Controles de Auditoría

Controles de Auditoría
En un contexto en el cual las empresas cada vez más dependen de los sistemas como
medio para alcanzar los objetivos definidos, el auditor interno cada vez más debe
interiorizarse del funcionamiento de dichas aplicaciones, de los riegos que las mismas
acarrean así como la forma de monitorear y mitigar dichos riesgos.Bajo este
razonamiento, un aspecto principal a la hora de analizar el control interno dentro de una
organización es poder diferenciar que es “Un control de aplicación” vs. “Controles
generales del ambiente de computo”.
En primer término, los “Controles de aplicación” son aquellos controles que son
aplicables para un determinado proceso de negocio o aplicación, entre ellos podemos
encontrar la edición de registros, segregación de funciones, totales de control, logs de
transacciones y reportes de errores.
Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los
datos que son ingresados al sistema,
Controles de Procesamiento: Estos controles, principalmente automáticos proveen

una manera automática de asegurar que el procesamiento de las transacciones es
completa, adecuado y autorizado.
Controles de salida: Básicamente estos controles direccionan a que operaciones

fueron realizadas con los datos. Y comparando también básicamente las salidas
generadas con los ingresos realizados.
Controles de integridad: Estos controles permitan verificar la integridad y

consistencia de los datos procesados.
Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar

hechos inusuales para posterior investigar los mismos.
checkbox_person_outlineNota
comment_outline0
more_vertical
GIANNELLA CAMPOS NEGRETE
Anónimo19d
GIANNELLA CAMPOS NEGRETE
¿Como auditar una aplicación de sistemas?
Hay que tener en cuenta que para auditar una aplicación de sistemas, esto nos ayuda
para un proceso de revisión de los sistemas de información y tecnologías de la
información que ayuda a las empresas a identificar hallazgos, mitigar riesgos e
implementar controles adecuados que permitan proteger su información crítica y
valiosa.
Un aspecto importante a considerar para el Auditor Interno al momento de auditar una

aplicacion, tenga confianza sobre los Controles de aplicación que están directamente
asociada con la confianza que depositemos en los ITGC. Y como segundo aspecto a
considerar es la complejidad del ambiente de sistemas que tengamos.
Uno de los cosas importantes al momento de auditar una aplicación, es que se tenga
definido los siguientes aspectos:
- Definir el universo de aplicaciones, bases de datos y tecnología de soporte que

utilizan los controles de aplicación,
- Definir los factores de riesgo asociados con cada aplicación.
comment_outline0
more_vertical
Como auditar una aplicación de sistemas
Anónimo19d
Es necesario que el auditor conozca o tenga conocimiento del giro del negocio y del
departamento de sistemas. Tiene como objetivo principal:
Revisar que el ingreso de los datos este correcto y completo.
Verificar que el proceso que sigue la empresa sea el adecuado.
Deberá como parte principal de su proceso, recibir información necesaria del
departamento que será auditado, para que de esta manera, pueda aplicar las pruebas
necesarias, y a su vez, informar a la Gerencia los errores encontrados en el mismo.
Investigar sobre el tema que revisará
comment_outline1
Anónimo
5d
EMILY SALAZAR SALAZAR
more_vertical
Como auditar una publicación
Ernesto Ostaiza19d
Como auditar una publicación
Las actuaciones que se llevan a cabo para realizar la Auditoría de Aplicación, siguen la
filosofía de caja negra, es decir, en ningún momento se audita el código fuente de
la aplicación. El motivo de esta metodología de trabajo es la de simular la
actuación real de un atacante malicioso que, a través de las aplicaciones auditadas
y sin disponer de su código fuente, intente realizar un ataque al sistema, bases de datos,
etc...
El objetivo principal de los controles de aplicación es asegurar:
• Que el ingreso de los datos es exacto, completo, autorizado y correcto

• Que los datos son procesos en tiempo oportuno
• Los datos son almacenados de forma adecuada y completa
• Que las salidas del sistema son adecuadas y completas
• Que registros son mantenidos para realizar un seguimiento de las entradas y
eventuales salidas del sistema.
comment_outline0
more_vertical
Anónimo19d
Tener conocimiento del negocio y sus aplicaciones: Investigar sobre la empresa a
auditar, su departamento de sistemas y las aplicaciones que maneja para tener
conocimiento del giro del negocio
Solicitar información del área auditada, la misma que deberá ser cruzada con la
información conseguida mediante la investigación realizada por el auditor.
Se debe preparar una lista de las actividades que se realizará para elaborar la auditoría
y por ultimo se deberá realizar una reunión con los involucrados, es decir, con el
responsable del departamento de sistemas, con el encargado de las áreas criticas, las
cuales han sido determinadas con anterioridad mediante los pasos anteriores, y
finalmente con el auditor interno o el contralor de la empresa
comment_outline0
more_vertical
Karla Pulido
Anónimo19d
Karla Pulido
La auditoría de sistema inspecciona sistemáticamente todos los daos que se manifiestan
en el proceso para determinar si se cumplen o no correctamente.
La auditoría es un examinación de los EF de la entidad que se realizan con la finalidad
de emitir opiniones sobre la situación contable y financiera.
Riesgos en que se debe evaluar

