Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria de Aplicaciones3 PDF
Auditoria de Aplicaciones3 PDF
CAPITULO I
AUDITORIA DE APLICACIONES
1.1 Definicin
Es la revisin que se dirige a evaluar los mtodos y procedimientos de uso de
aplicaciones o sistemas de informacin en una entidad, con el propsito de
determinar si su diseo y aplicacin son correctos y comprobar el sistema de
procesamiento de informacin como parte de la evaluacin de control interno; con
el fin de identificar aspectos susceptibles para mejorar o eliminarse.
Las aplicaciones o sistemas de informacin son uno de los productos finales que
genera la infraestructura de la Tecnologa Informtica en las organizaciones y por
ende son el aspecto de mayor visibilidad desde la perspectiva de negocio.
La importancia de una auditora de aplicaciones segn lo expuesto anteriormente
radica en el control, eficiencia y eficacia de los sistemas informticos.
1.2 Problemtica de la auditora de una aplicacin Informtica
Una aplicacin informtica o sistema de informacin habitualmente persigue como
finalidad:
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Introduccin, tipos de amenazas, mitos sobre seguridad Auditing Web Applications, NileshChaudhari.
Pag145
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
CAPITULO II
ETAPAS DE LA AUDITORA DE UNA APLICACIN INFORMTICA:
2.1 Recogida de informacin y documentacin sobre la aplicacin.
Antes de plantear el alcance de los trabajos de auditora sobre aplicaciones
informticas se necesita disponer de un conocimiento bsico de la aplicacin y de
su entorno. Realizar un estudio preliminar en el que se recoge toda aquella
informacin que pueda ser til para determinar los puntos dbiles existentes y
aquellas funciones de la aplicacin que puedan entraar riesgos.
A travs de entrevistas con personal de los equipos responsables de la aplicacin,
tanto desde la organizacin usuaria como de la de Sistemas de Informacin, se
inicia el proceso de recopilacin de informacin y documentacin que permitir
profundizar en su conocimiento hasta los niveles de exigencia necesarios para la
realizacin del trabajo: y en una primera fase, hasta el nivel de aproximacin
suficiente para estar en disposicin de establecer y consensuar los objetivos
concretos de la auditora.
Resulta conveniente que el auditor solicite los documentos formalmente,
facilitando su relacin y que stos le sean suministrados en soporte informtica en
la medida de lo posible.
2.2 Determinacin de los objetivos y alcance de la auditora.
El examen de los documentos recopilados y la revisin de los temas tratados a lo
largo, de las entrevistas mantenidas, es decir, las observaciones tras el examen
preliminar, la identificacin de los puntos dbiles y las funciones crticas, deben
permitirle al auditor establecer su propuesta de objetivos de la auditora de la
aplicacin y un plan detallado del trabajo a realizar. Es de desear que los objetivos
propuestos sean consensuados con el equipo responsable de la aplicacin en la
organizacin usuaria.
3
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
los ponga, en base a razones por las que estime puedan aportar mayor
valor al trabajo.
- Debe conseguirse cuanto antes, solicitndolo ya en la primera toma de
contacto, las autorizaciones necesarias para que el personal de auditora, que
est previsto participe en el trabajo, pueda acceder a la aplicacin y a las
herramientas de usuario.
de
de
las
las
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Estas fases deben estar sometidas a un exigente control interno, caso contrario,
adems del disparo de los costes, podr producirse la insatisfaccin del
usuario.Finalmente, la auditora deber comprobar la seguridad de los programas
en el sentido de garantizar que los ejecutados por la maquina sean exactamente
los previstos y no otros.
Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el
anlisis de cuatro consideraciones:
1. Revisin de las metodologas utilizadas:
Se analizaran stas, de modo que se asegure la modularidad de las posibles
futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.
2. Control Interno de las Aplicaciones:
Se debern revisar las mismas fases que presuntamente han debido seguir el
rea correspondiente de desarrollo.
3. Satisfaccin de usuarios:
Una aplicacin tcnicamente eficiente y bien desarrollada, deber considerarse
fracasada si no sirve a los intereses del usuario que la solicit; la colaboracin
del usuario proporciona grandes ventajas posteriores, ya que evitar
reprogramaciones y disminuir el mantenimiento de la Aplicacin.
