambientes de SIC, pueden ser clasificados en Controles Generales y Controles de las Aplicaciones. Los Controles Generales son aquellos que se ocupan de todo cuanto incide en la totalidad del ambiente y no es especfico de las Aplicaciones (controles programados). Los Controles Generales proponen el establecimiento de estndares para controlar el diseo, seguridad y uso de los programas de cmputo y la seguridad de los archivos de datos en toda la institucin. Los Controles de Aplicacin son controles especficos nicos para cada aplicacin computarizada, como nmina, cuentas por cobrar y procesamientos de pedidos. Consisten en controles aplicados desde el rea funcional de usuarios de un sistema en particular o de procedimientos previamente programados. Ms concretamente aplicaciones que se refieran a las actividades propias del negocio donde se utilizan.
Prof. C.P.C. J. Orna 16

Prof. C.P.C. J. Orna

17

Prof. C.P.C. J. Orna

18

Prof. C.P.C. J. Orna

19

Riesgos claves para el Control Interno

Prof. C.P.C. J. Orna

20

Los controles generales son las polticas y procedimientos que se aplican a la totalidad o a gran parte de los sistemas de informacin de una entidad, incluyendo la infraestructura y plataformas TI de la organizacin auditada y ayudan a asegurar su correcto funcionamiento. El propsito de los controles generales de un entorno informatizado es establecer un marco conceptual de control general sobre las actividades del sistema informtico y asegurar razonablemente la consecucin de los objetivos generales de control interno y el correcto funcionamiento de los controles de aplicacin.

Prof. C.P.C. J. Orna

21

Dependencia de los Controles Generales deTI Los controles generales de TI son aquellos que tienen que ver con el ambiente de proceso de TI en el cual operan los controles de aplicacin. Entre los controles generales estn por ejemplo: Control de cambios a programas Controles de acceso fsico Controles de acceso lgico Controles de continuidad operativa El hecho de que los controles generales sean adecuados, no garantiza que los controles de aplicacin sern adecuados. Pero si los controles generales son deficientes, los controles de aplicacin muy probablemente lo sern tambin.

Prof. C.P.C. J. Orna

22

Prof. C.P.C. J. Orna

23

Los controles generales afectan a todos los niveles de los sistemas de informacin, si bien estn relacionados con mucha mayor intensidad con aquellos niveles de carcter general que afectan a toda la organizacin y a los sistemas TI. Es decir, los controles generales existentes en el sistema de informacin de una entidad pueden establecerse en los siguientes niveles:

Prof. C.P.C. J. Orna

24

Nivel de la entidad

Los controles a este nivel reflejan en la forma de funcionar de una organizacin, e incluyen polticas, procedimientos y otras prcticas de alto nivel que marcan las pautas de la organizacin. Son un componente fundamental del modelo COSO y deben tener en cuenta las operaciones TI que respaldan la informacin financiera. El ambiente o entorno de control y el compromiso con comportamientos ticos es una filosofa de trabajo que debe emanar de arriba hacia abajo, desde los altos puestos directivos hacia el resto de la organizacin. Es esencial que el tono adecuado de control sea marcado por los mximos responsables de la entidad, que se enve un mensaje a toda la organizacin de que los controles deben ser tomados en serio. Los controles a nivel de entidad tienen influencia significativa sobre el rigor con el que el sistema de control interno es diseado y opera en el conjunto de los procesos. La existencia de unos CGTI rigurosos a este nivel, como son, por ejemplo, unas polticas y procedimientos bien definidos y comunicados, con frecuencia sugieren un entorno operativo TI ms fiable. En sentido contrario, las organizaciones con unos controles dbiles a este nivel es ms probable que tengan dificultades a la hora de realizar actividades de control regularmente. Por consiguiente, la fortaleza o debilidad de los controles a nivel de entidad tendr su efecto en la naturaleza, extensin y momento en que se realicen las pruebas de auditora.

Prof. C.P.C. J. Orna

25

Nivel de los sistemas TI Los servicios de tecnologa de la informacin constituyen la base de las operaciones y son prestados a travs de toda la organizacin. Normalmente incluyen la gestin de redes, la gestin de bases de datos, la gestin de sistemas operativos, la gestin de almacenamiento, la gestin de las instalaciones y sus servicios y la administracin de seguridad. Todo ello est gestionado generalmente por un departamento TI centralizado. Los controles en el nivel de los sistemas TI estn formados por los procesos que gestionan los recursos especficos del sistema TI relacionados con su soporte general o con las aplicaciones principales; son ms especficos que los establecidos al nivel de entidad y normalmente estn relacionados con un tipo determinado de tecnologa. Dentro de este nivel hay tres subniveles o capas tecnolgicas que el auditor debe evaluar separadamente:

Prof. C.P.C. J. Orna

26

1. Sistemas TI de base
Es el software necesario para que interrelacionen todos los sistemas e incluye el software y procedimientos de gestin de redes y comunicaciones. Tambin se incluyen los sistemas de gestin de las bases de datos, correo electrnico, middleware, utilidades diversas y aplicaciones no relacionadas con los procesos de gestin de la actividad de la entidad. Por ejemplo incluir las aplicaciones que permiten a mltiples procesos funcionar en uno o ms servidores e interactuar a lo largo de toda la red.