Riesgo I- Acceso a funciones de procesamiento
Las personas no autorizadas no pueden tener acceso a los procedimientos de los
programas de aplicación.
Riesgo II- Ingreso de datos/información
Los datos permanentes y de transacciones ingresados para el procesamiento pueden ser
imprecisos, incompletos o ingresados más de una vez.
Riesgo III- Ítems rechazados/suspensos
Los datos rechazados y las partidas en suspenso pueden no ser identificadas, analizadas
y corregidas.
Riesgo IV- Procesamiento.
Las transacciones pueden no ser reales, perderse, incompleta o inexacta.
La aplicación de COBIT 5, coadyuva a que se deben seguir las siguientes pautas:

• o Perspectiva de la auditoría de sistemas de las empresas.
• o Conocimiento del control interno de las empresas.
• o Identificación de los estándares, técnicas y herramientas para la
implementación de la auditoría de sistemas.
• o Preparación de la auditoría de sistemas.
comment_outline0
more_vertical
¿Cómo auditar una aplicación de sistema?
adrianahidalgo0119d
En este marco, la auditoría es una función de control, con las siguientes características:
• Es del tipo retroalimentado, porque se refiere a hechos sucedidos.
• Es correctiva, ya que está orientada a la medición e información de los desvíos.
• Es de secuencia abierta, ya que el grupo de control es independiente (no debe
pertenecer al sistema operante, aunque puede ser parte de la empresa).
• Es selectiva
comment_outline0
more_vertical
Como Auditar una aplicacion de sistemas
Josue Recalde B.S.C19d
Como Auditar una aplicacion de sistemas
La auditaria en informatica es la revisión y la evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización,
eficiencia y seguridad, de la organización que participan en el procesamiento
de la información, a fin de que por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente y segura de la información
que servirá para una adecuada toma de decisiones.
como objetivos principales tiene:
Participación en el desarrollo de nuevos sistemas.
Evaluación de controles
Cumplimiento de la metodología.
Se requieren varios pasos para realizar una auditoria de sistemas de información. El
auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de
auditoria que consta de objetivos de control y procedimientos de auditoria que deben
satisfacer esos objetivos.
comment_outline0
more_vertical
DALIA GUZMÁN
Anónimo19d
DALIA GUZMÁN
La auditoría de una aplicación de sistema son los controles que se adjudican a un
proceso de negocio o aplicación en particular, donde se pueden encontrar registros de
edición, segregación de tareas, sumas de verificación, registros de transacciones e
informes de errores.
Fases para auditar aplicaciones:
· Análisis funcional.- Se realiza un estudio conjunto de la aplicación y se obtiene

una visión integral de la funcionalidad que brinda la aplicación para recomendar las
acciones y procedimientos óptimos a implementar en el análisis técnico.
· Análisis técnico.- Se realiza un análisis de la aplicación estudiada a tal punto
que se pueda determinar a qué tipos de ataques es sensible.
· Diseño de las pruebas.- Durante esta etapa se realizan pruebas con el objetivo
de explotar vulnerabilidades que puedan aparecer en la aplicación auditada.
· Desarrollo de las pruebas.- Las pruebas serán probadas y se determinará la
demanda.
· Realización de las pruebas.- Durante esta etapa se realizan todas las pruebas
sobre la aplicación auditada, se analizan los resultados obtenidos y si se descubren
nuevas vulnerabilidades que necesitan ser explotadas, se vuelve a la etapa de diseño
para intentar explotarlas.
comment_outline0
more_vertical
VENTAJAS DE REALIZAR UNA AUDITORÍA DE SISTEMAS
marionovillo19d
VENTAJAS DE REALIZAR UNA AUDITORÍA DE SISTEMAS
Los principales beneficios que se obtienen al realizar una auditoría informática son:
• Elimina vulnerabilidades y reduce de forma notable los riesgos a los que se

exponen los sistemas informáticos.
• Permite actuar antes de que ocurra un incidente que vulnere la seguridad.
• Marca un camino claro de actuación en caso de sufrir un incidente de seguridad
para reducir su impacto.
• Actualiza y optimiza las políticas y procedimientos de seguridad informática.
• Evita multas o sanciones por incumplimientos de las leyes y normativas de
protección de datos española y europea.
comment_outline0
more_vertical
https://1library.co/
Tyrone Serrano Mejía19d
1library.co
AUDITORIA DE APLICACIONES - AUDITORIA DE APLICACIONES(Salon 111, Gru

https://1library.co/article/auditoria-aplicaciones-auditoria-aplicaciones-salon-
gru.zxvm7owy
comment_outline0
more_vertical
Como auditar una aplicación de sistema
Gloria Piriz Peralta19d
Como auditar una aplicación de sistema
El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa
de auditoria que consta de objetivos de control y procedimientos de auditoria que deben
satisfacer esos objetivos.
Antes de auditar una aplicación es necesario determinar el ámbito sobre el que se
realizará la revisión de seguridad con ciertos aspectos clave sobre esta y que
consiste, entre otros, en estos:
• Descubrimiento de aplicaciones.
• Identificación de puntos de entrada a la aplicación.
• Análisis de códigos de error.
• Identificación de plataformas.
El proceso de auditar Aplicaciones está planificado en las fases que se presentan a

