1

TEMA 7
AUDITORA DE LAS
APLICACIONES
Tema 7. Contenido
- Objetivos del tema
- Objetivo de los controles de aplicaciones
- Controles de entrada de datos
- Controles de validacin, edicin y procesamiento de
datos
- Controles sobre los archivos de datos
- Controles de salida de datos
- Auditoria de las aplicaciones
Ob]etivos del tema
- Conocer el objetivo de los controles de las aplicaciones
- Conocer los controles de entrada, edicin y validacin,
procesamiento, salida y archivo de datos
- Conocer las tcnicas para auditar los controles de las
aplicaciones
- Conocer qu es la auditoria concurrente
2
Tema 7. Contenido
- Objetivos del tema
- Objetivo de los controles de aplicaciones
- Controles de entrada de datos
- Controles de validacin, edicin y procesamiento de
datos
- Controles sobre los archivos de datos
- Controles de salida de datos
- Auditoria de los controles de aplicaciones
- solo se introduzcan datos completos, exactos y validos
- proceso realice tarea correcta
- resultados proceso cumplen las expectativas
- datos se mantengan correctos y actualizado en los archivos
Ob]etivo de los controles de Ob]etivo de los controles de Ob]etivo de los controles de Ob]etivo de los controles de
aplicaciones aplicaciones aplicaciones aplicaciones
Tipos
- Entrada de datos
- validacin y Edicin de Datos
- Proceso
- Salida
- Archivos datos
Controles de aplicaciones Controles de aplicaciones Controles de aplicaciones Controles de aplicaciones
3
Tema 7. Contenido
- Objetivos del tema
- Objetivo de los controles de aplicaciones
- Controles de entrada de datos
- Controles de validacin, edicin y procesamiento de
datos
- Controles sobre los archivos de datos
- Controles de salida de datos
- Auditoria de los controles de aplicaciones
Asegurar que:
- cada transaccin
- se reciba
- procese
- registre de forma exacta y en su totalidad
- slo se procese informacin
- valida
- autorizada
- una unica vez.
Controles de entrada de datos
Ob]etivos
Autorizacin entrada
-Transacciones correctamente
-aprobadasfautorizadas
Tipos autorizacin
- Firma en formularios lotes
- La firma provee evidencia de su autorizacin
- Control acceso en linea
- solo las personas autorizada pueden acceder a los datos
- Contrasenas unicas
- !dentificacin terminales
- permite que solo se pueda realizar la entrada desde
determinados terminales
Controles de entrada de datos
4
Documentos fuente
- En ellos se registran los datos para su posterior introduccin
- Se utilizan cuando hay una demora entre la captacin del dato y
su introduccin en el sistema
Controles de entrada de datos
Documentos fuente
Beneficios
- aumento velocidadfexactitud introduccin datos
- facilitar preparacin datos forma legible maquina
- aumento velocidad f exactitud lectura datos
- facilitar control para referencia posterior
Controles de entrada de datos
Documentos fuente
Diseno
- Enfatizar facilidad uso f legibilidad
- Agrupar campos similares para facilitar entrada
- Cdigos entrada predeterminados para reducir los errores
- Utilizar casillas para prevenir errores tamanos campos.