4. Control de Procesos y Ejecuciones de Programas Crticos:
El auditor no debe descartar la posibilidad de que se est ejecutando un
mdulo que no se corresponde con el programa fuente que desarroll, codific
y prob el rea de Desarrollo de Aplicaciones.
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
CAPITULO III
ENFOQUES PARA LA COMPROBACION DE CONTROLES
Existen dos principales enfoques alternativos para probar los controles de
aplicacin: Probando los resultados y probando el procesamiento.
3.1 PROBANDO LOS RESULTADOS:
El probar los resultados proporciona una inferencia de que si los resultados son
correctos, los controles esenciales estn funcionando adecuadamente, por
ejemplo, si las cuentas por cobrar se confirman a una fecha intermedia y no se
encuentran excepciones significativas, podemos inferir que los controles respecto
de la actualizacin del archivo de cuentas por cobrar en cuanto a facturas y pagos,
est funcionando adecuadamente.
La desventaja de este enfoque es que las pruebas de resultados pueden dar lugar
a que, injustificadamente, se suponga que debido a que las cosas estn bien
ahora, seguirn estndolo. Esto puede propiciar que ocurran causas de riesgo que
podran haberse conocido con anticipacin si los controles hubiesen sido
verificados ms minuciosamente.
Por muchos aos se han utilizado ampliamente tres tcnicas en la auditoria no
computarizadas de las aplicaciones. Estas tcnicas se utilizan principalmente
como pruebas sustantivas y pueden llevarse a cabo manualmente o con ayuda del
computador.
3.1.1. Confirmacin
Se lleva a cabo mediante correspondencia directa con terceros, para corroborar
transacciones o saldos.
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Ejemplo
El Dr. Leopoldo Prez trabaja en el rea de Recaudacin Tributaria de un
organismo. Es especialista en todo lo referido a Administracin Tributaria.
Necesita una PC para trabajar. Y con determinados programas instalados.
Necesita un acceso a la red corporativa y a un servidor de archivos donde
almacena toda la informacin de su gestin. A un servidor de aplicaciones donde
estn las aplicaciones que alguien desarrollo para que realice sus actividades. Y
que alguien mantiene cuando Leopoldo requiere alguna modificacin por alguna
nueva ley o cambio en la normativa aplicable. Esta aplicacin almacena
informacin de la cual l es propietario y que no puede perder.
Tambin tiene que tener certeza que solo l puede acceder o en todo caso, a
quien el designe. Necesita una impresora en su estacin de trabajo para imprimir
listados de cuentas corrientes de los contribuyentes o acceso a un servidor de
impresin donde podr localizar alguna de las impresoras a las cuales enviar su
solicitud de impresin. Necesita una cuenta de correo electrnico.
11
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
CAPITULO IV
TECNICAS PARA EVALUAR LOS CONTROLES DE APLICACIONES
Se orientan bsicamente a verificar clculos en aplicaciones complejas comprobar
la exactitud del procesamiento en forma global y especifica y verificar el
cumplimiento de los controles preestablecidos.
4.1 Auditoria alrededor del computador
Al auditar alrededor del computador, los resultados del procesamiento por
computador se verifican manualmente contra los datos fuente alimentados al
computador. La verificacin se lleva a cabo sin que el auditor participe
directamente en el procesamiento dentro del computador.
Este tipo de tcnica se aplica sobre la base de muestreo o mediante la
comparacin de saldos totales; normalmente la misma es eficiente, siempre y
cuando exista documentacin que pueda verificarse externamente, o bien dicha
documentacin pueda crearse fcilmente.
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
14
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Poca experiencia pero debe estar muy familiarizado con la lgica del programa
y controles del mismo.
Desventajas:
-
Aplicacin de la tcnica
a. Define objetivos
-
c.
-
15
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
16
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
El alcance de una ITF puede ser limitado para pruebas especficas de funciones
de procesamiento o calculo o puede ser diseada para probar toda la lgica en
una aplicacin. La caracterstica esencial de una ITF es que la prueba ocurre con
el procesamiento de la produccin de los datos. Esta tcnica tiene la ventaja de
permitir pruebas peridicas sin necesidad de procesos separados de prueba.