continuación:
ANÁLISIS FUNCIONAL
Se realiza un estudio general de la aplicación, adquiriendo una visión global de las
funcionalidades que proporciona con el fin de plantear las actuaciones y procedimientos
óptimos que se llevan a cabo en el Análisis Técnico.
ANÁLISIS TÉCNICO
Se realiza un análisis de la aplicación de manera que se pueda decidir a qué tipos de
ataques es sensible.
DISEÑO DE LAS PRUEBAS
En esta fase se diseñan las pruebas a realizar para explotar aquellas deficiencias de
seguridad que puedan aparecer en la aplicación auditada.
DESARROLLO DE LAS PRUEBAS
Se programarán las pruebas a ejecutar, y se determinará el orden en el que se llevarán a
cabo.
REALIZACIÓN DE LAS PRUEBAS
Durante esta fase se llevan a cabo todas las pruebas sobre la aplicación auditada, se
analizan los resultados obtenidos y en el caso de detectar nuevas vulnerabilidades a
explotar se vuelve a la fase de diseño para intentar explotarlas.
comment_outline0
more_vertical
Auditoria de una aplicación de sistemas
Maria Sarmiento19d
Auditoria de una aplicación de sistemas
Recopilación de información
Antes de auditar una aplicación es necesario determinar el ámbito sobre el que se

realizará la revisión de seguridad con ciertos aspectos clave sobre esta y que consiste,
entre otros, en estos:
• Descubrimiento de aplicaciones.
• Identificación de puntos de entrada a la aplicación.
• Análisis de códigos de error.
• Identificación de plataformas.
Análisis de gestión de sesiones

En el núcleo de cualquier aplicación basada en web se encuentra la forma en que
mantiene el control de estado y, por tanto, la interacción con el usuario. En el sentido
más amplio, la gestión de sesiones abarca todos los controles sobre un usuario, desde la
autenticación hasta la salida de la aplicación.
• Pruebas del esquema de gestión de sesiones.
• Pruebas sobre los atributos de las cookies.
• Pruebas de fijación de sesión.
• Pruebas sobre exposición de variables de sesión.
• Pruebas de CSRF.
Análisis del esquema de autorización

Autorización: “Es el concepto de permitir el acceso a los recursos únicamente a
aquellos permitidos a utilizarlos”. Lo que se pretende analizando el esquema de
autorización es entender su funcionamiento y con esa información intentar evadir el
mecanismo de autorización. Para ello realizamos las siguientes pruebas:
• Pruebas de acceso a recursos protegidos.
• Pruebas para sobrepasar el esquema de autorización.
• Pruebas de elevación de privilegios.
En conclusión, es la revisión que se dirige a evaluar los métodos y procedimientos de

uso de aplicaciones o sistemas de información en una entidad, con el propósito de
determinar si su diseño y aplicación son correctos y comprobar el sistema de
procesamiento de información como parte de la evaluación de control interno; con el fin
de identificar aspectos susceptibles para mejorar o eliminarse. Las aplicaciones o
sistemas de información son uno de los productos finales que genera la infraestructura
de la Tecnología Informática en las organizaciones y por ende son el aspecto de mayor
visibilidad desde la perspectiva de negocio. La importancia de una auditoria de
aplicaciones radica en el control, eficiencia y eficacia de los sistemas informáticos.
comment_outline0
more_vertical
Lister Lavayen19d
Se debe realizar un estudio preliminar en el que se incluye definir el grupo de trabajo, el
programa de auditoría, realización de visitas, emisión de manuales de políticas,
reglamentos. Realizar una revisión y evaluación de controles y seguridades; misma que
consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de
cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, revisión
de backups y la revisión de documentación y archivos, entre otras actividades.
Así mismo, un examen detallado de áreas críticas para sobre ellas hacer un estudio y
análisis profundo en los que se definirá concretamente el grupo de trabajo y la
distribución de carga del mismo, se establece los motivos, objetivos, alcance y recursos
que se usaran en la auditoria y su duración de la auditoría. También presentará el plan
de trabajo y analizará detalladamente cada problema encontrado con todo lo
anteriormente analizado.
Se debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que
consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos
objetivos. El auditor de sistemas debe comprender el ambiente del negocio en el que se
ha de realizar la auditoría, así como los riesgos del negocio y control asociado.
comment_outline0
more_vertical
Sebastián Moreno19d
isecauditors.com
Auditoría de Aplicación | Internet Security Auditors