Middleware es un software que permite la compatibilidad entre los distintos sistemas TI, SGBD y las aplicaciones de negocio.
Prof. C.P.C. J. Orna 27

Es el software que controla la ejecucin de otros programas de ordenador, programa tareas, distribuye el almacenamiento, gestiona las interfaces y muestra la interfaz por defecto con el usuario cuando no hay funcionando ningn otro programa. Es muy importante realizar determinados procedimientos de auditora para analizarlos controles existentes a este nivel, ya que vulnerabilidades en los SO tienen un impacto potencial en todo el sistema de informacin (aunque las aplicaciones y las bases de datos tengan buenos controles, si un intruso pudiera penetrar sin restricciones en el sistema operativo y su sistema de carpetas, podra provocar graves daos en los datos y sistemas de la entidad). Son todos los elementos fsicos, el hardware. Incluye redes y comunicaciones.

2. Sistemas operativos (SO)

3. Infraestructura fsica

Prof. C.P.C. J. Orna

28

Nivel de procesos/aplicaciones de gestin

Los procesos de gestin (o procesos de negocio) son los mecanismos que emplea una entidad para desarrollar su misin y prestar un servicio a sus destinatarios o usuarios. Los inputs, el procesamiento y los outputs son aspectos de los procesos de gestin, que cada vez estn ms automatizados e integrados en complejos sistemas informticos. Si el auditor llega a una conclusin favorable sobre los CGTI al nivel de la entidad y de los sistemas TI, se deber evaluar y comprobar la eficacia de los CGTI en aquellas aplicaciones significativas que van a ser revisadas, antes de revisar sus controles de aplicacin. Los controles generales a este nivel consisten en las polticas y procedimientos establecidos para controlar determinados aspectos relacionados con la gestin de la seguridad, controles de acceso, gestin de la configuracin de usuarios. Por ejemplo los procedimientos de gestin de la configuracin garantizarn razonablemente que los cambios en el software de las aplicaciones son verificados totalmente y estn autorizados.

Prof. C.P.C. J. Orna

29

Cuando son examinados los CGTI a nivel de aplicacin, el auditor financiero y el auditor de sistemas evalan los controles de acceso que limitan o restringen el acceso a determinadas aplicaciones y ficheros relacionados (como, por ejemplo, el fichero maestro de empleados y los ficheros de transacciones de nminas) a usuarios autorizados. Tambin se puede evaluar la seguridad establecida en la propia aplicacin para restringir el acceso en mayor medida, normalmente mediante creacin de usuarios con palabra clave de acceso y otras restricciones programadas en el software de la aplicacin mediante una adecuada gestin de los perfiles de usuario y sus privilegios. As, un empleado responsable de las nminas puede tener acceso a las aplicaciones sobre nminas pero puede tener restringido el acceso a una determinada funcin, como puede ser la revisin o actualizacin de datos de las nminas sobre los empleados del propio departamento de nminas.

Prof. C.P.C. J. Orna

30

Prof. C.P.C. J. Orna

31

Categoras de controles

Subcategoras y controles principales

Organizacin y personal de TI Independencia del departamento TI Segregacin de funciones en el departamento de TI Procedimientos del departamento de sistemas Planificacin, polticas y procedimientos Plan estratgico de sistemas

A. Marco organizativo

Procedimientos de gestin de riesgos Polticas y normas de gestin de la seguridad de la informacin Planes de formacin y concienciacin en seguridad TI Cumplimiento regulatorio LPD Esquema Nacional de Seguridad

Control licenciamiento software Adquisicin de aplicaciones y sistemas

Desarrollo interno de aplicaciones Existencia de una metodologa de desarrollo de aplicaciones

B. Gestin de cambios en aplicaciones y sistemas

Participacin de los usuarios en el diseo de la aplicaciones

Documentacin Planes de pruebas con usuarios y aprobacin antes del pase a explotacin Gestin de cambios Documentacin de la peticin y necesidad del cambio Operaciones TI Inventario de hardware y software Procedimientos de control de la actividad Gestin de incidencias

C. Operaciones de los sistemas de informacin

Antivirus Seguridad fsica Controles de acceso fsico a la entidad Controles de acceso fsico al CPD Servicios externos Proteccin de las redes y comunicaciones Procedimientos de gestin de usuarios Mecanismos de identificacin y autenticacin Gestin de derechos de acceso Copias de seguridad Procedimientos de copias de seguridad Copias externalizadas Planes de continuidad

D. Controles de acceso a datos y programas

E. Continuidad del servicio

Plan de recuperacin de desastres Plan de continuidad de la actividad Pruebas peridicas Centros alternativos de procesamiento Prof.

