UNIVERSIDAD DE EL SALVADOR FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTADURIA PBLICA

CONTROLES DE APLICACION
AUDITORIA DE SISTEMAS
Catedrtico Lic. Henry Amlcar Marroqun

Grupo Terico 05

Equipo de Trabajo 05

Integrantes Karla Patricia Fermn Alvarado Karen Yesenia Guardado Alvarado Aida Melissa Caas Galdmez Agustn Alfredo Romero Rivas Billy Reynaldo Alvarado Mina FA06001 GA02049 CG03059 RR02103 AM06090

Ciudad Universitaria, veinticuatro de octubre de dos mil doce.

Contenido
CONTROLES DE APLICACIN DE SI ................................................................................................ 3 INTRODUCCIN A LOS CONTROLES DE APLICACIN .................................................................... 3 FASES DEL CICLO DE VIDA ............................................................................................................. 3 Diseo e Implantacin de los Controles de Aplicacin ............................................................. 3 Dependencia de los Controles Generales de TI ........................................................................ 4 OBJETIVOS DE CONTROL DE APLICACIN IDENTIFICADOS EN COBIT ........................................... 4 AC1 Preparacin y Autorizacin de Informacin Fuente. ......................................................... 4 AC2 Recoleccin y Entrada de Informacin Fuente. ................................................................. 4 AC3 Chequeos de Exactitud, Integridad y Autenticidad ........................................................... 4 AC4 Integridad y Validez del Procesamiento ............................................................................ 4 AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores .................................................. 4 AC6Autenticacin e Integridad de Transacciones..................................................................... 4 TIPOS DE CONTROLES DE APLICACIN ......................................................................................... 5 Controles de aplicacin Manuales. ........................................................................................... 5 Controles de aplicacin Automatizados.................................................................................... 5 Controles de aplicacin Hbridos o dependientes de controles de aplicacin automatizados. 5 Controles de aplicacin Configurables. ..................................................................................... 5 ATRIBUTOS DE LOS CONTROLES DE APLICACIN ..................................................................... 6 Frecuencia del Control. ............................................................................................................. 6 Proximidad del Control al evento de Riesgo. ............................................................................ 6 Ejecucin de la actividad de Control. ........................................................................................ 6 MONITOREO DE LA EFECTIVIDAD DE LOS CONTROLES DE APLICACIN....................................... 6 El control como subconjunto de actividades de un proceso. ................................................... 6 Necesidad del monitoreo. ......................................................................................................... 6 Responsabilidad del monitoreo de la efectividad. .................................................................... 6 Monitoreo de la efectividad de los controles de aplicacin cuya ejecucin es delegada a terceros. .................................................................................................................................... 6 BIBLIOGRAFIA ................................................................................................................................ 7

CONTROLES DE APLICACIN DE SI
El auditor de SI debe evaluar y supervisar los controles de TI que son parte integral del entorno del control interno de la organizacin. El auditor de SI debe asistir a la gerencia proporcionando consejos con respecto al diseo la implementacin, la operacin y la mejora de controles de TI. Los controles de TI estn compuestos por controles generales de TI, que incluyen controles transversales, controles detallados y controles de aplicacin, referidos a controles sobre la adquisicin, implementacin, entrega y soporte a los sistemas y servicios de TI. Los controles de aplicacin son un conjunto de controles incrustados dentro de las aplicaciones.

INTRODUCCIN A LOS CONTROLES DE APLICACIN

Los controles de aplicacin se establecen para proporcionar una seguridad razonable de que los objetivos que la gerencia establece sobre las aplicaciones, se alcanzan. Estos objetivos se articulan tpicamente a travs de funciones especficas para la solucin, la definicin de las reglas de negocio para el procesamiento de la informacin y la definicin de procedimientos manuales de soporte. Ejemplo de ello son: Totalidad (Integridad) Exactitud Validez Autorizacin Segregacin de funciones

FASES DEL CICLO DE VIDA

Diseo e Implantacin de los Controles de Aplicacin
Una parte importante de esta etapa tanto para los sistemas nuevos como para los existentes, es identificar los objetivos de control, evaluar los riesgos y determinar la suficiencia de los controles de aplicacin. Si no fue as, se debern plantear las acciones correctivas necesarias.

Dependencia de los Controles Generales de TI

Los controles generales de TI son aquellos que tienen que ver con el ambiente de proceso de TI en el cual operan los controles de aplicacin. Entre los controles generales estn por ejemplo: Control de cambios a programas Controles de acceso fsico Controles de acceso lgico Controles de continuidad operativa

El hecho de que los controles generales sean adecuados, no garantiza que los controles de aplicacin sern adecuados. Pero si los controles generales son deficientes, los controles de aplicacin muy probablemente lo sern tambin.

OBJETIVOS DE CONTROL DE APLICACIN IDENTIFICADOS EN COBIT

AC1 Preparacin y Autorizacin de Informacin Fuente.
Asegurar que los documentos fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y aprobacin de estos documentos. Detectar errores e irregularidades para que sean informados y corregidos.