Para auditar una aplicación hay que tener una serie de controles tales como el ingreso de
datos sea exacto, completo, autorizado y correcto. Son almacenados de forma adecuada
y completa. En el terreno de la informática el control interno se concreta en dos tipos:
controles manuales y automáticos.
El desarrollo de la auditoría se desarrolla en diferentes acciones como modos de captura

y validación, controles sobre los datos de entrada, tratamiento de errores o
salvaguardias. Se debe estar en constante actualización de la aplicación, una evaluación
de los controles y el cumplimiento de la metodología. La evaluación de la seguridad y la
suficiencia de planes de contingencia permitirá apreciar la efectividad de la aplicación
ante el surgimiento de errores o problemas en el proceso.
Hay que tener claro que en ningún momento se audita el código de fuente de la
aplicación. El motivo de está metodología de trabajo es la de simular la actuación real
de un atacante malicioso, donde a partir de aplicaciones auditadas y sin disponer de su
código fuente, intente realizar un ataque al sistema o base de datos. La fases de auditar
las aplicaciones son: el análisis funcional, el análisis técnico, diseño de pruebas,
desarrollo de las pruebas y realización de las pruebas.
https://www.isecauditors.com/auditoria-de-aplicacion
comment_outline0
more_vertical
Qué tipo de controles de aplicación existen?
Alfonso Ricardo Ortiz Buri19d
Qué tipo de controles de aplicación existen?
Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los
datos que son ingresados al sistema,
Controles de Procesamiento: Estos controles, principalmente automáticos proveen
una manera automática de asegurar que el procesamiento de las transacciones es
completa, adecuado y autorizado.
Controles de salida: Básicamente estos controles direccionan a que operaciones
fueron realizadas con los datos. Y comparando también básicamente las salidas
generadas con los ingresos realizados.
Controles de integridad: Estos controles permitan verificar la integridad y
consistencia de los datos procesados.
Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar
hechos inusuales para posterior investigar los mismos.
comment_outline0
more_vertical
¿Cómo auditar una aplicación de sistemas?
carolinatrivino719d
• Que el ingreso de los datos es exacto, completo, autorizado y correcto
• Que los datos son procesos en tiempo oportuno
• Los datos son almacenados de forma adecuada y completa
• Que las salidas del sistema son adecuadas y completas
• Que registros son mantenidos para realizar un seguimiento de las entradas y
eventuales salidas del sistema.
Una vez teniendo estos puntos podemos proceder a la aplicación de la Auditoría en

sistemas
Adicionalmente podemos estar encontrando los controles preventivos, básicamente

asociados a los controles automáticos de una aplicación. Y los controles detectivos,
principalmente asociados a controles de aplicación y manuales posteriores.
Por otro lado tenemos los controles generales del ambiente de cómputo (ITGC). Estos
controles aplican a todos los sistemas, controles y datos.
Los más comunes controles ITGC son:
• Acceso lógico sobre infraestructura, aplicaciones y datos,

• Controles sobre el desarrollo y ciclo de vida de los aplicativos,
• Controles sobre cambios a programas,
• Controles sobre seguridad física en los centros de cómputos,
• Backup de sistemas y controles de recuperación de datos,
• Controles relacionados con operaciones computarizadas.
comment_outline0
more_vertical
COMO AUDITAR UNA APLICACIÓN DE SISTEMA
Anónimo19d
COMO AUDITAR UNA APLICACIÓN DE SISTEMA
Es indispensable tomar en cuenta que para hacer una adecuada planeación de la
auditoria en sistemas, hay que seguir una serie de pasos previos que permitirán
dimensionar el tamaño y características de área dentro del organismo a auditar, s
us sistemas, organización y equipo. Identificando las amenazas expuestas.
comment_outline0
more_vertical
Julissa Silva Reyes19d
Puesto que las entidades tienen una alta dependencia en los sistemas de información, sin
embargo al no tener un marco adecuado del control interno, ocasionara que las
información que nos proveen estos aplicativos resulte de manera errónea, por lo tanto se
debe tener en cuenta que la manera de correcta de mantener un control en los aplicativos
sistemáticos: se debe llevar una buen segregación de funciones por lo que este tiene un
impacto relevante en todos los aplicativos de una compañía, porque si no se lleva acabo
una buena segregación puede acarrear el riesgo de errores y/o fraudes por la
manipulación de varios miembros de la organización.
comment_outline0
more_vertical
CONCEPTOS DE AUDITORÍA DE SISTEMAS
marionovillo19d
CONCEPTOS DE AUDITORÍA DE SISTEMAS
Una auditoría informática es un proceso de análisis sobre los recursos TI de una
empresa con el objetivo de evaluar su estado y el nivel de seguridad existente. En una
auditoría informática se identifican las vulnerabilidades que tiene una empresa y los
incumplimientos de las políticas de seguridad, con el objetivo de corregirlos e
incrementar el nivel de protección y seguridad de toda la organización.
El carácter preventivo de una auditoría informática permite evitar riesgos y amortiguar

las graves consecuencias de los mismos (incluso la interrupción de la actividad de la
empresa). Se trata de un proceso proactivo donde se analiza y actúa con el objetivo de
implementar cambios que incrementen la seguridad de los sistemas informáticos de la
empresa.
Una auditoría informática de seguridad puede realizarse de forma interna si la empresa