C.P.C. J. Orna

32

Son aquellos que controlan el diseo, seguridad y uso de los programas de cmputo. Esto incluye la seguridad de los archivos de datos de toda la institucin. Los controles generales son para todas las aplicaciones computarizadas y consisten en una combinacin de software de sistemas y procedimientos manuales. Estos controles aseguran la operacin eficaz de los procedimientos programados. Se usan en todas las reas de aplicacin.

Prof. C.P.C. J. Orna

33

1.Controles de Implementacin: auditan el proceso de desarrollo de sistemas en diversos puntos para asegurarse que est adecuadamente controlado y administrado. 2.Controles para el software: sirven para asegurar la seguridad y confiabilidad del software. 3.Controles para el hardware: controles que aseguran la seguridad fsica y el correcto funcionamiento del hardware de cmputo. 4.Controles de operaciones de cmputo: se aplican al trabajo del departamento de cmputo para asegurar que los procedimientos programados sean consistentes y correctamente aplicados al almacenamiento y procesamiento de los datos. 5.Controles de seguridad de los datos: aseguran que los archivos de datos en disco o medios secundarios no se expongan a accesos, cambios o destruccin no autorizadas. 6.Controles administrativos: son normas, reglas, procedimientos y disciplinas formales para asegurar que los controles de la institucin se ejecuten y se respeten de manera adecuada.
Prof. C.P.C. J. Orna 34

Segregacin de funciones: es un principio fundamental de control interno en cualquier institucin. Significa que las funciones del puesto deben ser diseadas para minimizar el riesgo de errores o manejos fraudulentos de los activos de la institucin. Polticas y procedimientos por escrito: establecen estndares formales para controlar las operaciones de los sistemas de informacin. Los procedimientos deben formalizarse por escrito y ser autorizados por el nivel administrativo adecuado. Los deberes y responsabilidades deben quedar claramente especificados. Supervisin: asegura que los controles de los sistemas de informacin operan como se deseaba. Mediante la supervisin podemos detectar las debilidades, corregir errores y las desviaciones de los procedimientos normales identificados.
Prof. C.P.C. J. Orna 35

Los controles a considerar para su pertinente revisin, se referirn bsicamente a sistemas y aplicaciones que previamente se hayan considerado como significativos a efectos de la informacin contable, financiera o presupuestaria auditada, de acuerdo con los objetivos y alcance de la auditora que se est realizando. Si se revisan los CGTI de algn sistema o subsistema que no tiene relacin con la informacin financiera auditada se estar haciendo un trabajo innecesario y por tanto ineficiente. Por ejemplo si se est revisando una aplicacin de gestin de nminas por ser un rea significativa, los procedimientos de revisin de los controles generales estarn focalizados en aquellos controles que afectan ms directamente a esa aplicacin; en este caso no tendra inters revisar los controles relacionados con el desarrollo y mantenimiento de la aplicacin de gestin del inventario de inmovilizado. Es decir, los CGTI deben evaluarse en relacin con su efecto en las aplicaciones y en los datos relacionados con las cuentas anuales auditadas. Por ejemplo, si no se han implementado nuevos sistemas durante el periodo auditado, las debilidades en los CGTI sobre el desarrollo de sistemas pueden no ser relevantes respecto de las cuentas anuales auditadas.

Prof. C.P.C. J. Orna

36

Si la auditora de los sistemas de informacin forma parte de una auditora financiera (o de una auditora operativa) se analizar con los auditores financieros aquellos controles que son relevantes para los objetivos de la auditora financiera (u operativa), ya que no todos los riesgos son iguales, ni en probabilidad, ni en su materialidad. Se deber adoptar un enfoque basado en el anlisis del riesgo. Por otra parte, todos los controles tampoco son iguales en su grado de eficacia a la hora de reducir los riesgos identificados; por tanto no ser necesario evaluar todas las actividades de control relacionadas con un riesgo concreto, hay que ceirse nicamente a aquellos controles que sean relevantes, es decir, aquellos que proporcionan una mayor seguridad de que el objetivo de control se ha alcanzado. A la hora de decidir si un control es relevante, debe aplicarse el juicio profesional, y se tendr en cuenta lo siguiente:

