CONTROLES DE AUDITORIA DE SISTEMAS DE INFORMACION El auditor de Sistemas de Informacin debe evaluar y supervisar los controles de Tecnologas de informacin que

son parte integral del entorno de control interno de la organizacin. El auditor de SI debe asistir a la gerencia proporcionando consejos con respecto al diseo, la implementacin, la operacin y la mejora de controles de TI.

Los controles de TI estn compuestos por controles generales de TI, que incluyen controles transversales, controles detallados y controles de aplicacin, referidos a controles sobre la adquisicin, implementacin, entrega y soporte a los sistemas y servicios de TI.

Controles generales de TI y controles de aplicacin

Controles generales de TI y controles de aplicacin
Los controles generales son aquellos que estn inmersos en los procesos y servicios de TI. Algunos ejemplos son: Desarrollo de sistemas Administracin de cambios Seguridad Operaciones de cmputo Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general como controles de aplicacin. Ejemplos: Integridad (Completitud) Precisin Validez Autorizacin Segregacin de funciones COBIT asume que el diseo e implementacin de los controles de aplicacin automatizados son responsabilidad de TI, y estn cubiertos en el dominio de Adquirir e Implementar, con base en los requerimientos de negocio definidos, usando los criterios de informacin de COBIT. La responsabilidad operativa de administrar y controlar los controles de aplicacin no es de TI, sino del dueo del proceso de negocio. Por lo tanto, la responsabilidad de los controles de aplicacin es una responsabilidad conjunta, fin a fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera:

 La empresa es responsable de: Definir apropiadamente los requisitos funcionales y de control Uso adecuadamente los servicios automatizados TI es responsable de: Automatizar e implementar los requisitos de las funciones de negocio y de control Establecer controles para mantener la integridad de controles de aplicacin. Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero slo los aspectos de desarrollo de los controles de aplicacin; la responsabilidad de definir y el uso operativo es de la empresa. La siguiente lista ofrece el conjunto recomendado de objetivos de control de aplicaciones. Identificados por ACn, de Control de Aplicacin nmero (por sus siglas en ingls):

AC1 Preparacin y Autorizacin de Informacin Fuente. Asegurar que los documentos fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y aprobacin de estos documentos. Los errores y omisiones pueden ser minimizados a travs de buenos diseos de formularios de entrada. Detectar errores e irregularidades para que sean informados y corregidos. AC2 Recoleccin y Entrada de Informacin Fuente. Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de los datos que fueron errneamente ingresados se deben realizar sin comprometer los niveles de autorizacin de las transacciones originales. En donde sea apropiado para reconstruccin, retener los documentos fuente originales durante el tiempo necesario.

AC3 Chequeos de Exactitud, Integridad y Autenticidad Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible. AC4 Integridad y Validez del Procesamiento Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. Deteccin de transacciones errneas no interrumpe le procesamiento de transacciones validas. AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la informacin proporcionada en la salida. AC6 Autenticacin e Integridad de Transacciones Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte. IMPULSADO POR LA MEDICIN Modelos de madurez que facilitan la evaluacin por medio de benchmarking y la identificacin de las mejoras necesarias en la capacidad Metas y mediciones de desempeo para los procesos de TI, que demuestran cmo los procesos satisfacen las necesidades del negocio y de TI, y cmo se usan para medir el desempeo de los procesos internos basados en los principios de un marcador de puntuacin balanceado (balanced scorecard) Metas de actividades para facilitar el desempeo efectivo de los procesos