cuenta con el personal cualificado. Lo habitual, es contratar una empresa externa
especializada que pueda realizar este control y mejora, garantizando los mejores
resultados.
comment_outline0
more_vertical
¿Para que existen los sistemas de Control Interno?
Maitte Tigrero19d
¿Para que existen los sistemas de Control Interno?
El Sistema de Control Interno es la comprobación de la existencia de “puntos de control
interno”. La finalidad es que éstos sean suficientemente confiables, independientemente
de quienes los operen. o es el conjunto de normas, reglas, directivas e instrucciones que
los responsables de una organización establecen a fin de coordinar, dirigir y controlar a
sus subordinados en la ejecución de las tareas que se realizan. Es decir son métodos,
políticas y procedimientos adoptados dentro de una organización para asegurar la
salvaguarda de los activos, la exactitud y confiabilidad de la información gerencial y los
registros financieros, la promoción de eficiencia administrativa y la adherencia a los
estándares de la gerencia
comment_outline0
more_vertical
COMO AUDITAR UNA APLICACION DE SISTEMAS
Samantha Montenegro19d
COMO AUDITAR UNA APLICACION DE SISTEMAS
Se puede encontrar controles preventivos asociados a los controles automáticos de una
aplicación. Y detectivos asociados a controles de aplicación y manuales posteriores,
pudiendo por ejemplo tener acceso lógico sobre infraestructura, aplicaciones y datos,
teniendo controles sobre el desarrollo y ciclo de vida de los aplicativos, estableciendo
controles sobre cambios a programas, verificando controles sobre seguridad física en los
centros de cómputos, backup de sistemas y controles de recuperación de datos.
comment_outline0
more_vertical
Realizar un análisis profundo y preciso de los riesgos y amenazas a los
que está expuesta la empresa. Es necesario identificar las
vulnerabilidades y el nivel de amenaza al que se encuentran expuestos, así
como evaluar las consecuencias de los mismos.
Christian Villacres Ventura19d
Realizar un análisis profundo y preciso de los riesgos y amenazas a los
que está expuesta la empresa. Es necesario identificar las
vulnerabilidades y el nivel de amenaza al que se encuentran expuestos,
así como evaluar las consecuencias de los mismos.
comment_outline2
Christian Villacres Ventura
19d
– Toda la información financiera de la organización reside en bases de datos y deben existir controles
relacionados con el acceso a las mismas.– Se debe poder demostrar la integridad de la información almacenada
en las bases de datos.– Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga
de información.– La información confidencial de los clientes, son responsabilidad de las organizaciones.– Los
datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio.–
Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos.

19d
Siempre existe el riesgo de que un gerente de DBA o un empleado pueda abusar de datos de identificación
personal cruciales, datos de tarjetas de crédito, datos médicos, secretos de la empresa e información financiera
personal, la solución de administración de seguridad comúnmente practicada es el "enmascaramiento de
datos". El enmascaramiento de datos implica que una unidad de negocio oculte o elimine partes de los datos
que se muestran en el sistema. Los datos de gestión pueden transformarse o simplemente no aparecer en la
pantalla. Esto admite un control de acceso flexible basado en roles (que restringe el acceso a objetos
específicos y funciones de administración) y la administración relacionada, una parte crucial de la seguridad
de la nube y del servidor. Ciertos usuarios y puestos, además de los administradores de gestión de una
empresa, solo pueden acceder a determinados campos y niveles de datos de la nube y del servidor dentro de
una empresa.
more_vertical
DALIA GUZMÁN
Anónimo19d
DALIA GUZMÁN
La auditoría de una aplicación de sistema son los controles que se adjudican a un
proceso de negocio o aplicación en particular, donde se pueden encontrar registros de
edición, segregación de tareas, sumas de verificación, registros de transacciones e
informes de errores.
comment_outline0
more_vertical
Como Auditar una aplicación de Sistemas
Luis Chiriboga García19d
Como Auditar una aplicación de Sistemas
Para aplicar una metodología debemos tener en cuenta dos aspectos:
-Que sea fácil de ejecutar
-Que sea aplicable a la mayoría de las situaciones, como tipo de negocios, tamaño de la
empresa, entre otros.
Ante estos aspectos se evalúa de acuerdo a los riesgos existentes:
Riesgo I- Acceso a funciones de procesamiento. Personas no autorizadas pueden

tener acceso a las funciones de procesamiento de transacciones de los programas de
aplicación, permitiéndoles leer, modificar, agregar o eliminar datos o ingresar
transacciones no autorizadas para su procesamiento.
Riesgo II- Ingreso de datos/información. Los datos permanentes y de

transacciones ingresados para el procesamiento pueden ser imprecisos, incompletos o
ingresados más de una vez.
Riesgo III- Ítems rechazados/suspensos. Los datos rechazados y las partidas en

suspenso pueden no ser identificadas, analizadas y corregidas.
Riesgo IV- Procesamiento. Las transacciones reales ingresadas para su

procesamiento o generadas por el sistema pueden perderse o ser procesadas o
registradas de forma incompleta, inexacta o en el periodo contable incorrecto.
Aspectos Relevantes para el Riesgo I