AC2 Recoleccin y Entrada de Informacin Fuente.

Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de los datos que fueron errneamente ingresados se deben realizar, sin comprometer los niveles de autorizacin de las transacciones originales. En donde sea apropiado para la reconstruccin, retener los documentos fuente originales durante el tiempo necesario.

AC3 Chequeos de Exactitud, Integridad y Autenticidad

Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible.

AC4 Integridad y Validez del Procesamiento

Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. Detectar transacciones errneas y que no interrumpan el procesamiento de transacciones validas.

AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores

Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la informacin proporcionada en la salida.

AC6Autenticacin e Integridad de Transacciones

Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido.

Mantener la autenticidad y la integridad durante la transmisin o el transporte.

TIPOS DE CONTROLES DE APLICACIN

Controles de aplicacin Manuales.
Son controles ejecutados sin la asistencia de sistemas automatizados. Ejemplos: Autorizaciones escritas, como firmas en cheques. Reconciliacin de rdenes de compra con los formatos de recepcin de mercancas.

Controles de aplicacin Automatizados.

Son controles que han sido programados e integrados en una aplicacin computacional. Ejemplos: Validaciones de edicin y contenido de datos de entrada. Dgitos verificadores para validar nmeros de cuenta.

Controles de aplicacin Hbridos o dependientes de controles de aplicacin automatizados.

Son controles que consisten de una combinacin de actividades manuales y automatizadas. Ejemplo: El proceso de llenado de rdenes de embarque puede incluir un control donde el gerente de embarques revisa un reporte de rdenes no embarcadas. Para que este control sea efectivo, la actividad automatizada (generacin de un reporte completo y seguro de rdenes no embarcadas) as como la actividad manual (revisin y seguimiento por el gerente), son necesarias para que el control sea efectivo. Se debe tener cuidado de no considerar los controles hbridos como controles manuales, pues entonces se puede dejar de lado el aseguramiento de la actividad automatizada.

Controles de aplicacin Configurables.

Son controles automatizados que estn basados y por lo tanto son dependientes de la configuracin de parmetros dentro de la aplicacin. Ejemplo: Un control en un sistema de compras automatizado, que permite rdenes hasta un lmite de autorizacin, es dependiente de controles sobre los cambios en los lmites pre configurados de autorizacin. En muchos casos, las aplicaciones comerciales o desarrolladas en casa, son altamente dependientes de la configuracin de varias tablas de parmetros. Es apropiado considerar el diseo del control sobre las tablas como un elemento separado.

ATRIBUTOS DE LOS CONTROLES DE APLICACIN Frecuencia del Control.

Esta caracterstica se relaciona con que tan frecuentemente es aplicado un control (diaria, semanal, mensual, etc.). Esta necesita ser considerada en el contexto de riesgo.

Proximidad del Control al evento de Riesgo.

Esta caracterstica considera dnde, dentro del proceso, se aplica la actividad de control. Si la entrada de datos es una preocupacin, entonces la actividad de control debe ser ms efectiva entre ms cerca est de dicho evento dentro del proceso.

Ejecucin de la actividad de Control.

Saber quin ejecuta el control es una caracterstica relevante, sobre todo en los controles manuales, ya que ello implica roles y responsabilidades por las decisiones y aprobaciones relacionadas con el control. Esta caracterstica considera si las responsabilidades han sido apropiadamente segregadas de otras responsabilidades incompatibles.

MONITOREO DE LA EFECTIVIDAD DE LOS CONTROLES DE APLICACIN

El control como subconjunto de actividades de un proceso.
Las actividades de control sobre las aplicaciones, son un subconjunto de todas las actividades de un proceso de negocio y deben ser incluidas en el monitoreo de la gerencia sobre todo el proceso.

Necesidad del monitoreo.

Los controles de aplicaciones requieren ser monitoreadas para asegurar su efectividad.

Responsabilidad del monitoreo de la efectividad.

Dado que las actividades relacionadas con los controles de aplicacin son parte de un proceso de negocio, los responsables de este proceso son tambin responsables de monitorear la efectividad de la operacin de los controles de aplicacin.

Monitoreo de la efectividad de los controles de aplicacin cuya ejecucin es delegada a terceros.

La responsabilidad por la ejecucin puede ser delegada a terceros, pero la gerencia sigue siendo responsable de la efectividad de la operacin de los controles. La gerencia debe hacer evaluaciones peridicas de la efectividad de los controles de aplicacin, llevando a cabo autoevaluaciones, revisiones de auditora interna y revisiones de terceros.

BIBLIOGRAFIA
Norma Internacional de SI SI15 Controles
2007 ISACA. Todos los derechos reservados.

COBIT 4.1
2007 IT Governance Institute. All rights reserved. www.itgi.org

COBIT Y LOS CONTROLES DE APLICACIN Edmundo Trevio Gelover, CGEIT, CISM, CISA