Aud Uni 07
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Aud Uni 07 as PDF for free.
More details
- Words: 1,709
- Pages: 38
SESION 9: Auditoría de Sistemas de Información
Auditoría de Sistemas de información Agenda: ■ ■ ■ ■ ■
Confidencialidad y seguridad Integridad de información Disponibilidad de información Eficiencia y eficacia Controles generales
Principales Actividades de un Sistema de Información Sistemas de Información Control de datos Fuente de datos
Colección de datos
Procesam. de datos
Administ. información
Inform. Usuario
Administ. de los datos
Ingreso
Proceso de datos
Salida
Auditoria de los Sistemas de Información Objetivos: ■ Confidencialidad y Seguridad de la información ■ Integridad de la información ■ Disponibilidad de la información ■ Eficiencia y eficacia del sistema
Auditoria de los Sistemas de Información Objetivo: Confidencialidad y Seguridad ■ Acceso inapropiado al procesamiento de las funciones del sistema: personal de activo fijo con acceso al sistema de pagos ■ Protección inadecuada a la información de las bases de datos del sistema: personal de soporte técnico con posibilidad de alterar los datos del sistema
Auditoria de los Sistemas de Información Objetivo: Confidencialidad y Seguridad Los controles utilizados son: ■ Los de acceso al sistema y relativos a la identificación y autenticación del usuario ■ Los creados por el sistema para proteger el uso del menú, función o transacción particular y la visualización de los datos
Auditoria de los Sistemas de Información Objetivo: Confidencialidad y Seguridad ■ Uso de software especializado para control de acceso, tales como: monitoreo de teleproceso, control de acceso a software y el administrador de las bases de datos ■ Uso de controles físicos para ubicar los Terminales en áreas supervisadas, para manipular los equipos (llaves) y restricción del terminal a procesos determinados.
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Control del procesamiento de las transacciones en el sistema: unicidad, completa y registro de la totalidad ■ Control de acceso inadecuado a las bases de datos del sistema: afectación total o parcial de los datos, formato de la base de datos, uso inadecuado de los campos de control
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Control de consistencia de datos entre el archivo maestro, de movimientos y tablas correspondiente a una misma transacción, p.e.: cambios erróneos en las tablas del sistema pueden afectar la integridad de la información en su proceso alterando los resultados esperados
Auditoria de los Sistemas de Información Objetivo: Integridad Entre los controles utilizados están: ■ Controles de ingreso de datos: *chequeo y validación de datos para evitar duplicidad, ingreso de datos fuera de rango, códigos inexistentes *formato adecuado en el registro de datos
Auditoria de los Sistemas de Información Objetivo: Integridad *campos críticos completos en la B.D. *control físico con el número de documento autorizado a ingresar la transacción en el sistema *balance de transacciones *duplicidad de registro
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Transacciones retenidas o marcadas por el sistema, que se encuentran en un reporte de excepción, identificadas en la B.D. con una marca particular, y rechazadas por el sistema (no procesadas)
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Revisión del proceso seguido con las transacciones rechazadas, p.e.: procedimiento de corrección y reingreso al sistema, control de atención, rechazo definitivo
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Control de procesamiento de las transacciones: *Ciclo de procesamiento: comparación del total de registros procesados por el sistema versus los ingresados al proceso (calculo en base a campos críticos)
Auditoria de los Sistemas de Información Objetivo: Integridad *Control de sesión: emulan el procedimiento de control manual o batch comúnmente realizado, totales por tipo de transacción se acumulan automáticamente y se comparan con los balances realizados al termino del proceso
Auditoria de los Sistemas de Información Objetivo: Integridad *Control de balance: el sistema incorpora dentro de sí todo el proceso de control, lleva el registro de totales de transacciones por tipo y compara con las transacciones procesadas y la información obtenida