- Controlados adecuadamente
Controles de entrada de datos
5
Controles lote y balance
- Se utilizan para asegurar que:
- cada transaccin tiene un documento de entrada
- todos los documentos se incluyen en lote
- se presentan todos los lotes para su proceso
- todos los lotes son aceptados por el ordenador
- se realiza la conciliacin de la totalizacin del lote
- investigacin y oportuna correccin de las diferencias
Controles de entrada de datos
Controles lote y balance
Tipos
- !mporte total
- N items
- N documentos
- Totales hash o ciego
- Pueden ser una combinacin de los anteriores
- La informacin se pone en el formulario de cabecera del lote
Controles de entrada de datos
Controles lote y balance
Tipos de balance
- Nanual
- Se compara la salida procesada con los totales de control
-Automatizada
- Se introducen los totales de control (al principio final del
lote)
- Un programa realiza la conciliacin
Controles de entrada de datos
6
Informes Errores Entrada y su manipulacin
- Para verificar que:
- solo se aceptan datos correctos
- de identifican y corrigen los errores de entrada
Formas de rechazo
- Rechazando solo transacciones con errores
- Rechazando todo el lote
- Aceptando el lote en suspenso
- Aceptando el lote y senalando las transacciones con errores
Controles de entrada de datos
Integridad lotes en sistemas interactivos Jcon BD
- Periodos tiempo
- Terminales
- Usuarios
- Supervisor revisa y libera lotes
Controles de la entrada de datos
Tema 7. Contenido
- Objetivos del tema
- Objetivo de los controles de aplicaciones
- Controles de entrada de datos
- Controles de validacin, edicin y
procesamiento de datos
- Controles sobre los archivos de datos
- Controles de salida de datos
- Auditoria de los controles de aplicaciones
7
Los datos se deben validar tan cerca del origen como sea posible
- Sirven para identificar:
- errores datos
- datos incompletos f faltantes
- incongruencias entre items que estn relacionados
- Terminales inteligentes ---> parte de la edicin y validacin se
realiza en el preproceso
Controles de validacin, edicin y
procesamiento de datos
Controles de validacin y edicin
Control secuencia Control limite
Control rango Control validez.
Control razonabilidad Busqueda en tablas.
Doble introduccin
Caracter de control Control completitud
Control duplicacin Control relacin lgica
Controles de validacin, edicin y
procesamiento de datos
Controles de procesamiento
- Recalculos manuales (en una muestra)
- Edicin
- Totales ejecucin a ejecucin
- Controles programados
- verificacin razonabilidad cifras calculadas
- Controles limites cifras calculadas
- !nformes de excepciones
Controles de validacin, edicin y
procesamiento de datos
8
Tema 7. Contenido
- Objetivos del tema
- Objetivo de los controles de aplicaciones
- Controles de entrada de datos
- Controles de validacin, edicin y procesamiento de
datos
- Controles sobre los archivos de datos
- Controles de salida de datos
- Auditoria de los controles de aplicaciones
Sirven para asegurar que los datos que residen en los archivos
han sufrido el proceso adecuado
Controles sobre los archivos de
datos
Informes imagen previa y posterior actualizacin.
Informes y manipulacin errores de actualizacin y
mantenimiento.
Conservacin de documentos fuente.
- Retener durante un periodo adecuado para permitir
- recuperacin
- reconstruccin
- verificacin de los datos.
- Acceso autorizado
- Destruccin controlada resguardada y controlada
Etiquetas internas y externas
Controles sobre los archivos de
datos
9
Utilizacin versin correcta
- procesofreproceso
Seguridad archivos datos {acceso)
Histrico transacciones.
- Registro de todas las transacciones introducidas
- Permite:
- generar un listado detallado ( fecha y hora de la entrada, cdigo del usuario,
ubicacin) para rastro de auditoria
- que el personal de operaciones determine qu transacciones han sido
introducidas
- Nenor tiempo de investigacin en caso necesario
- Disminuir el tiempo de recuperacin si se produce un fallo del sistema.
Controles sobre los archivos de
datos
Tema 7. Contenido
- Objetivos del tema
- Objetivo de los controles de aplicaciones
- Controles de entrada de datos
- Controles de validacin, edicin y procesamiento de
datos
- Controles sobre los archivos de datos
- Controles de salida de datos
- Auditoria de los controles de aplicaciones
Sirven para asegurar que los datos de salida se presentan y
formatean de forma consistente y oportuna
Controles de salida de datos
10
- Registro en un histrico y almacenamiento de formularios
sensibles o criticos en un lugar resguardado
- Autorizacin distribucin
- Balance y Conciliacin
- Nanipulacin de errores de salida
- Retencin de informe producidos
- verificacin de la recepcin de informes
Controles de salida de datos
Tema 7. Contenido
- Objetivos del tema
- Objetivo de los controles de aplicaciones
- Controles de entrada de datos
- Controles de validacin, edicin y procesamiento de
datos
- Controles sobre los archivos de datos
- Controles de salida de datos
- Auditora de los controles de aplicaciones
Revisin documentacin aplicacin
- Para obtener una comprensin de los componentes funcionales
de una aplicacin.
