EDMUNDO TREVIO GELOVER CGEIT,CISM,CISA

AGENDA
1. 2. 3. 4. 5. 6. 7. 8.

ANTECEDENTES INTRODUCCIN A LOS CONTROLES DE APLICACIN OBJETIVOS DE CONTROL DE APLICACIN IDENTIFICADOS EN COBIT TIPOS DE CONTROLES DE APLICACIN ATRIBUTOS DE LOS CONTROLES MONITOREO DE LA EFECTIVIDAD DE LOS CONTROLES DE APLICACIN PROCESO DE ASEGURAMIENTO PARA LOS CONTROLES DE APLICACIN GUA PARA DEFINIR TAMAOS DE MUESTRA PARA PRUEBA DE CONTROLES DE APLICACIN

Pgina 1

ANTECEDENTES
Esta charla est dirigida a profesionales de la auditora interna y externa, incluyendo auditores operacionales y auditores de TI. Los controles de aplicacin son muchas veces subestimados en los trabajos de auditora, o se dejan zonas grises, que nadie atiende, por lo que es necesario conocer ms sobre ellos. Se deben conocer los atributos de los controles de aplicacin y las responsabilidades y roles de las partes involucradas.

Pgina 2

INTRODUCCIN A LOS CONTROLES DE APLICACIN

Los controles de aplicacin consisten de actividades manuales y/o automatizadas que aseguran que la informacin cumple con ciertos criterios, los que COBIT refiere como requerimientos de negocio para la informacin. Estos criterios son: Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento y Confiabilidad.
Pgina 3

INTRODUCCIN A LOS CONTROLES DE APLICACIN

Los controles de aplicacin se establecen para proporcionar una seguridad razonable de que los objetivos que la gerencia establece sobre las aplicaciones, se alcanzan. Estos objetivos se articulan tpicamente a travs de funciones especficas para la solucin, la definicin de las reglas de negocio para el procesamiento de la informacin y la definicin de procedimientos manuales de soporte. Ejemplo de ello son: Totalidad (Integridad) Exactitud Validez Autorizacin Segregacin de funciones

Pgina 4

INTRODUCCIN A LOS CONTROLES DE APLICACIN

Es necesario asegurarse de que existen suficientes controles para mitigar los riesgos y que estn operando con la efectividad necesaria para proveer informacin confiable. Durante el ciclo de vida de los sistemas, diversas partes de la organizacin realizan actividades, responsabilidades y roles asociados con los controles de aplicacin.

Pgina 5

INTRODUCCIN A LOS CONTROLES DE APLICACIN

-FASES DELCICLO DEVIDA
Diseo e Implantacin de los Controles de Aplicacin Una parte importante de esta etapa tanto para los sistemas nuevos como para los existentes, es identificar los objetivos de control, evaluar los riesgos y determinar la suficiencia de los controles de aplicacin. Si no fue as, se debern plantear las acciones correctivas necesarias Responsabilidades
Gerencia del Negocio Que los requerimientos de control en aplicaciones, se establezcan apropiadamente para cumplir con los objetivos de control del negocio. Que el desarrollo e implantacin de los controles de aplicacin, se mantengan en concordancia con los requerimientos de negocio definidos.
Pgina 6

Gerencia de TI

INTRODUCCIN A LOS CONTROLES DE APLICACIN

-FASES DELCICLO DEVIDA
Operacin y Mantenimiento de los Controles de Aplicacin El ambiente de proceso de TI en el cual operan los controles de aplicacin, necesita ser controlado para asegurar la confiabilidad del proceso de los sistemas. Los cambios en los procesos y en los requerimientos de negocio, deben ser considerados para actualizar y/o mejorar los controles de aplicacin. Responsabilidades
Gerencia del Negocio
Del monitoreo de la efectividad operativa de los controles de aplicacin y de la identificacin y definicin de los cambios en los requerimientos de negocio.

