Notas

Interesantes

Revisión de controles de aplicaciones.

El objetivo de esta revisión es analizar y evaluar la eficacia de los controles de los sistemas o aplicaciones ya existentes, estos controles deben asegurar que solo se ingresan y actualizan datos completos, exactos y válidos en un sistema, que el procesamiento de estos datos es correcto, que los resultados del procesamiento cumplen las expectativas; y que los datos se mantienen seguros. Quienes diseñan los sistemas ubican controles en el ingreso de datos o input, en el procesamiento y en el output del sistema.

  1. Procedimientos de control de input. Controles de acceso: Con esto se asegura que los datos ingresados al sistema son los autorizados y las responsabilidades sobre el cambio de datos esta definida.
    • Control de secuencia: Los registros de las transacciones llevan un número que los identifica y son consecutivos, por lo que no pueden haber duplicidades ni intervalos vacíos de secuencia.
    • Control de límite: Se verifican los límites de valores que puede asumir una variable de entrada y que se rechazara o advertirá en caso no cumpla con los límites establecidos.
    • Control de Rango: Es similar al anterior, pero se trata de un par de límites.
    • Control de paridad: Se utiliza para verificar una transmisión de datos (que puede ser la fuente para el ingreso de datos a otro sistema).
    • Control de validez: Consiste en considerar como válidos aquellos campos codificados con valores predeterminados.
    • Control de razonabilidad: Los datos ingresados se comparan con límites de razonabilidad o de ocurrencia de datos.
    • Búsquedas en tablas: Se valida un campo con el contenido de una tabla de datos, por ejemplo una tabla de códigos de países y los nombres de países se utiliza para validar el campo país de una pantalla de ingreso de datos.
    • Control de existencia: Es un control que sirve para validar un dato que ingresa al sistema y además asegura que el proceso sea según un orden establecido, por ejemplo: la autorización electrónica de una orden de trabajo, exige primero que esta haya sido ingresada y luego sea marcada por otra persona como autorizada.
    • Verificación de ingreso por teclado: Consiste en redigitar el ingreso de datos por otra persona sobre el archivo digitado primero por otra persona.
    • Dígito de control: Consiste en agregar al dato ingresado un dígito, el que se calcula matemáticamente por un algoritmo sobre los dígitos del dato ingresado, los más comunes son el módulo 10 o módulo 11.
    • Control de integridad: consiste en que un campo siempre debe contener datos, no puede estar vacío,etc.
  2. Procedimientos de Control de procesos.
    • Recálculos manuales: Consiste en recalcular manualmente una muestra de las transacciones a fin de asegurar que el procesamiento esta realizando la tarea esperada.
    • Edición: Consiste en comprobar que el input de datos es correcto, aquí se interpreta el paso de input como parte del proceso.
    • Verificación de razonabilidad de cifras calculadas: Consiste en probar la razonabilidad de los resultados de las transacciones para asegurarse de la adecuación a criterios predeterminados.
    • Verificación de la cantidad de registros procesados.
    • Manejo de archivo de errores para su posterior investigación.
    • Verificación por rangos de fechas o períodos.
    • Aprobación electrónica: Para que un determinado registro pase de un estado a otro por la autorización de un usuario diferente al que genero el registro.
    • Archivos de seguimiento: que permiten identificar el status de una determinada operación en un momento determinado.
  3. Procedimientos de Output o salida.
    • Resguardo de formularios negociables, sensibles o críticos: deben ser adecuadamente controlados en un listado de formularios recibidos, utilizados y dando razón de las excepciones, rechazos y mutilaciones para protergerlos de robo o daño.
    • Autorización de distribución: Las opciones de reporte del sistema deben estar de acuerdo con las funciones que tiene el usuario en el sistema y ser controlado por los accesos definidos en el sistema.
    • Estructura estándar de los formatos de los reportes: como son el número de páginas, la hora, fecha, nombre del programa que lo produce, cabeceras, etc.

La auditoría de los controles de las aplicaciones tiene las siguientes tareas:

  1. Examen de documentación de la aplicación: Donde se revisa principalmente los siguientes documentos actualizados de: Documentos de la metodología de desarrollo de la aplicación. Especificaciones funcionales de diseño. Cambios a los programas. Manuales de usuario. Documentación técnica de referencia.
  2. Elaboración de un modelo de evaluación de riesgos para analizar los controles de la aplicación. La evaluación de riesgos puede basarse en muchos factores incluyendo: La calidad de los controles internos. Condiciones económicas. Cambios recientes al sistema contable. Tiempo transcurrido desde la ultima auditoría. Complejidad de las operaciones. Cambios recientes en los puestos clave. Bienes en riesgo Cambio de personal. Volumen de transacciones. Volumen monetario. Impacto de una falla de la aplicación.
  3. Observación y prueba de los usuarios que realizan procesos. Esta observación de debe estar enfocada a revisar que existe una segregación de funciones y que esta debe mostrar que una persona no tiene capacidad de realizar mas de una de las siguientes funciones referidas al procesamiento de información: originarla, autorizarla, verificarla, y distribuirla.
  4. Examen y prueba de autorizaciones y capacidades de acceso. Para esto se revisan los siguientes aspectos: Tablas de control de acceso. Informes de actividades. Informes de violaciones.
  5. Selección del tipo de técnica de auditoría asistida por computador y pruebas de auditoría con ayuda del computador. consiste en determinar que metodología se utilizara para probar los datos o procesos del sistema, generalmente se usa lo siguiente:
    • Software de auditoría generalizado. Módulos de auditoría incorporados.
    • Transferencia de información (downloading) a una Pc para tratarla con software de análisis.
    • Uso de sistemas expertos.

    Con la ayuda de este software o técnica asistida por computador, se realizan pruebas de auditoría, estas pruebas incluyen por ejemplo:

    • Muestreo estadístico, con el cual se selecciona la muestra de transacciones o del universo de datos que serán probados.
    • Pruebas de rangos, se usan para probar que los datos en prueba son válidos porque están en un rango de valores adecuado.
    • Pruebas de excepciones, se usan para verificar que el procesamiento de las transacciones es correcto que no existen excepciones en los datos con los que trabaja el sistema.  

Resumen Exp.Laboral Dat.Personales Est.Realizados Inf.Contacto N.Interesantes