Prof. C.P.C. J. Orna

37

Los controles relevantes generalmente incluyen polticas, procedimientos, prcticas y una estructura organizativa que son esenciales para que la direccin pueda reducir los riesgos significativos y alcanzar el objetivo de control relacionado. Los controles relevantes a menudo respaldan ms de un objetivo de control. Por ejemplo, los controles de acceso respaldan la integridad y validez de las transacciones financieras, las valoraciones contables, la segregacin de tareas, etc. En la mayora de los casos, resulta efectivo hacer una combinacin de controles relevantes a fin de alcanzar un objetivo concreto o bien una serie de objetivos, para no depender demasiado de un solo control. Los controles que hacen frente directamente a los riesgos significativos son con frecuencia relevantes. Por ejemplo, el riesgo de acceso no autorizado es un riesgo significativo para la mayora de entidades; por tanto, los controles de seguridad que previenen o detectan accesos no autorizados son importantes.

Prof. C.P.C. J. Orna

38

Los controles preventivos son por regla general ms eficientes que los detectivos. Por lo tanto, los controles preventivos se consideran a menudo relevantes. Por ejemplo, prevenir que se produzca un fraude es mucho mejor que simplemente detectarlo despus de que haya ocurrido. Los controles automatizados son ms fiables que los controles manuales. Por ejemplo, los controles automatizados que obligan al usuario a cambiar peridicamente de contrasea son ms fiables que las normas genricas que no son de uso forzoso. Los procesos manuales tambin estn expuestos a errores humanos. Para cada CGTI que se haya identificado como relevante, el auditor debe disear procedimientos para analizarla efectividad de su diseo para realizar la actividad de control, considerando el riesgo TI y los objetivos de la auditora. Si se concluye que el diseo es eficaz se disearn procedimientos de auditora para verificar si est implementado y en funcionamiento durante todo el periodo auditado.

Prof. C.P.C. J. Orna

39

Las incidencias detectadas en la revisin de los CGTI se clasifican de la siguiente forma: Una deficiencia de control interno existe cuando el diseo o el funcionamiento de un control no permite al personal de la entidad o a su direccin, en el curso ordinario de las operaciones, prevenir o detectar errores o irregularidades en un plazo razonable. Pueden ser deficiencia de diseo del control (cuando un control necesario para alcanzar el objetivo de control no existe o no est adecuadamente diseado) o deficiencias de funcionamiento (cuando un control adecuadamente diseado no opera tal como fue diseado o la persona que lo ejecuta no lo realiza eficazmente). Una deficiencia significativa es una deficiencia en el control interno, o una combinacin de deficiencias, que afectan adversamente la capacidad de la entidad para iniciar, autorizar, registrar, procesar o reportar informacin financiera o presupuestaria de forma fiable, de conformidad con los principios o normas contables y/o presupuestarias aplicables, y existe una probabilidad que es ms que remota, de que una manifestacin errnea en los estados financieros, que no es claramente trivial, no sea prevenida o detectada.

Prof. C.P.C. J. Orna

40

Una debilidad material es una deficiencia significativa en el control interno o una combinacin de ellas, respecto de las que existe una razonable posibilidad de que una manifestacin errnea significativa en las cuentas anuales no sea prevenida o detectada y corregida en plazo oportuno. Para determinar si una deficiencia de control, individualmente o junto con otras, constituye una deficiencia significativa o una debilidad material, el auditor considerar varios factores, incluyendo los siguientes: La probabilidad de que una persona pueda obtener acceso no autorizado o ejecutar actividades no autorizadas o inapropiadas en sistemas crticos de la entidad o archivos que puedan afectar a la informacin con impacto en los estados financieros. Esto puede incluir: (1) la habilidad para tener acceso a sistemas en los que residen aplicaciones crticas y que posibilita a usuarios no autorizados a leer, aadir, borrar, modificar o extraer informacin financiera, bien directamente o a travs de la utilizacin de software no autorizado; (2) la habilidad para acceder directamente y modificar ficheros que contengan informacin financiera; o (3) la habilidad para asignar derechos de acceso a las aplicaciones a usuarios no autorizados, con la finalidad de procesar transacciones no autorizadas.

Prof. C.P.C. J. Orna

41

La naturaleza de los accesos no autorizados que pueden conseguirse (por ejemplo: limitados a programadores del sistema o de las aplicaciones o a administradores del sistema; a todos los usuarios; a alguien externo a travs de acceso no autorizados por Internet) o la naturaleza de las actividades no autorizadas o inadecuadas que pueden llevarse a cabo. La probabilidad de que importes de las cuentas anuales estn afectados de forma significativa. La probabilidad de que otros controles puedan prevenir o detectar accesos no autorizados. El riesgo de que la direccin de la entidad pueda burlar los controles (por ejemplo, mediante derechos de acceso excesivos).