Gerencia de TI

De proveer un ambiente de procesamiento confiable y de desarrollar y entregar los cambios basados en los requerimientos de negocio.
Pgina 7

INTRODUCCIN A LOS CONTROLES DE APLICACIN

-CONTROLESGENERALES
Dependencia de los Controles Generales de TI
Los controles generales de TI son aquellos que tienen que ver con el ambiente de proceso de TI en el cual operan los controles de aplicacin. Entre los controles generales estn por ejemplo: Control de cambios a programas Controles de acceso fsico Controles de acceso lgico Controles de continuidad operativa El hecho de que los controles generales sean adecuados, no garantiza que los controles de aplicacin sern adecuados. Pero si los controles generales son deficientes, los controles de aplicacin muy probablemente lo sern tambin.
Pgina 8

INTRODUCCIN A LOS CONTROLES DE APLICACIN

-COBIT
Marco de trabajo general COBIT
OBJETIVOS DEL NEGOCIO OBJETIVOS DEL GOBIERNO

Para proporcionar la informacin que la empresa necesita para lograr sus objetivos, es necesario administrar los recursos de TI a travs de un conjunto estructurado de procesos de TI.

INFORMACION

MONITOREAR Y EVALUAR RECURSOS DE TI

PLANEAR Y ORGANIZAR

ENTREGAR Y DAR SOPORTE

ADQUIRIR E IMPLANTAR

= Dominios de COBIT

Pgina 9

OBJETIVOS DE CONTROL DE APLICACIN IDENTIFICADOS EN COBIT

AC1 Preparacin y Autorizacin de Informacin Fuente. Asegurar que los documentos fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y aprobacin de estos documentos. Detectar errores e irregularidades para que sean informados y corregidos. AC2 Recoleccin y Entrada de Informacin Fuente. Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de los datos que fueron errneamente ingresados se deben realizar, sin comprometer los niveles de autorizacin de las transacciones originales. En donde sea apropiado para la reconstruccin, retener los documentos fuente originales durante el tiempo necesario.

Pgina 10

OBJETIVOS DE CONTROL DE APLICACIN IDENTIFICADOS EN COBIT

AC3 Chequeos de Exactitud, Integridad y Autenticidad Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible. AC4 Integridad y Validez del Procesamiento Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. Detectar transacciones errneas y que no interrumpan el procesamiento de transacciones validas. AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la informacin proporcionada en la salida.

Pgina 11

OBJETIVOS DE CONTROL DE APLICACIN IDENTIFICADOS EN COBIT

AC6 Autenticacin e Integridad de Transacciones Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte.

Pgina 12

OBJETIVOS DE CONTROL DE APLICACIN Y LOS CRITERIOS DE INFORMACIN

Fuente: COBIT and APLICATION CONTROLS: A Management Guide 2009 ISACA. All rights reserved Pgina 13

TIPOS DE CONTROLES DE APLICACIN

Controles de aplicacin Manuales. Son controles ejecutados sin la asistencia de sistemas automatizados. Ejemplos: - Autorizaciones escritas, como firmas en cheques. - Reconciliacin de rdenes de compra con los formatos de recepcin de mercancas. Controles de aplicacin Automatizados. Son controles que han sido programados e integrados en una aplicacin computacional. Ejemplos: - Validaciones de edicin y contenido de datos de entrada. - Dgitos verificadores para validar nmeros de cuenta.
Pgina 14

TIPOS DE CONTROLES DE APLICACIN

Controles de aplicacin Hbridos o dependientes de controles de aplicacin automatizados.
Son controles que consisten de una combinacin de actividades manuales y automatizadas. Ejemplo: - El proceso de llenado de rdenes de embarque puede incluir un control donde el gerente de embarques revisa un reporte de rdenes no embarcadas. Para que este control sea efectivo, la actividad automatizada (generacin de un reporte completo y seguro de rdenes no embarcadas) as como la actividad manual (revisin y seguimiento por el gerente), son necesarias para que el control sea efectivo. Se debe tener cuidado de no considerar los controles hbridos como controles manuales, pues entonces se puede dejar de lado el aseguramiento de la actividad automatizada.
Pgina 15

TIPOS DE CONTROLES DE APLICACIN

Controles de aplicacin Configurables.
Son controles automatizados que estn basados y por lo tanto son dependientes de la configuracin de parmetros dentro de la aplicacin. Ejemplo: - Un control en un sistema de compras automatizado, que permite rdenes hasta un lmite de autorizacin, es dependiente de controles sobre los cambios en los lmites preconfigurados de autorizacin. En muchos casos, las aplicaciones comerciales o desarrolladas en casa, son altamente dependientes de la configuracin de varias tablas de parmetros . Es apropiado considerar el diseo del control sobre las tablas como un elemento separado.