- Si la aplicacin esta adquirida a un proveedor, se deben revisar
los manuales tcnicos y de usuarios.
- Cualquier cambio a una aplicacin debe estar documentado.
Auditoria de los controles de
aplicaciones
11
Revisin documentacin aplicacin
- Documentos metodologia desarrollo
- Especificaciones funcionales
- Atencin a la comprensin de los controles clave
- Cambios a programas
- autorizacin evidenciada de los cambios
- Nanuales usuarios
- Documentacin tcnica de referencia.
Auditoria de los controles de
aplicaciones
Anlisis flujo transacciones
- Brinda informacin sobre controles clave proceso.
- Examen puntos:
- se introducen
- procesan
- imputan
---> busqueda debilidades control
Auditoria de los controles de
aplicaciones
Observacin y prueba procedimientos de usuarios
- Segregacin de tareas (origen, autorizacin, modificacin)
- observacin
- examen descripcin tareas
- examen niveles de autorizacin
- Autorizacin entrada
- autorizacin escrita sobre documentos entrada
- utilizacin contrasenas unicas.
- muestreo documentos de entrada
- buscando autorizacin correcta
- examinando las reglas de acceso al ordenador
Auditoria de los controles de
aplicaciones
12
Observacin y prueba procedimientos de usuarios
- Balance.
- verificar conciliacin oportuna totales control
- repeticin de algun balance
- revisin anteriores conciliaciones.
- Control correccin errores
- verificar evidencia revisin, investigacin y nueva carga de
correcciones
- revisando correcciones a errores anteriores.
- Distribucin informes (criticos).
- verificar su resguardo y distribucin
- observacin
- examen histricos distribucin.
- informes en linea: examen reglas acceso.
Auditoria de los controles de
aplicaciones
Observacin y prueba procedimientos de usuarios
- Examen y prueba autorizaciones y capacidades acceso.
- Tablas de control de acceso.
- Examen reglas de acceso
- !nformes actividades
- asegurar actividad solo desarrollada horas normales
operacin.
- !nformes violaciones
- revisin procedimientos seguimiento
Auditoria de los controles de
aplicaciones
Pruebas de la integridad de los datos
- Son un subconjunto de las pruebas sustantivas para verificar
que los datos sean exactos, completos, coherentes y
autorizados
- Se utilizan pruebas similares a las de control sobre la entrada
de datos
- Los errores en la integridad de los datos indican errores en los
controles de entrada o de procesamiento.
Auditoria de los controles de
aplicaciones
13
Pruebas de la integridad de Datos : Integridad de dominio
- Sirven para verificar que los datos son conformes con sus
definiciones
- Su principal objetivo es verificar que las rutinas de validacin y
edicin funcionan satisfactoriamente.
- La prueba es a nivel de campo
- Aseguran que los elementos de datos tienen un valor legitimo.
Auditoria de los controles de
aplicaciones
Pruebas de la integridad de Datos: Integridad Relacional
- A nivel de campo y de registro
- La integridad relacional se consigue mediante rutinas de
validacin de datos o mediante restricciones, que se ponen a
los valores posibles de los campos, en la definicin de la tabla
de la base de datos
- Puede ser un mezcla de las dos
Auditoria de los controles de
aplicaciones
Pruebas de la integridad de Datos: Integridad de Entidad
- La integridad de entidad establece que ninguna clave primaria
pueda tener valores nulos
- El valor la clave primaria debe ser unico en toda la relacin
Auditoria de los controles de
aplicaciones
14
Pruebas de la integridad de Datos: Integridad Referencial
- Sirve para mantener la consistencia entre los datos de
diferentes tablas.