Prof. C.P.C. J. Orna

42

Adems al evaluar las deficiencias de un CGTI deben hacerse otras consideraciones adicionales:

Efecto en los controles de las aplicaciones. La importancia de una deficiencia en un CGTI debe ser evaluada en relacin con su efecto en los controles de aplicacin, es decir, si provoca que los controles de aplicacin sean ineficaces. Si la deficiencia de la aplicacin es provocada por el CGTI ambas deficiencias deben ser consideradas de la misma forma (como deficiencias significativas o como debilidades materiales). Efecto en el entorno de control. Despus de que una deficiencia de un CGTI haya sido evaluada en relacin con los controles de aplicacin, tambin debe ser evaluada considerando el conjunto de las deficiencias de control y su efecto agregado. Por ejemplo debe considerarse la decisin de la gerencia de no subsanar una deficiencia de CGTI y reflexionar sobre su relacin con el entorno de control; al considerarla agregada a otras deficiencias que afectan al entorno de control puede llevar a la conclusin de que existe una debilidad material o una deficiencia significativa en el entorno de control.

Prof. C.P.C. J. Orna

43

Anlisis del efecto agregado de las deficiencias de control. Algunas deficiencias de control pueden ser consideradas no significativas individualmente, pero consideradas conjuntamente con otras deficiencias similares, el efecto combinado puede ser ms significativo. Por ejemplo, en una entidad que no realiza revisiones peridicas de las listas de usuarios con acceso a su aplicacin de contabilidad se considerar que tiene una deficiencia en el diseo de un control. Por un lado puede que no se considere significativa, especialmente si existen controles compensatorios. Pero si se ha detectado que el procedimiento de autorizacin de nuevos usuarios a esa aplicacin es inadecuado, entonces el efecto agregado de las dos deficiencias puede resultar en una deficiencia significativa o en una debilidad material. Es decir, el efecto combinado de las deficiencias de control relacionadas con las solicitudes de nuevos accesos y las revisiones de los derechos de acceso en una aplicacin contable, cuestiona la validez de los permisos de acceso en esa aplicacin y en consecuencia plantea dudas sobre la validez de las transacciones dentro del sistema de informacin.
Prof. C.P.C. J. Orna 44

Son aquellos controles que son aplicables para un determinado proceso de negocio o aplicacin, entre ellos podemos encontrar la edicin de registros, segregacin de funciones, totales de control, transacciones y reportes de errores.

Prof. C.P.C. J. Orna

45

El objetivo principal de los controles de aplicacin es asegurar: Que el ingreso de los datos es exacto, completo, autorizado y correcto Que los datos son procesos en tiempo oportuno Los datos son almacenados de forma adecuada y completa Que las salidas del sistema son adecuadas y completas Que registros son mantenidos para realizar un seguimiento de las entradas y eventuales salidas del sistema. En este sentido pueden existir distintos tipos de controles de aplicacin como ser:

Prof. C.P.C. J. Orna

46

Se explican a continuacin los siete grandes grupos de controles de aplicacin en su orden natural de secuencia, desde que los datos entran en el sistema (desde el origen de los datos), continuando con su proceso y posterior salida y finalizando con su almacenamiento.

1. Controles de captura, preparacin y entrada de datos 2. Controles de acceso y comunicaciones 3. Controles de entrada 4. Controles de proceso 5. Controles de salida 6. Controles de pistas de Auditoria 7. Controles de copias de seguridad y recuperacin

Prof. C.P.C. J. Orna

47

La introduccin de datos en un ordenador consta de tres pasos: La captura de datos (proceso de identificar y recoger datos del mundo real, relevantes a los procesos a realizar), la preparacin de datos (proceso de convertir los datos capturados en un formato entendible por el ordenador) y la entrada de datos (proceso de lectura de los datos para su introduccin en el ordenador) Las dos primeras fases son muy importantes para el auditor, ya que conllevan procesos montonos que por tanto son propensos al error, ya que precisan intervencin humana para su realizacin.

Prof. C.P.C. J. Orna

48

En cualquier aplicacin va a ser necesario realizar dos tipos de controles de acceso: para evitar accesos o usos no autorizados y para mantener la integridad de los datos enviados o recibidos por una lnea de comunicaciones. Todo ello es debido a la necesidad de proteger las transferencias electrnicas (entre bancos, va Internet, etc.) y cualquier otro tipo de servicios on-line, como los de Banca Electrnica, por ejemplo.

Prof. C.P.C. J. Orna

49

Los controles de acceso dependen en gran medida del medio en el cual se est trabajando: si el ordenador es usado por una sola persona, entonces posiblemente no sean necesarios, pero si existen varios usuarios, entonces lo ms probable ser tener que implantarlos. Los mecanismos utilizados son la identificacin y la autentificacin de los usuarios.