Pgina 16

ATRIBUTOS DE LOS CONTROLES

Frecuencia del Control.
Esta caracterstica se relaciona con que tan frecuentemente es aplicado un control (diaria, semanal, mensual, etc.). Esta necesita ser considerada en el contexto de riesgo. Tal vez la frecuencia anual de revisin de la nmina no sea suficiente y por otro lado, una revisin de un balance diario, pueda dar lugar a errores y debe hacerse mensualmente. Proximidad del Control al evento de Riesgo. Esta caracterstica considera dnde , dentro del proceso, se aplica la actividad de control. Si la entrada de datos es una preocupacin, entonces la actividad de control debe ser mas efectiva entre ms cerca est de dicho evento dentro del proceso.

Pgina 17

ATRIBUTOS DE LOS CONTROLES

Ejecucin de la actividad de Control.
Saber quin ejecuta el control es una caracterstica relevante, sobre todo en los controles manuales , ya que ello implica roles y responsabilidades por las decisiones y aprobaciones relacionadas con el control. Esta caracterstica considera si las responsabilidades han apropiadamente segregadas de otras responsabilidades incompatibles. sido

Pgina 18

MONITOREO DE LA EFECTIVIDAD DE LOS CONTROLES DE APLICACIN

El control como subconjunto de actividades de un proceso. Las actividades de control sobre las aplicaciones, son un subconjunto de todas las actividades de un proceso de negocio y deben ser incluidas en el monitoreo de la gerencia sobre todo el proceso. Necesidad del monitoreo. Los controles de aplicaciones requieren ser monitoreadas para asegurar su efectividad. Responsabilidad del monitoreo de la efectividad. Dado que las actividades relacionadas con los controles de aplicacin son parte de un proceso de negocio, los responsables de este proceso son tambin responsables de monitorear la efectividad de la operacin de los controles de aplicacin.
Pgina 19

MONITOREO DE LA EFECTIVIDAD DE LOS CONTROLES DE APLICACIN

Monitoreo de la efectividad de los controles de aplicacin cuya ejecucin es delegada a terceros. La responsabilidad por la ejecucin puede ser delegada a terceros, pero la gerencia sigue siendo responsable de la efectividad de la operacin de los controles. La gerencia debe hacer evaluaciones peridicas de la efectividad de los controles de aplicacin, llevando a cabo autoevaluaciones, revisiones de auditora interna y revisiones de terceros. En todo caso, ya sea que los controles de aplicacin sean ejecutados por terceros o internos, la gerencia debe identificar si estos son apropiados y se estn ejecutando adecuadamente. Debe revisar los informes de incidentes y problemas y dar un seguimiento a las acciones remdiales que sean necesarias.

Pgina 20

Pgina 21

Pgina 22

PROCESO DE ASEGURAMIENTO PARA LOS CONTROLES DE APLICACIN

El proceso de aseguramiento para los controles de aplicacin contempla 6 Etapas.

Fuente: COBIT and APLICATION CONTROLS: A Management Guide 2009 ISACA. All rights reserved Pgina 23

PROCESO DE ASEGURAMIENTO PARA LOS CONTROLES DE APLICACIN

Etapa 1: Entendimiento
En esta etapa es necesario identificar: Las aplicaciones dentro del alcance, incluyendo aplicaciones dependientes e interfases.

Refinar el entendimiento sobre el aseguramiento de TI

Evaluar la Documentar el efectividad del impacto de las Entradas, salidas y almacenamiento de datos. diseo de control debilidades de para alcanzar los y fuentes de informacin control procesada por Los tipos objetivos de la aplicacin. control

Entendimiento

La naturaleza del procesamiento que ejecuta la aplicacin: Clculos, sumarizaciones, transformaciones. Tipos y destinos de la informacin de salida. Importancia de la informacin para el proceso de negocio.
Pgina 24

PROCESO DE ASEGURAMIENTO PARA LOS CONTROLES DE APLICACIN

Etapa 2: Alcance
Esta etapa consiste principalmente de: Evaluar las amenazas potenciales que puedan afectar los criterios de informacin relevante y Evaluar la Documentar el los riesgos asociados. efectividad del impacto de las
diseo de control para alcanzar los objetivos de Identificar control debilidades de control

Refinar el alcance de los objetivos de control clave para el aseguramiento de TI

Alcance

los objetivos de control de la aplicacin relevantes para las amenazas y riesgos identificados y necesarios para proveer una garanta de que se cumplen los requerimientos de las partes de negocio interesadas.