- Todo valor de una clave externa de una tabla debe tener su
correspondiente valor de clave primaria en otra tabla.
- Permite:
(1) realizar borrados de un registro de una tabla y los
correspondientes de las tablas con las claves externas
correspondientes
(2) actualizaciones de las claves externas cuando se actualice
una clave primaria.
Auditoria de los controles de
aplicaciones
Pruebas de la integridad de Datos en sistemas de proceso
de transacciones en lnea
Sistemas multiusuario
- Necesidad de:
- acceder en paralelo a los datos almacenados (compartir
datos)
- provisin de tolerancia a los fallos
- Este tipo de pruebas son vitales en los sistemas actuales
basados en la utilizacin de un SGDB.
- !mportancia del principio AC!D (Atomicity, Consistency,
!solation, Durability):
Auditoria de los controles de
aplicaciones
Integridad de datos en sistemas de proceso de
transacciones en lnea
Atomicidad
- una transaccin o se completa en su totalidad (se actualizan
todas las tablas relevantes) o no se actualiza nada.
- si ocurre un error en una transaccin se tienen que deshacer
todos las actualizaciones ocasionadas hasta el momento por
la transaccin.
Auditoria de los controles de
aplicaciones
15
Integridad de datos en sistemas de proceso de
transacciones en lnea
Consistencia
Cada transaccin tiene que llevar a la BD desde un estado
consistente a otro estado consistente.
Aislamiento
Cada transaccin se aisla del resto de las transacciones
- Solo accede a datos que son parte de un estado consistente de
la BDs.
Durabilidad
El resultado del proceso de la transaccin en la BD sobrevive a
los subsiguientes fallos tanto de hardware como de software.
Auditoria de los controles de
aplicaciones
Pruebas de las aplicaciones
- Las pruebas de la eficacia de los controles de aplicaciones
involucran:
- analizar los programas de aplicacin
- probar los controles de las aplicaciones
- seleccionar y seguir el proceso de las transacciones
Auditoria de los controles de
aplicaciones
Para analizar los programas de aplicacin
- Instantnea
- Registra el flujo de las transacciones seleccionadas a
travs de los caminos lgicos en los programas
- Mapeado
- !dentifica partes de la lgica de un programa que aun
no ha sido probada y analiza los programas en
ejecucin para indicar que sentencias han sido
ejecutadas
- Trazado y etiquetado
- Nuestra las instrucciones ejecutadas. El etiquetado es
el marcado de las transacciones seleccionadas y el
trazado su seguimiento
Auditoria de los controles de
aplicaciones
16
Para probar los controles de aplicacin
Datos de prueba
Transacciones simuladas en programas reales
Operacin paralela
- Los datos reales se procesan al mismo tiempo por un sistema
actual y uno nuevo y se comparan los resultados
- Se utiliza para verificar un sistema nuevo antes de reemplazar a
uno antiguo
Auditoria de los controles de
aplicaciones
Para probar los controles de aplicacin
Centro de pruebas integrado
Crea ficheros ficticios en la base de datos y prueba el proceso de
las transacciones simultaneamente con datos reales
Simulacin
Los datos reales se procesan con programas que simulan la lgica
de un programa de aplicacin
Auditoria de los controles de
aplicaciones
Para seguir el proceso de los datos de las transacciones
Programas de seleccin de transacciones
Utiliza software de auditoria para filtrar y seleccionar la
transacciones de entrada reales
Recogida de datos de auditora empotrada
Un software empotrado en las aplicaciones filtra y selecciona
tanto transacciones de entrada como generadas durante el
proceso.
Registros extendidos
Recoge todos los datos afectados por un determinado programa.
Auditoria de los controles de
aplicaciones
17
- La auditoria concurrente esta siendo cada vez mas importante
en el mundo de los negocios electrnicos actuales
- provee un mtodo para recoger evidencias en el mismo
momento que tiene lugar el proceso
- permite seguir la operacin de un sistema de forma continua
y recoger evidencias de forma selectiva directamente del
ordenador.