*En qué consiste un Módulo de seguridad en las aplicaciones, cuál es su función y
cómo opera.
*En que consiste un Perfil de usuario, para qué sirve y que información registra.
*En qué consiste un ambiente de producción y desarrollo, quiénes lo usan y para qué.
*Funciones del Administrador de Seguridades.
*Funciones del Analista de Sistemas.
Aspectos Relevantes para el Riesgo II
comment_outline1
Ernesto Ostaiza
19d
Existen diferentes tipos de controles Controles de Procesamiento: Estos controles, principalmente automáticos
proveen una manera automática de asegurar que el procesamiento de las transacciones es completa, adecuado
y autorizado. Controles de salida: Básicamente estos controles direccionan a que operaciones fueron
realizadas con los datos. Y comparando también básicamente las salidas generadas con los ingresos realizados.
Controles de integridad: Estos controles permitan verificar la integridad y consistencia de los datos
procesados. Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar hechos
inusuales para posterior investigar los mismos.
more_vertical
Hi
Gloria Piriz Peralta19d
Hi
comment_outline0
more_vertical
Liz Loja Santos19d
comment_outline4
Liz Loja Santos
19d
Complemento o apoyo al trabajo del auditor: en la planificación de auditoría revisar es un tema puntual; el
auditor de sistemas puede apoyar dicho trabajo revisando la aplicación relacionada al tema. El auditor de
sistemas puede complementar el trabajo auditor y revisar la aplicación de ventas o puntualmente el proceso
de facturación.
Liz Loja Santos

19d
Solicitud de la administración para la revisión de una aplicación puntual: ejemplo, en la empresa terminaron
de implementar el proceso de facturación electrónica, por lo que el gerente general solicitó que se revise la
aplicación.▪ Como parte de la planificación del auditor de sistemas, revisaruna aplicación critica dentro de la
empresa.
Liz Loja Santos

19d
el auditor de sistemas tiene que definir qué aplicación revisar, se recomienda que se elabore una matriz de
riesgo para determinarcuál aplicación es la más crítica en la empresa.
Liz Loja Santos

19d
Puede ser utilizada en aplicaciones de todo tipo de empresa,tanto comerciales, industriales, bancarias o de
servicios.▪ El tamaño de la empresa puede ser grande, mediana o pequeña.▪ Cada riesgo puede ser evaluado
de manera independiente, no requiere que se evalúen los cuatros riesgos.▪ Toda aplicación tiene los cuatros
riesgos detallados (acceso–ingreso–rechazo–proceso).
more_vertical
angelinerojas200019d
Una aplicación de sistemas ayuda a gestionar los datos enviados por los usuarios
(datos personales, pedidos, pagos online, control de acceso, etc.)
Existen también varias empresas que utilizan su sitio Web para realizar una gran
variedad de operaciones con sus clientes/proveedores/personal (p.e. portales
corporativos, brokers/banking online, e-commerce, extranets, etc.) y esto implica la
utilización de una compleja aplicación que se ejecuta en el servidor Web o de
aplicaciones y que gestiona todas estas operaciones.
Al cabo de esto, las empresas aplican un proceso para auditar dichas aplicaciones el cual
se divide en varias fases:
*ANÁLISIS FUNCIONAL
*ANÁLISIS TÉCNICO

*DISEÑO DE LAS PRUEBAS

*DESARROLLO DE LAS PRUEBAS

cabo.
*REALIZACIÓN DE LAS PRUEBAS

comment_outline0
more_vertical
JOSEPH CHIRIBOGA19d
comment_outline5
JOSEPH CHIRIBOGA
19d
Cuando realizamos el análisis de este mapa de sistemas encontraremos aplicaciones que tienen una mayor
relevancia que otras, por ejemplo una aplicación que administra determinadas compras de una empresa y que
interfaces (comunica) con los sistemas contables de la compañía, no es lo mismo que una aplicación que
administra las hojas de ruta de los camiones de una empresa distribuidora. Ambos aplicativos son relevantes
al momento de la operatoria, pero el primero impacta de forma directa en la información contable de la
compañía.
JOSEPH CHIRIBOGA
19d
A los fines de optimizar nuestra auditoría uno de los aspectos fundamentales es definir las aplicaciones
relevantes, las cuales; en el caso que nos encontremos dentro del marco de una Auditoría Contable, serán
aquellos que impacten de forma significativa en los estados contables de la compañía
JOSEPH CHIRIBOGA
19d
https://www.auditool.org/blog/auditoria-de-ti/6263-como-realizar-una-auditoria-a-los-sistemas-de-
informacion-de-una-organizacion-2
JOSEPH CHIRIBOGA
19d
Controles automáticos definidos en la aplicación: La ventaja de un control automático, es que si se cumplen
determinados condiciones en los Controles Generales del Ambiente de Computo (ITGC), podemos garantizar
que el control será efectivo en cualquier momento, ya que no dependemos del factor humano para su
realización. Estos controles automáticos complementan a los manuales que puede tener definido la compañía,
y lo que hará es fortalecer el marco de control interno de la misma.
JOSEPH CHIRIBOGA
19d
Seguridades.▪ Ingreso de datos.▪ Rechazo de datos.▪ Procesamiento de datos.▪ Por ser una de las funciones
más importantes del Auditor desistemas, estos puntos serán revisados en detalle en el capítulotres del
presente libro. Pag 50
more_vertical
Ernesto Ostaiza19d
comment_outline6
ornellaq98
19d
Las primeras actividades que deben realizarse antes de cualquier inicio de la auditoría son:▪ Conocimiento
del negocio.▪ Conocimiento del departamento de sistemas.
ornellaq98
19d
Tener un conocimiento del negocio es fundamental para enfocar cualquier trabajo de auditoría financiera-
contable o de auditoría de sistemas.
Maitte Tigrero
19d
Cuando la organización tiene planes y/o políticas de SeguridadInformática formalizados (escritos,
implementados, explícitos) ya que el auditor donde el auditor contrasta la práctica y situación de los servicios
de sistemas contra los Planes y Políticas deSeguridad Informática