Debe tomarse cuidado, sin embargo, para asegurar que los datos de prueba se
aslen de los datos de produccin o que a la inversa se eliminen los datos de
prueba en los archivos de produccin.
Su objetivo es conocer que hace el programa y la accin de los controles
implementados sin detener el funcionamiento normal de la instalacin, mezclando
los datos de prueba con los datos reales, en la misma aplicacin.
Uso:
-
Ventajas:
-
Desventajas:
-
Diagrama de ITF.
Entrada Real
Datos Auditor
Proceso Auditor
17
Proceso Real
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Anlisis
Informe
CAPITULO V
TECNICAS PARA ANALISIS DE TRANSACCIONES
5.1 SCARF (Mtodo Del Archivo De Revisin De Auditoria Como Control Del
Sistema)
(SCARF= System Control Audit Review File)
Este procedimiento usa software de auditora para sustraer y seleccionar
transacciones de entrada y transacciones generadas en los sistemas durante el
18
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
excepciones a estas
Introduccin, tipos de amenazas, mitos sobre seguridad Auditing Web Applications, NileshChaudhari.
19
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
20
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
CAPITULO VI
TECNICAS ADMINISTRATIVAS
Permiten al auditor establecer el alcance de la revisin, definir las reas de inters
y la metodologa a seguir para la ejecucin del examen.
6.1 Seleccin del rea a auditar
Mediante esta tcnica el auditor establece las aplicaciones crticas o mdulos
especficos dentro de dichas aplicaciones que necesitan ser revisadas
peridicamente, que permitan obtener informacin relevante respecto a las
operaciones normales del negocio.
Esta tcnica es muy utilizada por los auditores internos de empresas corporativas
grandes o medianas con un alto volumen de transacciones y exige que el
departamento de auditora interna construya sus propios aplicativos (con la ayuda
21
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Las reas que se pueden seleccionar corresponden con las sujetas a las
condiciones de aplicacin sealadas a continuacin:
Gestin de Datos.
Control de Operaciones y aplicaciones.
Control y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.
Supuestos de aplicacin:
22
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
23
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
24
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
6.2.2 Modelacin
Esta tcnica es muy similar a la de seleccin de reas de auditora, cuya
diferencia radica en los objetivos y criterios de seleccin de las reas de inters;
ya que esta tcnica tiene como objetivo medir la gestin financiera de la
organizacin y todo lo que ello involucra
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Este mtodo parte del supuesto de que podemos dividir el universo auditable en
un conjunto de unidades auditables que pueden ser empresas, procesos o
proyectos o reas objeto de estudio. El mtodo nos permite establecer una
calificacin del riesgo de cada una de tales unidades, lo cual posteriormente
veremos tiene varias aplicaciones muy tiles para la planificacin del trabajo de la
auditora.
Otro de los supuestos del modelo es que es posible establecer un conjunto de
criterios o factores de riesgo que podemos utilizar para calificar cada uno de las
unidades auditables del universo elegido. Tales criterios deben ser los mismos
para todas las unidades que estamos calificando.
Habiendo definido un conjunto de reas auditables y un conjunto de criterios o
factores de riesgo, contamos con un modelo para medir los riesgos. Este modelo
podemos detallarlo rigurosamente mediante las siguientes etapas4:
27
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Los rangos y puntajes deben ser los mismos para todos los criterios.
28
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Efectos en la Gestin
Variables de medicin
Nmero de clientes
Tipo de clientes
Nmero de usuarios
Negociabilidad
transacciones
Estimaciones
Liquidaciones
Valores controlados
Valor agregado
Contribucin / comportamiento de
de
las
29
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
los costos
Auditabilidad
Relativos a la Informacin
Valor competitivo
Indicadores de desempeo
Efecto en
credibilidad
Impacto
en
imagen
entidades reguladoras.
Nmero
de
transacciones
monetarias / no monetarias
Rutinarias / Estimaciones
Herramientas de software en
uso o disponibles para hacer
auditoras
Importancia de la informacin en
trminos de confidencialidad /
la
imagen
la
ante
30
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
privacidad
Costo de recuperacin de la
informacin
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Monitoreo continuo.
Objetivo de la matriz
32
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Alcance de la matriz
Cdigo de la matriz.
Numero de actividad.