- Si la evidencia recogida no indica que haya que tomar una
accin inmediata, se almacena en ficheros de auditoria
separados para que su analisis posterior
Auditoria concurrente
vENTAJAS
- Las tcnicas de auditoria concurrente son herramientas
importantes de auditoria
especialmente en los complejos entornos actuales en los que se procesa un
gran numero de transacciones y que dejan un minimo rastro en papel.
- incrementan la seguridad del sistema, al permitir que los
auditores evaluen, de forma continua, los controles
operacionales sin interferir las operaciones normales.
- Cuando alguien malutiliza un sistema
(p.e. retirando dinero de una cuenta inoperativa)
una de estas tcnicas informara de esta mala utilizacin
inmediatamente al auditor.
- Por tanto, se reducira el espacio de tiempo entre el momento
de la mala utilizacin y su deteccin.
Auditoria concurrente
Centros de pruebas integrados {ITF Integrated test
facilities)
- Consiste en establecer una entidad ficticia en el sistema de
archivos de una aplicacin en produccin para procesar datos
de prueba frente a dicha entidad.
- Permite verificar la correccin del proceso.
- El !TF involucra ciertos riesgos
Es necesario asegurarse de que no se alteran los datos de
produccin
Los resultados de las pruebas deben ser guardados
separadamente de los resultados de la aplicacin
Hay que asegurarse de que no quedan efectos residuales de
las pruebas efectuadas.
Auditoria concurrente
18
InstantneasJregistro extendido
- Consiste en tomar fotografias de una transaccin a medida
que se procesa en el sistema informatico.
- Esto se consigue integrando rutinas de auditoria en el software
de aplicacin en distintos puntos de la lgica del procesamiento
en donde se quiera tomar una instantanea.
- Permite que el auditor rastree los datos y evalue los procesos
que se aplican a los datos en las diferentes etapas de
procesamiento.
- La diferencia entre instantaneafregistro extendido es que en la
primera se escribe un registro por cada instantanea y en la
segunda todas las instantaneas se escriben en un unico
archivo.
Auditoria concurrente
Fichero de revisin de auditora y control del sistema y
mdulos de auditora emptrados {SCARF System Control
Audit Review Ffile)
- Consiste en integrar mdulos de auditoria en determinados
puntos de una aplicacin para realizar una monitorizacin
continua de las transacciones del sistema
- La informacin recopilada se escribe en un fichero especial, el
fichero SCARF, que posteriormente es revisado por los
auditores.
Auditoria concurrente
Ganchos de auditora
- Consiste en poner ganchos en las aplicaciones
- Funcionan como banderas de alerta para que el auditor puede
actuar antes de que un error o irregularidad quede fuera de
control.
Auditoria concurrente
19
Simulacin continua e intermitente {CIS Continuous and
intermitent simulation)
- Es una variacin de la anterior
- Slo se puede utilizar en sistemas que utilicen un SGBD
(SGDB).
Auditoria concurrente
Simulacin continua e intermitente {CIS Continuous and
intermitent simulation)
- Cada vez que la aplicacin requiere un servicio al SGDB, ste
le comunica al C!S que se le ha requerido un servicio
- el C!S toma la determinacin de procesar o no la transaccin,
en funcin de los criterios marcados por el auditor
- Si procesa la transaccin el C!S realiza su proceso de la
transaccin, al mismo tiempo que se realiza el proceso normal.
- El C!S analiza las actualizaciones ocasionadas por la
transaccin en la base de datos frente a sus datos y escribe las
excepciones en un archivo.
Auditoria concurrente
Simulacin continua e intermitente {CIS Continuous and
intermitent simulation)
- Su ventaja es que no hay que modificar la aplicacin para
integrar los mdulos de auditoria.
- Tampoco hay que hay que modificar el SGBD
los actuales SGBDs tienen facilidades que permiten escribir mdulos que
pueden ser invocados por el SGBD.
- Su mayor desventaja es que no permite recoger informacin
en otros puntos del proceso que los que invocan los
servicios del SGBD.
Auditoria concurrente