19d
Garantiza que la información se use solo para los objetivos establecidos por la empresa y aprobados por las
leyes vigentes.

19d
Detecta incidencias o actividades irregulares.
Anónimo
19d
La auditoria en sistema tiene diferentes fases: Fase I Conocimiento del sistema, Fase II Análisis de
transacciones y recursos, Fase III Análisis de riesgos y amenazas, Fase IV Análisis de controles, Fase V
Evaluación de controles, Fase VI Informe de auditoría y Fase VII Seguimiento de las recomendaciones
more_vertical
Importancia de los Contro
geanelladiazrivas19d
Importancia de los Controles Generales del Ambiente de Computo (ITGC) y como los controles a
nivel aplicación se asientan sobre estos. La auditoría ha evolucionado de una primera época en
el cual el enfoque era netamente sustantivo, a uno en el cual se tiende a optimizar el esfuerzo a
los fines de obtener y validar la evidencia. Dentro de esta nueva tendencia se encuentra el
muestreo estadístico y el realizar la auditoría con un enfoque de cumplimiento.
comment_outline3
geanelladiazrivas
19d
https://www.auditool.org/blog/auditoria-de-ti/6263-como-realizar-una-auditoria-a-los-sistemas-de-
informacion-de-una-organizacion-2
Ernesto Ostaiza
19d
El objetivo principal de los controles de aplicación es asegurar: Que el ingreso de los datos es exacto, completo,
autorizado y correctoQue los datos son procesos en tiempo oportunoLos datos son almacenados de forma
adecuada y completaQue las salidas del sistema son adecuadas y completasQue registros son mantenidos para
realizar un seguimiento de las entradas y eventuales salidas del sistema.
geanelladiazrivas
19d
su finalidad es llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen
establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la
información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama
especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de
información.
more_vertical
https://auditgroup.o
Anónimo19d
¿Cómo auditar controles de aplicación?

https://auditgroup.org/2019/03/12/como-auditar-controles-de-aplicacion/
comment_outline0
more_vertical
DALIA GUZMÁN ZAMBRANO
Anónimo19d
DALIA GUZMÁN ZAMBRANO
Holii c:
comment_outline1
Anónimo
19d
hola
more_vertical
Jomaira Montero
Anónimo19d
Jomaira Montero
Hola
Si el auditor se incorpora a una empresa a mediados de año, debe revisar la
planificación de trabajo existente y evaluar si la misma incluye actividades que cubren
las funciones del auditor de sistemas; en caso contrario debe evaluarse la situación y
ajustar el plan de trabajo.
Un programa formal de auditoría de sistemas incluye la siguiente información:
▪ Actividades o revisiones a realizar.
▪ Objetivos cubiertos con cada una de las actividades.
▪ Fecha de inicio.
▪ Fecha de finalización.
▪ Recursos requeridos.
En un contexto en el cual las empresas cada vez más dependen de los sistemas como
medio para alcanzar los objetivos definidos, el auditor interno cada vez más debe
interiorizarse del funcionamiento de dichas aplicaciones, de los riegos que las mismas
acarrean así como la forma de monitorear y mitigar dichos riesgos.
Bajo este razonamiento, un aspecto principal a la hora de analizar el control interno

dentro de una organización es poder diferenciar que es “Un control de aplicación” vs.
“Controles generales del ambiente de computo”.
comment_outline0
more_vertical
¿Cómo auditar una aplicación de sistemas ?
Israel Tenelema19d
¿Cómo auditar una aplicación de sistemas ?
Es realizar una revisión a las aplicaciones que se encuentren en funcionamiento en la
empresa , pues son estas las que están expuestas a riesgos por mal manejo de sistemas .
Con la auditoria se evalúa la efectividad de los controles ya existentes y sugerir nuevos
controles , de tal forma que se puedan minimizar los riesgos y fortalecer el control de
dichas aplicaciones .
comment_outline0
more_vertical
sistema
Christian Villacres Ventura19d
sistema
comment_outline0
more_vertical
geanelladiazrivas19d
comment_outline5
geanelladiazrivas
19d
aspectos que se deberán estar teniendo en consideración, a los fines de realizar una auditoría de sistemas
geanelladiazrivas
19d
- Existencia de interfaces
geanelladiazrivas
19d
-Segregación de funciones
geanelladiazrivas
19d
- Identificación de las aplicaciones relevantes
geanelladiazrivas
19d
- Controles automáticos definidos en la aplicación
more_vertical
Hello
Anónimo19d
Hello
comment_outline0
more_vertical
Hola
Anónimo19d
Hola
comment_outline0
more_vertical
Alexis Pazmiño Secundaria19d
isecauditors.com
Auditoría de Aplicación | Internet Security Auditors