Prof. C.P.C. J. Orna

50

El objetivo de estos controles es detectar errores en los datos que entran a un Sistema Informtico y se deben aplicar en la preparacin de los datos (si los dispositivos lo permiten) y en la entrada de datos. En general las validaciones de los datos se deben de hacer lo antes posible.

Prof. C.P.C. J. Orna

51

Los objetivos de los controles de salida son preservar la integridad de los datos de los informes (independientemente del medio en que estn almacenados) y garantizar un uso efectivo de los informes. En general, un sistema batch necesita un mayor control que un sistema on-line. En un sistema batch, un informe debe de recorrer un largo camino, desde que se genera hasta que se distribuye, y todo este recorrido debe de estar controlado por el auditor.

Prof. C.P.C. J. Orna

52

Las Pistas de Auditora son una lista cronolgica de eventos que le han ocurrido a una entidad. Podemos distinguir dos tipos de pistas de auditora: de contabilidad y de operaciones. Las primeras muestran las operaciones realizadas sobre los tems de datos de una Base de Datos, mientras que las segundas recogen los eventos ocurridos durante la ejecucin de una aplicacin.

Prof. C.P.C. J. Orna

53

6.1 Pistas de Auditora de Contabilidad

Permiten que una transaccin se pueda seguir desde su origen, a travs de los tems de datos sobre los que opera (proceso conocido como Implosin), o permiten la reconstruccin en el tiempo de las series de operaciones realizadas sobre los tems de datos (Explosin).

Prof. C.P.C. J. Orna

54

Prof. C.P.C. J. Orna

55

Prof. C.P.C. J. Orna

56

Son necesarios para restablecer la existencia de la BD fsica en caso de prdida total o parcial de la misma. El auditor debe de estar familiarizado con todos los temas relacionados con la seguridad de las bases de datos: LOGs, COMMIT, ROLLBACK, etc.

Prof. C.P.C. J. Orna

57

En tecnologas de base de datos, un rollback es una operacin que devuelve a la base de datos a algn estado previo. Los Rollbacks son importantes para la integridad de la base de datos, a causa de que significan que la base de datos puede ser restaurada a una copia limpia incluso despus de que se han realizado operaciones errneas. Son cruciales para la recuperacin de crashes de un servidor de base de datos; realizando rollback (devuelto) cualquier transaccin que estuviera activa en el tiempo del crash, la base de datos es restaurada a un estado consistente. Commit marca el final de una transaccin correcta, implcita o explcita. Determina que todas las modificaciones efectuadas sobre los datos desde el inicio de la transaccin sean parte permanente de la base de datos Rollback deshace la transaccion y commit "ejecuta" la transaccion. Esquematicamente: Begintransaction Consulta 1 Consulta 2 Consulta 3 Si quiere deshacer las consultas rollback sino Prof. C.P.C. J. Orna commit

58

Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los profesionales en seguridad informtica es usado para registrar datos o informacin sobre quin, qu, cundo, dnde y por qu (who, what, when, where y why) un evento ocurre para un dispositivo en particular o aplicacin. La mayora de los logs son almacenados o desplegados en el formato estndar, el cual es un conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma cada log generado por un dispositivo en particular puede ser ledo y desplegado en otro diferente. Tambin se le considera como aquel mensaje que genera el programador de un sistema operativo, alguna aplicacin o algn proceso, en virtud del cual se muestra un evento del sistema.

Prof. C.P.C. J. Orna

59

Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los datos que son ingresados al sistema, Controles de Procesamiento: Estos controles, principalmente automticos proveen una manera automtica de asegurar que el procesamiento de las transacciones es completa, adecuado y autorizado. Controles de salida: Bsicamente estos controles direccionan a que operaciones fueron realizadas con los datos. Y comparando tambin bsicamente las salidas generadas con los ingresos realizados. Controles de integridad: Estos controles permitan verificar la integridad y consistencia de los datos procesados. Logs: Principalmente utilizados como Audit Trail, permiten a la gerencia identificar hechos inusuales para posterior investigar los mismos. Batch: un comando para poner en cola tareas para posterior ejecucin
Prof. C.P.C. J. Orna 60

Controles de aplicacin Manuales. Son controles ejecutados sin la asistencia de sistemas automatizados. Ejemplos: - Autorizaciones escritas, como firmas en cheques. - Reconciliacin de rdenes de compra con los formatos de recepcin de mercancas. Controles de aplicacin Automatizados. Son controles que han sido programados e integrados en una aplicacin computacional. Ejemplos: - Validaciones de edicin y contenido de datos de entrada. - Dgitos verificadores para validar nmeros de cuenta.
Prof. C.P.C. J. Orna 61