Auditoria de los Sistemas de Información Objetivo: Integridad *Control de transmisión de datos: tanto al envío como a la recepción se realizan algoritmos de calculo o simple registro de totales que permiten verificar sí la información fue recibida conforme y enviada del mismo modo
Auditoria de los Sistemas de Información Objetivo: Integridad *Control de reinicio y recuperación: se verifica que las transacciones interrumpidas o los proceso cortados puedan recuperarse sin afectar las operaciones o transacciones del sistema. Se usan tablas de fechas de registro de transacción, cálculos internos entre las transacciones ingresadas
Auditoria de los Sistemas de Información Objetivo: Disponibilidad de información ■
■
Se afecta como resultado de una falla o interrupción del sistema (p.e.:caídas) o por una política inefectiva de retención de datos Los controles frecuentemente utilizados son: sistema de tolerancia de fallas, Log diario de transacciones en línea, software de recuperación y reinicio, archivo de recuperación almacenado en otro volumen
Auditoria de los Sistemas de Información Objetivo: Eficiencia y eficacia de los S.I. ■
■ ■
Controlar que los sistemas satisfagan las expectativas de sus usuarios y que no distorsionen las funciones del negocio Controlar que el sistema consuma el mínimo de recursos Responde a los criterios de cuantificación de los costos de operación y mantenimiento del sistema
Auditoria de de los Sistemas de Información Controles Generales de los S.I. ■ Seguridad de los programas y datos ■ Control de cambio de programas ■ Control de desarrollo de sistemas ■ Control de operaciones de los sistemas
Auditoria de los Sistemas de Información La auditabilidad de los sistemas depende de : ■ Acceso a las Bases de Datos: uso de herramientas informáticas ■ Uniformidad de las transacciones: relativo a intercambio electrónico ■ Documentación de los procesos ■ Conciliaciones entre la información detallada y los resúmenes o en las transferencias de datos
Auditoria de los Sistemas de Información Métodos de revisión de aplicaciones: ■
■ ■
■
Análisis de E/S: sigue el flujo de la transacción. Es engorroso para sistemas complejos Revisión de código fuente: se dificulta por la disponibilidad de los códigos fuente Revisión del desarrollo o de la preimplantación: inclusión de puntos de control antes de su uso Revisión de los controles de la aplicación
Auditoria de los Sistemas de Información Sistema integrado contable financiero: ■
■ ■
■
Componentes del sistema: contabilidad, costos, tesorería, caja, presupuesto, reportes financieros, control patrimonial Interrelación entre componentes: función de la organización y disponibilidad tecnológica Funcionalidad de cada componente: tratamiento de la información y manejo de parámetros Revisión de los controles de cada componente
Auditoria de los Sistemas de Información Sistema integrado contable financiero: Puntos de control en contabilidad ■ Mantenimiento de cuentas: ingresos, campos significativos, transacciones de sustento ■ Diario: Control de totales, aprobación de transacciones en línea, validación de transacciones que están en el balance
Auditoria de los Sistemas de Información Sistema integrado contable financiero: ■ Reportes: control de totales, conciliación de interfase, fecha de proceso de cuentas ■ Conversión monetaria: ingreso de cambios, reporte de cambio de moneda en uso, identificar transacciones sujetas a cambio, reporte de diferencia de cambio respecto al estándar
Auditoria de los Sistemas de Información Sistema integrado contable financiero: Puntos de control- Pago proveedores u otros ■ Directorio de proveedores: unicidad de código de proveedor, reporte de cambios ■ Procesamiento e ingresos: marcas automáticas de los proveedores descontinuados, a los que no ingresan a proceso
Auditoria de los Sistemas de Información Sistema integrado contable financiero: ■ Edición y validación: validación de código de vendedor, validación de cuenta contable, validación de partida presupuestal y O/C ■ Procesamiento de pagos: relacionar O/C, Guía, Factura, Partida y la prioridad en el pago, marca de pagos, conciliación de caja, pagos con transferencia de fondos
Auditoria de los Sistemas de Información Sistema integrado contable financiero: Puntos de Control - Ingresos ■ Archivo de clientes: Logs, cambios en el limite de crédito identificándose la fecha ■ Proceso de transacciones: chequeo automático de límite de crédito ■ Caja: posteo automático de diferencia de pagos a cuentas apropiadas, créditos