Pgina 25

PROCESO DE ASEGURAMIENTO PARA LOS CONTROLES DE APLICACIN

Etapa 3: Evaluacin de Diseo
En esta etapa se identifican: Las actividades de control que han sido implementadas para lograr los objetivos de Evaluar la Documentar el control. efectividad del impacto de las
diseo de control para alcanzar los objetivos de llegar Para control debilidades de control

Evaluar la efectividad del diseo de control para alcanzar los objetivos de control

a conclusiones se consideran los tipos y atributos de control:

Tipo: Automatizado vs. Manual vs. Hbrido vs. Configurable. Naturaleza: Preventivo vs. Detectivo Frecuencia Proximidad del control al evento de riesgo Quin ejecuta el control.
Pgina 26

Evaluacin de Diseo

PROCESO DE ASEGURAMIENTO PARA LOS CONTROLES DE APLICACIN

Etapa 4: Evaluacin de la Efectividad Operativa
En esta etapa:
Evaluar la efectividad operativa de los controles para alcanzar los objetivos de control

Evaluar la Documentar el efectividad del impacto de las Se hacen pruebas de los controles. diseo de control debilidades de para alcanzar los control son: Cuatro tcnicas de prueba usadas objetivos de Cuestionar y confirmar control

Se obtiene evidencia de que los controles estn operando de acuerdo a lo esperado.

Inspeccionar Observar
Evaluacin de la Efectividad Operativa

Re-ejecutar

Es comn utilizar herramientas CAAT (Computer Assisted Audit Techinques)

Pgina 27

PROCESO DE ASEGURAMIENTO PARA LOS CONTROLES DE APLICACIN

Etapa 5: Documentacin de Debilidades
El objetivo de esta etapa es: Realizar el anlisis necesario para lograr un entendimiento de las debilidades de control y las Evaluar la Documentar el amenazas resultantes, vulnerabilidades e efectividad del impacto de las diseo de control debilidades de impactos.
para alcanzar los objetivos de control control

Documentar el impacto de las debilidades de control

Entre las actividades en esta etapa estn:

Documentar los costos incurridos Identificar consecuencias de no cumplir con requerimientos regulatorios o contractuales Medir y documentar el costo de los re-procesos. Comunicar las debilidades encontradas y cul es la posicin de la empresa para enfrentarlas.
Pgina 28

Documentacin de Debilidades

PROCESO DE ASEGURAMIENTO PARA LOS CONTROLES DE APLICACIN

Etapa 6: Conclusiones y Recomendaciones
En esta etapa el auditor debe llegar a una conclusin acerca de:
Desarrollar y comunicar las conclusiones y recomendaciones Evaluar la Documentar el controles de aplicacin satisfacen los efectividad del impacto de las criterios diseo de control requerimientos del negocio.debilidades de para alcanzar los control objetivos de control

Si hay o no suficiente evidencia de que los y

Conclusiones y Recomendaciones

Si los controles han sido adecuadamente y estn correctamente.

diseados operando

El auditor har recomendaciones de carcter general.

Pgina 29

GUA PARA DEFINIRTAMAOS DE MUESTRA PARA PRUEBA DE CONTROLES DE APLICACIN

En muchas de las pruebas, el auditor deber seleccionar una muestra de los eventos de ejecucin del control. Para determinar el tamao de la muestra el auditor considerar: El nivel de confianza deseado El rango tolerable de desviacin de los controles probados La probabilidad de desviaciones El riesgo aceptable de evaluacin de control

Pgina 30

GUA PARA DEFINIRTAMAOS DE MUESTRA PARA PRUEBA DE CONTROLES DE APLICACIN

Aunque hay muchos factores para determinar el tamao de la muestra, la siguiente tabla muestra los mnimos comnmente usados:

Fuente: COBIT and APLICATION CONTROLS: A Management Guide 2009 ISACA. All rights reserved Pgina 31

CONCLUSIONES
Los controles de aplicacin son muy importantes para lograr los objetivos de control del negocio. Los controles generales de TI impactan directamente a los controles de aplicacin. El monitoreo de la efectividad de los controles de aplicacin es responsabilidad de la gerencia del negocio. Control de aplicacin no es sinnimo de control automatizado, pues hay tambin controles manuales e hbridos. La auditora de los controles de aplicacin involucra a los auditores operacionales y a los auditores de TI, debiendo definirse las fronteras de responsabilidad entre ellos.

Pgina 32

www.alintec.net

Alintec Mxico
Tel. +52 (81) 8357-1000