Controles de aplicacin Hbridos o dependientes de controles de aplicacin automatizados. Son controles que consisten de una combinacin de actividades manuales y automatizadas. Ejemplo: - El proceso de llenado de rdenes de embarque puede incluir un control donde el gerente de embarques revisa un reporte de rdenes no embarcadas. Para que este control sea efectivo, la actividad automatizada (generacin de un reporte completo y seguro de rdenes no embarcadas) as como la actividad manual (revisin y seguimiento por el gerente), son necesarias para que el control sea efectivo. Se debe tener cuidado de no considerar los controles hbridos como controles manuales, pues entonces se puede dejar de lado el aseguramiento de la actividad automatizada.

Prof. C.P.C. J. Orna

62

Controles de aplicacin Configurables. Son controles automatizados que estn basados y por lo tanto son dependientes de la configuracin de parmetros dentro de la aplicacin. Ejemplo: - Un control en un sistema de compras automatizado, que permite rdenes hasta un lmite de autorizacin, es dependiente de controles sobre los cambios en los lmites pre-configurados de autorizacin. En muchos casos, las aplicaciones comerciales o desarrolladas en casa, son altamente dependientes de la configuracin de varias tablas de parmetros . Es apropiado considerar el diseo del control sobre las tablas como un elemento separado.

Prof. C.P.C. J. Orna 63

Los controles generales ayudan a asegurar el correcto funcionamiento de los sistemas de informacin mediante la creacin de un entorno adecuado para el correcto funcionamiento de los controles de aplicacin. Una evaluacin favorable de los CGTI da confianza al auditor sobre los controles de aplicacin automatizados. La eficacia de los controles generales es un factor significativo a la hora de determinar la eficacia de los controles de aplicacin incluyendo los controles manuales de usuario. Sin unos controles generales efectivos, los controles de aplicacin pueden dejar de ser efectivos ya que resultar mucho ms fcil eludirlos.

Prof. C.P.C. J. Orna

64

Por ejemplo, la emisin y revisin manual de un informe especial de elementos no coincidentes puede ser un control de aplicacin efectivo; no obstante, dicho control dejar de ser efectivo si los controles generales permitiesen realizar modificaciones no autorizadas de los programas, de forma que determinados elementos quedan excluidos de manera indebida del informe revisado. Unos CGTI ineficaces pueden impedir que los controles de aplicacin funcionen correctamente y permitir que se den manifestaciones errneas significativas en las cuentas anuales y que stas no sean detectadas. Por ejemplo, garantizar la seguridad de las bases de datos se considera un requisito indispensable para que la informacin financiera sea fiable. Sin seguridad a nivel de base de datos, las entidades estaran expuestas a cambios no autorizados en la informacin financiera.

Prof. C.P.C. J. Orna

65

El reto con los CGTI consiste en que estos controles casi nunca afectan a la informacin financiera directamente, pero tienen un efecto generalizado y permanente en todos los controles internos. Es decir, si un CGTI importante falla (p. ej. un control de restriccin de acceso a programas y datos), tiene un efecto dominante en todos los sistemas que dependen de l, incluidas las aplicaciones financieras. Por consiguiente, sin estar seguros de que solamente los usuarios autorizados tienen acceso a las aplicaciones financieras o a las bases de datos subyacentes, no se puede concluir que nicamente aquellos usuarios con autorizacin iniciaron y aprobaron transacciones.

Prof. C.P.C. J. Orna

66

COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento. COBIT es una herramienta para la administracin y operacin a un nivel superior a los estndares de tecnologa para la administracin de sistemas de informacin. El objetivo principal de COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo.

Prof. C.P.C. J. Orna

67

La gerencia es responsable del entorno de control interno de una organizacin, incluidos los controles de TI. Un entorno de control interno proporciona la disciplina, el marco de referencia y la estructura para lograr el objetivo principal del sistema de control interno. COBIT define el control como las polticas, procedimientos, prcticas y estructuras organizativas diseadas para proporcionar una garanta razonable de que se lograrn los objetivos del negocio, y que los eventos indeseados sern prevenidos o detectados y corregidos. Adems, COBIT define un objetivo de control como una declaracin del resultado deseado o propsito que debe lograrse al implementar procedimientos de control en un proceso en particular. Los controles de TI estn compuestos por controles generales de TI, y controles de aplicacin, referidos a controles sobre la adquisicin, implementacin, entrega y soporte a los sistemas y servicios de TI. Los controles generales de TI son controles que minimizan el riesgo en el funcionamiento general de los sistemas e infraestructura de TI de la organizacin, y un extenso conjunto de soluciones automatizadas (aplicaciones).
Prof. C.P.C. J. Orna
68

Los controles de aplicacin consisten de actividades manuales y/o automatizadas que aseguran que la informacin cumple con ciertos criterios, los que COBIT refiere como requerimientos de negocio para la informacin. Estos criterios son: Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento y Confiabilidad.