Auditoria de los Sistemas de Información Sistema integrado contable financiero: ■ Reportes: Logs, resúmenes totales por documento, pagos a créditos, pagos con depósitos, Balances de pagos, créditos excepcionales autorizados
Auditoria de los Sistemas de Información Sistema integrado de Recursos Humanos: Componentes: ■ Administración del personal, ■ Asistencia de personal ■ Planillas, AFP, CTS, ■ Evaluación de personal y ■ Selección del personal
Auditoria de los Sistemas de Información Sistema integrado de Recursos Humanos: Puntos de Control: ■ Los ingresos de personal se procesan separados de la planilla ■ Reportes de todos los mantenimientos indicando el usuario, el Terminal, Fecha y Hora ■ Validar periodos de pago y personal pagado
Auditoria de los Sistemas de Información Sistema integrado de Recursos Humanos: ■ Preplanillas con archivo de errores para corrección ■ Procedimiento de aprobación en línea para procesar a un solo individuo ■ Correspondencia de pago extraordinario por empleado (H-E, incentivos) ■ Validación de las tablas usadas en los pagos
Auditoria de los Sistemas de Información Sistema integrado de Recursos Humanos: ■ Reporte de incrementos de pago versus rango de salario por categoría y/o nivel ■ Control de pagos negativos e inusuales ■ Confirmación de pagos, descuentos y cambio en los beneficios ■ Reportes de conciliación de lo contabilizado y lo registrado de pagos, descuentos y otros
Auditoria de los Sistemas de Información Mantenimiento de los Sistemas de información: ■ Función que acompaña la vida de un sistema de información ■ Se producen 3 tipos de cambios en los sistemas: por emergencia (falla en proceso o resultados incorrectos), programados (críticos) y mejoras (no críticos)
Auditoria de los Sistemas de Información Mantenimiento de Sistemas información: Puntos de control: ■ Mantenimiento de emergencia: reporte de actividades de emergencia, reporte de accesos autorizados, aprobación del usuario, documentación de las acciones realizadas y calificación de la solución (escalabilidad de problemas)
Auditoria de los Sistemas de Información Mantenimiento de Sistemas información: ■ Mantenimiento programado: debe existir el requerimiento, la revisión y aprobación de la solución, el nuevo código y su prueba, la aceptación del usuario, el pase a producción y la documentación respectiva (metodología e impacto en el sistema y período de atención)
Auditoria de los Sistemas de Información Mantenimiento de los Sistemas de información: ■ Mejoras: deben existir los mismos controles que en el caso anterior. En todos los casos las tareas deben segregarse, programador a cargo del código, el administrador de la librería de fuentes y versiones, el control de calidad (pruebas)
Auditoría de Sistemas de información Agenda: ■ ■ ■ ■ ■
Confidencialidad y seguridad Integridad de información Disponibilidad de información Eficiencia y eficacia Controles generales
Principales Actividades de un Sistema de Información Sistemas de Información Control de datos Fuente de datos
Colección de datos
Procesam. de datos
Administ. información
Inform. Usuario
Administ. de los datos
Ingreso
Proceso de datos
Salida
Auditoria de los Sistemas de Información Objetivos: ■ Confidencialidad y Seguridad de la información ■ Integridad de la información ■ Disponibilidad de la información ■ Eficiencia y eficacia del sistema
Auditoria de los Sistemas de Información Objetivo: Confidencialidad y Seguridad ■ Acceso inapropiado al procesamiento de las funciones del sistema: personal de activo fijo con acceso al sistema de pagos ■ Protección inadecuada a la información de las bases de datos del sistema: personal de soporte técnico con posibilidad de alterar los datos del sistema
Auditoria de los Sistemas de Información Objetivo: Confidencialidad y Seguridad Los controles utilizados son: ■ Los de acceso al sistema y relativos a la identificación y autenticación del usuario ■ Los creados por el sistema para proteger el uso del menú, función o transacción particular y la visualización de los datos
Auditoria de los Sistemas de Información Objetivo: Confidencialidad y Seguridad ■ Uso de software especializado para control de acceso, tales como: monitoreo de teleproceso, control de acceso a software y el administrador de las bases de datos ■ Uso de controles físicos para ubicar los Terminales en áreas supervisadas, para manipular los equipos (llaves) y restricción del terminal a procesos determinados.