Peligro de la actividad.
33
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
34
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
No. Riesgo
E I
Impacto Probabilidad
(6)
(7)
Nivel de
Riesgo
L M G F
PF
35
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
36
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
MATRIZ DE RIESGOS
Frecuente
Inaceptable
Inaceptable
Inaceptable
PROBABILIDAD Moderado
Moderado
Moderado
Inaceptable
Poco
Frecuente
Aceptable
Moderado
Inaceptable
Leve
Moderado
Grande
IMPACTO
Gonzlez, 2000, pg. 61
37
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Evitarlo
Reducir consecuencias
Transferir el riesgo
Retener el riesgo
Luego estas opciones debern evaluarse y tener en cuenta el costo beneficio de la
decisin de tratamiento del riesgo.
Se confeccionarn planes de tratamiento de riesgos. En los mismos se tendr en
cuenta:
Calendario de implementacin
38
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
de
riesgos
en
Responsables:
Departamento de Auditora
Supervisor
Jefe de Grupo
Auditor
Estndares:
Consiste en Guas, con determinado aspectos a evaluar, por cada subproceso, el
cual debe concluir con una evaluacin, la que deber clasificar segn la
probabilidad de ocurrencia y el Impacto ante la misma.
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
CAPITULO VII
HERRAMIENTAS
7.1 Observacin O Monitoreo
Es la aplicacin de diversas tcnicas y mtodos de observacin que permiten
recolectar directamente la informacin necesaria sobre el comportamiento del
sistema, del rea de sistemas, de las funciones, actividades y operaciones del
equipo procesador o de cualquier otro hecho, accin o fenmeno del mbito de
sistemas.
A fin de recolectar los datos suficientes, se hace necesario, precisamente,
observar los fenmenos en cuestin con objeto de determinar si existe.
Existen distintas formas de Observacin siendo las principales:
Observacin Directa
Observacin Indirecta
Observacin Oculta
Observacin Participativa
Observacin No Participativa
Introspeccin
Experimentacin
Observacin Histrica
Observacin Controlada
Observacin Natural
40
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Experimentos Exploratorios
Experimentos Confirmatorios
Experimentos Cruciales
Experimentos Exploratorios
Experimentos Confirmatorios
Experimentaciones Cruciales
Constante
Variable
Variables independientes
Variable independiente
42
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Variables recurrentes
Variables ajenas
Variables discretas
Causalidad
Temporalidad
Control de los factores de causalidad
Variaciones concomitantes
Comparabilidad
Fuentes de invalidacin
Factores ambientales
Medicin
Instrumentacin
Maduracin
Regresin
Seleccin
Desercin
CONCLUSIONES
43
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
RECOMENDACIONES
44
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
45
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
ANEXOS
RESUMEN
AUDITORIA DE APLICACIONES
Es la revisin que se dirige a evaluar los mtodos y procedimientos de uso de
aplicaciones o sistemas de informacin en una entidad, con el propsito de
determinar si su diseo y aplicacin son correctos y comprobar el sistema de
procesamiento de informacin como parte de la evaluacin de control interno; con
el fin de identificar aspectos susceptibles para mejorar o eliminarse. Las
aplicaciones o sistemas de informacin son uno de los productos finales que
genera la infraestructura de la Tecnologa Informtica en las organizaciones y por
ende son el aspecto de mayor visibilidad desde la perspectiva de negocio. La
importancia de una auditoria de aplicaciones radica en el control, eficiencia y
eficacia de los sistemas informticos.
En el terreno de una aplicacin informtica, el control interno se materializa
fundamentalmente en controles de dos tipos:
Planificacin de auditora
Recogida de informacin y documentacin sobre
Determinacin de los objetivos y alcance de la auditora
Trabajo de campo, informe e implantacin de mejoras
la
aplicacin:
46
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
47
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
Anlisis matricial de riesgos: Este mtodo utiliza una matriz para mostrar
grficamente tanto las amenazas a que estn expuestos los sistemas
computarizados como los objetos que comprenden el sistema. Dentro de
cada celda se muestran los controles que atacan a las amenazas.
48
AUDITORA DE APLICACIONES
Grupo 3, Saln 111
REFERENCIAS BIBLIOGRAFICAS
McGraw-
49