Prof. C.P.C. J. Orna

69

Los controles de aplicacin se establecen para proporcionar una seguridad razonable de que los objetivos que la gerencia establece sobre las aplicaciones, se alcanzan. Estos objetivos se articulan tpicamente a travs de funciones especficas para la solucin, la definicin de las reglas de negocio para el procesamiento de la informacin y la definicin de procedimientos manuales de soporte. Ejemplo de ello son: Totalidad (Integridad) Exactitud Validez Autorizacin Segregacin de funciones

Prof. C.P.C. J. Orna

70

Prof. C.P.C. J. Orna

71

Preparacin y Autorizacin de Informacin Fuente. Asegurar que los documentos fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y aprobacin de estos documentos. Detectar errores e irregularidades para que sean informados y corregidos. Recoleccin y Entrada de Informacin Fuente. Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de los datos que fueron errneamente ingresados se deben realizar, sin comprometer los niveles de autorizacin de las transacciones originales. En donde sea apropiado para la reconstruccin, retener los documentos fuente originales durante el tiempo necesario.

Prof. C.P.C. J. Orna

72

Chequeos de Exactitud, Integridad y Autenticidad Asegurar que las transacciones son exactas completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible. Integridad y Validez del Procesamiento Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. Detectar transacciones errneas y que no interrumpan el procesamiento de transacciones validas. Revisin de Salidas, Reconciliacin y Manejo de Errores Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la informacin proporcionada en la salida.

Prof. C.P.C. J. Orna

73

Autenticacin e Integridad de Transacciones Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiad direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte.

Prof. C.P.C. J. Orna

74

Prof. C.P.C. J. Orna

75

Prof. C.P.C. J. Orna

76

Prof. C.P.C. J. Orna

77

Prof. C.P.C. J. Orna

78

Prof. C.P.C. J. Orna

79

Prof. C.P.C. J. Orna

80

En muchas de las pruebas, el auditor deber seleccionar una muestra de los eventos de ejecucin del control. Para determinar el tamao de la muestra e auditor considerar: El nivel de confianza deseado El rango tolerable de desviacin de los controles probados La probabilidad de desviaciones El riesgo aceptable de evaluacin de control

Prof. C.P.C. J. Orna

81

Los controles de aplicacin son muy importantes para lograr los objetivos de control del negocio. Los controles generales de TI impactan directamente a los controles de aplicacin. El monitoreo de la efectividad de los controles de aplicacin es responsabilidad de la gerencia del negocio. Control de aplicacin no es sinnimo de control automatizado, pues hay tambin controles manuales e hbridos. La auditora de los controles de aplicacin involucra a los auditores operacionales y a los auditores de TI, debiendo definirse las fronteras de responsabilidad entre ellos.

Prof. C.P.C. J. Orna

82

Si las deficiencias de control constituyen debilidades materiales, el auditor concluir que los controles internos no son eficaces y deber replantearse su estrategia de auditoria, es decir, la combinacin adecuada de pruebas de cumplimiento y de pruebas sustantivas, dando mayor nfasis a estas ltimas de forma que se intentar minimizar el riesgo final de auditoria.

Prof. C.P.C. J. Orna

83

El objetivo buscado tanto por las auditorias, ya sean internas o externas y por la aplicacin de un ambiente computarizado es:

Definir el grado de confianza sobre los reportes financieros emitidos y publicados por la organizacin, de inters tanto para los STAKEHOLDERS actuales (Accionistas, Directores, Gerentes, Empleados, Proveedores, Acreedores, Clientes, Gobierno, etc) como para futuros.

Prof. C.P.C. J. Orna

84

Los objetivos de control buscados para dar confianza sobre el sistema contable utilizado en la organizacin son: que las transacciones se realicen de acuerdo a la autorizacin, general o especfica, de la direccin; que todas las transacciones y hechos se registren con prontitud por el importe correcto, en la cuenta adecuada y en el perodo en que han tenido lugar, de modo que sea posible la preparacin de los estados contables en el marco de un conjunto de ..; que el acceso a los activos y registros slo se permita con autorizacin de la direccin, utilizando para ello los recursos de hardware y de software disponibles de la forma ms adecuada, y que los saldos de los activos se comparen con la existencia real de los mismos a intervalos razonables, y se tomen las medidas oportunas cuando se detecten diferencias.

Prof. C.P.C. J. Orna

85

Prof. C.P.C. J. Orna

86