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Control del procesamiento de las transacciones en el sistema: unicidad, completa y registro de la totalidad ■ Control de acceso inadecuado a las bases de datos del sistema: afectación total o parcial de los datos, formato de la base de datos, uso inadecuado de los campos de control
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Control de consistencia de datos entre el archivo maestro, de movimientos y tablas correspondiente a una misma transacción, p.e.: cambios erróneos en las tablas del sistema pueden afectar la integridad de la información en su proceso alterando los resultados esperados
Auditoria de los Sistemas de Información Objetivo: Integridad Entre los controles utilizados están: ■ Controles de ingreso de datos: *chequeo y validación de datos para evitar duplicidad, ingreso de datos fuera de rango, códigos inexistentes *formato adecuado en el registro de datos
Auditoria de los Sistemas de Información Objetivo: Integridad *campos críticos completos en la B.D. *control físico con el número de documento autorizado a ingresar la transacción en el sistema *balance de transacciones *duplicidad de registro
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Transacciones retenidas o marcadas por el sistema, que se encuentran en un reporte de excepción, identificadas en la B.D. con una marca particular, y rechazadas por el sistema (no procesadas)
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Revisión del proceso seguido con las transacciones rechazadas, p.e.: procedimiento de corrección y reingreso al sistema, control de atención, rechazo definitivo
Auditoria de los Sistemas de Información Objetivo: Integridad ■ Control de procesamiento de las transacciones: *Ciclo de procesamiento: comparación del total de registros procesados por el sistema versus los ingresados al proceso (calculo en base a campos críticos)
Auditoria de los Sistemas de Información Objetivo: Integridad *Control de sesión: emulan el procedimiento de control manual o batch comúnmente realizado, totales por tipo de transacción se acumulan automáticamente y se comparan con los balances realizados al termino del proceso
Auditoria de los Sistemas de Información Objetivo: Integridad *Control de balance: el sistema incorpora dentro de sí todo el proceso de control, lleva el registro de totales de transacciones por tipo y compara con las transacciones procesadas y la información obtenida
Auditoria de los Sistemas de Información Objetivo: Integridad *Control de transmisión de datos: tanto al envío como a la recepción se realizan algoritmos de calculo o simple registro de totales que permiten verificar sí la información fue recibida conforme y enviada del mismo modo
Auditoria de los Sistemas de Información Objetivo: Integridad *Control de reinicio y recuperación: se verifica que las transacciones interrumpidas o los proceso cortados puedan recuperarse sin afectar las operaciones o transacciones del sistema. Se usan tablas de fechas de registro de transacción, cálculos internos entre las transacciones ingresadas
Auditoria de los Sistemas de Información Objetivo: Disponibilidad de información ■
■
Se afecta como resultado de una falla o interrupción del sistema (p.e.:caídas) o por una política inefectiva de retención de datos Los controles frecuentemente utilizados son: sistema de tolerancia de fallas, Log diario de transacciones en línea, software de recuperación y reinicio, archivo de recuperación almacenado en otro volumen
Auditoria de los Sistemas de Información Objetivo: Eficiencia y eficacia de los S.I. ■
■ ■
Controlar que los sistemas satisfagan las expectativas de sus usuarios y que no distorsionen las funciones del negocio Controlar que el sistema consuma el mínimo de recursos Responde a los criterios de cuantificación de los costos de operación y mantenimiento del sistema
Auditoria de de los Sistemas de Información Controles Generales de los S.I. ■ Seguridad de los programas y datos ■ Control de cambio de programas ■ Control de desarrollo de sistemas ■ Control de operaciones de los sistemas
Auditoria de los Sistemas de Información La auditabilidad de los sistemas depende de : ■ Acceso a las Bases de Datos: uso de herramientas informáticas ■ Uniformidad de las transacciones: relativo a intercambio electrónico ■ Documentación de los procesos ■ Conciliaciones entre la información detallada y los resúmenes o en las transferencias de datos
Auditoria de los Sistemas de Información Métodos de revisión de aplicaciones: ■
■ ■
■
Análisis de E/S: sigue el flujo de la transacción. Es engorroso para sistemas complejos Revisión de código fuente: se dificulta por la disponibilidad de los códigos fuente Revisión del desarrollo o de la preimplantación: inclusión de puntos de control antes de su uso Revisión de los controles de la aplicación
Auditoria de los Sistemas de Información Sistema integrado contable financiero: ■