El proceso de auditoría de la aplicación sigue la filosofía de caja negra, es decir, en
ningún momento se audita el código fuente de la aplicación. El motivo de esta
metodología de trabajo es la de simular la actuación real de un atacante
malicioso que, a través de las aplicaciones auditadas y sin disponer de su código
fuente, intente realizar un ataque al sistema, bases de datos, etc...
El proceso para auditar es el siguiente:
Análisis Funcional
Análisis Técnico
Diseño de las pruebas

Desarrollo de las pruebas

cabo.
Realización de las pruebas

comment_outline4
adrianahidalgo01
19d
holi :)
Anónimo
19d
Jajajjaaa
Gloria Piriz Peralta

19d
jejejeje
Cristopher Alvarez
19d
Una auditoría informática es un proceso de análisis sobre los recursos TI de una empresa con el objetivo de
evaluar su estado y el nivel de seguridad existente. En una auditoría informática se identifican las
vulnerabilidades que tiene una empresa y los incumplimientos de las políticas de seguridad, con el objetivo de
corregirlos e incrementar el nivel de protección y seguridad de toda la organización.

Controles de Auditoría

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Controles de Auditoría

Cargado por

Copyright:

Formatos disponibles

Controles de Auditoría

Controles de Procesamiento: Estos controles, principalmente automáticos proveen

Controles de salida: Básicamente estos controles direccionan a que operaciones

Controles de integridad: Estos controles permitan verificar la integridad y

Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar

Un aspecto importante a considerar para el Auditor Interno al momento de auditar una

- Definir el universo de aplicaciones, bases de datos y tecnología de soporte que

El objetivo principal de los controles de aplicación es asegurar:

• Que el ingreso de los datos es exacto, completo, autorizado y correcto

Riesgos en que se debe evaluar

La aplicación de COBIT 5, coadyuva a que se deben seguir las siguientes pautas:

Fases para auditar aplicaciones:

· Análisis funcional.- Se realiza un estudio conjunto de la aplicación y se obtiene

• Elimina vulnerabilidades y reduce de forma notable los riesgos a los que se

AUDITORIA DE APLICACIONES - AUDITORIA DE APLICACIONES(Salon 111, Gru

El proceso de auditar Aplicaciones está planificado en las fases que se presentan a

Antes de auditar una aplicación es necesario determinar el ámbito sobre el que se

Análisis de gestión de sesiones

Análisis del esquema de autorización

En conclusión, es la revisión que se dirige a evaluar los métodos y procedimientos de

Auditoría de Aplicación | Internet Security Auditors

El desarrollo de la auditoría se desarrolla en diferentes acciones como modos de captura

Una vez teniendo estos puntos podemos proceder a la aplicación de la Auditoría en

Adicionalmente podemos estar encontrando los controles preventivos, básicamente

• Acceso lógico sobre infraestructura, aplicaciones y datos,

El carácter preventivo de una auditoría informática permite evitar riesgos y amortiguar

Una auditoría informática de seguridad puede realizarse de forma interna si la empresa

Christian Villacres Ventura

Ante estos aspectos se evalúa de acuerdo a los riesgos existentes:

Riesgo I- Acceso a funciones de procesamiento. Personas no autorizadas pueden

Riesgo II- Ingreso de datos/información. Los datos permanentes y de

Riesgo III- Ítems rechazados/suspensos. Los datos rechazados y las partidas en

Riesgo IV- Procesamiento. Las transacciones reales ingresadas para su

Aspectos Relevantes para el Riesgo I

Aspectos Relevantes para el Riesgo II

Liz Loja Santos

Liz Loja Santos

Liz Loja Santos

Se realiza un análisis de la aplicación de manera que se pueda decidir a qué tipos de

*DISEÑO DE LAS PRUEBAS

*DESARROLLO DE LAS PRUEBAS

Se programarán las pruebas a ejecutar, y se determinará el orden en el que se llevarán a

*REALIZACIÓN DE LAS PRUEBAS

Christian Villacres Ventura

Christian Villacres Ventura

¿Cómo auditar controles de aplicación?

Bajo este razonamiento, un aspecto principal a la hora de analizar el control interno

Auditoría de Aplicación | Internet Security Auditors

El proceso para auditar es el siguiente:

Diseño de las pruebas

Desarrollo de las pruebas

Realización de las pruebas

Gloria Piriz Peralta

También podría gustarte