■ ■
■
Componentes del sistema: contabilidad, costos, tesorería, caja, presupuesto, reportes financieros, control patrimonial Interrelación entre componentes: función de la organización y disponibilidad tecnológica Funcionalidad de cada componente: tratamiento de la información y manejo de parámetros Revisión de los controles de cada componente
Auditoria de los Sistemas de Información Sistema integrado contable financiero: Puntos de control en contabilidad ■ Mantenimiento de cuentas: ingresos, campos significativos, transacciones de sustento ■ Diario: Control de totales, aprobación de transacciones en línea, validación de transacciones que están en el balance
Auditoria de los Sistemas de Información Sistema integrado contable financiero: ■ Reportes: control de totales, conciliación de interfase, fecha de proceso de cuentas ■ Conversión monetaria: ingreso de cambios, reporte de cambio de moneda en uso, identificar transacciones sujetas a cambio, reporte de diferencia de cambio respecto al estándar
Auditoria de los Sistemas de Información Sistema integrado contable financiero: Puntos de control- Pago proveedores u otros ■ Directorio de proveedores: unicidad de código de proveedor, reporte de cambios ■ Procesamiento e ingresos: marcas automáticas de los proveedores descontinuados, a los que no ingresan a proceso
Auditoria de los Sistemas de Información Sistema integrado contable financiero: ■ Edición y validación: validación de código de vendedor, validación de cuenta contable, validación de partida presupuestal y O/C ■ Procesamiento de pagos: relacionar O/C, Guía, Factura, Partida y la prioridad en el pago, marca de pagos, conciliación de caja, pagos con transferencia de fondos
Auditoria de los Sistemas de Información Sistema integrado contable financiero: Puntos de Control - Ingresos ■ Archivo de clientes: Logs, cambios en el limite de crédito identificándose la fecha ■ Proceso de transacciones: chequeo automático de límite de crédito ■ Caja: posteo automático de diferencia de pagos a cuentas apropiadas, créditos
Auditoria de los Sistemas de Información Sistema integrado contable financiero: ■ Reportes: Logs, resúmenes totales por documento, pagos a créditos, pagos con depósitos, Balances de pagos, créditos excepcionales autorizados
Auditoria de los Sistemas de Información Sistema integrado de Recursos Humanos: Componentes: ■ Administración del personal, ■ Asistencia de personal ■ Planillas, AFP, CTS, ■ Evaluación de personal y ■ Selección del personal
Auditoria de los Sistemas de Información Sistema integrado de Recursos Humanos: Puntos de Control: ■ Los ingresos de personal se procesan separados de la planilla ■ Reportes de todos los mantenimientos indicando el usuario, el Terminal, Fecha y Hora ■ Validar periodos de pago y personal pagado
Auditoria de los Sistemas de Información Sistema integrado de Recursos Humanos: ■ Preplanillas con archivo de errores para corrección ■ Procedimiento de aprobación en línea para procesar a un solo individuo ■ Correspondencia de pago extraordinario por empleado (H-E, incentivos) ■ Validación de las tablas usadas en los pagos
Auditoria de los Sistemas de Información Sistema integrado de Recursos Humanos: ■ Reporte de incrementos de pago versus rango de salario por categoría y/o nivel ■ Control de pagos negativos e inusuales ■ Confirmación de pagos, descuentos y cambio en los beneficios ■ Reportes de conciliación de lo contabilizado y lo registrado de pagos, descuentos y otros
Auditoria de los Sistemas de Información Mantenimiento de los Sistemas de información: ■ Función que acompaña la vida de un sistema de información ■ Se producen 3 tipos de cambios en los sistemas: por emergencia (falla en proceso o resultados incorrectos), programados (críticos) y mejoras (no críticos)
Auditoria de los Sistemas de Información Mantenimiento de Sistemas información: Puntos de control: ■ Mantenimiento de emergencia: reporte de actividades de emergencia, reporte de accesos autorizados, aprobación del usuario, documentación de las acciones realizadas y calificación de la solución (escalabilidad de problemas)
Auditoria de los Sistemas de Información Mantenimiento de Sistemas información: ■ Mantenimiento programado: debe existir el requerimiento, la revisión y aprobación de la solución, el nuevo código y su prueba, la aceptación del usuario, el pase a producción y la documentación respectiva (metodología e impacto en el sistema y período de atención)
Auditoria de los Sistemas de Información Mantenimiento de los Sistemas de información: ■ Mejoras: deben existir los mismos controles que en el caso anterior. En todos los casos las tareas deben segregarse, programador a cargo del código, el administrador de la librería de fuentes y versiones, el control de calidad (pruebas)
Related Documents
Aud Uni 07
October 2019 3
Aud Uni 09
October 2019 4
Aud Uni 03
October 2019 8
Aud Uni 08
October 2019 7
Aud Uni 06
October 2019 4