Story Transcript
RIESGOS DE APLICACION
1
ACCESO NO AUTORIZADO A LAS FUNCIONES DE PROCESAMIENTO DE TRANSACCIONES * Los datos permanentes y/o de transacciones pueden ser: -
leídos modificados eliminados ingresados recuperados
sin la autorización correspondiente.
2
DATOS INGRESADOS INCORRECTAMENTE * Los datos permanentes y/o de transacciones ingresados para su procesamiento pueden ser: -
3
inexactos incompletos ingresados en el período contable incorrecto ingresados más de una vez omitidos
LAS PARTIDAS RECHAZADAS/EN SUSPENSO PUEDEN NO SER RESUELTAS EN FORMA ADECUADA * Las transacciones pueden ser omitidas * Los ítems en suspenso pueden ser resueltos sin la debida autorización
Riesgos y medios de control Página 1
4
LAS TRANSACCIONES PUEDEN SER PROCESADAS O INFORMADAS INCORRECTAMENTE * Las transacciones ingresadas pueden: - ser procesadas en forma incompleta - se procesadas en forma inexacta - no ser procesadas
* Las transacciones generadas pueden: - perderse - ser procesadas en forma incompleta - ser procesadas en forma inexacta
* El corte de transacciones puede ser inexacto * Las transacciones pueden: - ser informadas en forma inexacta - no ser informadas * La información gerencial (análisis, resúmenes, informes de excepción, totales) pueden: - ser generados o informados en forma incompleta -ser generados o informados en forma inexacta
Riesgos y medios de control Página 2
RIESGOS DEL DEPARTAMENTO CIS
1
LA ESTRUCTURA ORGANIZATIVA Y LOS PROCEDIMIENTOS OPERATIVOS DEL DEPARTAMENTO CIS PUEDEN NO SER ADECUADOS * Fraudes pueden ser perpetrados por: - personal del Departamento CIS - usuarios
* Los programas o los archivos de datos pueden ser: - copiados o robados - destruidos intencionalmente
* Los recursos del Departamento CIS pueden ser: - utilizados sin la debida autorización - destruidos intencionalmente
* Procedimientos inadecuados de desarrollo de sistemas pueden originar: - sistemas de aplicación deficientes (desarrollados o medida o paquetes) - errores durante la implantación
* La integridad interna de las bases de datos puede ser dañada * Pueden producirse errores de operación del computador * Pueden producirse errores de hardware
Riesgos y medios de control Página 3
2
LOS PROGRAMADORES PUEDEN REALIZAR CAMBIOS INCORRECTOS O NO AUTORIZADOS A LOS PROGRAMAS * Los programadores de aplicaciones o de sistemas pueden perpetrar fraudes a través de cambios a los programas de aplicación * Pueden surgir errores inadvertidos a partir de cambios no autorizados y/o no probados a los programas de aplicación
3
ACCESO NO AUTORIZADO A LOS PROGRAMAS O A LOS DATOS * El personal del Departamento CIS o terceros ajenos a la empresa pueden: - tener acceso no autorizado a datos confidenciales - perpetrar fraudes o provocar errores realizando cambios no autorizados a los archivos de transacciones o de datos permanentes - sabotear los recursos del Departamento CIS - utilizar los recursos sin autorización
4
CONTINUIDAD DE PROCESAMIENTO * La ausencia de un efectivo Plan de Contingencias puede resultar en: - Interrupción de los negocios como resultado de no poder satisfacer los requerimientos de los clientes, pérdida de oportunidades, e incapacidad de competir - Pérdidas financieras debido a la incapacidad de procesar las cuentas por cobrar, penalidades por pago tardío y pérdida de descuentos, y pérdida o no registración de las ventas - Problemas legales resultantes de la imposibilidad de satisfacer las obligaciones contractuales. RIESGO 1: ACCESO A FUNCIONES DE PROCESAMIENTO
Este riesgo se refiere a la posibilidad de acceso no autorizado a las funciones de procesamiento de los programas de aplicación o a los registros de datos resultantes a través de los procedimientos normales de iniciación, autorización y registración de Riesgos y medios de control Página 4
transacciones. Este riesgo puede reducirse si: -
existe una adecuada segregación de funciones tanto en la organización como en el Departamento CIS;
-
se controlan los accesos no autorizados.
Segregación de Funciones El principio de asignar tareas a quienes no tengan funciones de procesamiento incompatibles es el mismo tanto si el procesamiento es manual o computadorizado. Las responsabilidades deben ser distribuidas de forma tal que el acceso de los empleados a las funciones de procesamiento computadorizadas no los habilite para llevar a cabo funciones incompatibles. (Por ej.: no debería autorizarse a un mismo empleado el acceso a las funciones de procesamiento para ingresar facturas, informes de recepción y de compras). La segregación de funciones es un control general. No obstante, en un ambiente CIS los controles basados en software que normalmente son utilizados para restringir el acceso a las funciones de procesamiento de transacciones o a los registros de datos resultantes, pueden constituir un medio efectivo para asegurar dicha segregación. Debido a la concentración de datos y programas que generalmente hay en un ambiente CIS, las funciones pueden estar segregadas en el aspecto organizativo, pero esta segregación no será efectiva sin controles de acceso basados en software. El uso de software crea la oportunidad de lograr una segregación de funciones más efectiva que la que puede lograrse en un ambiente manual. Debido al amplio rango de datos y programas que son potencialmente accesibles para una persona que tiene acceso a un sistema computadorizado moderno, la segregación de funciones por sí sola raramente constituirá un control efectivo.
Control de Acceso En aquellos sistemas computadorizados en los que el ingreso de datos es no interactivo, la restricción del acceso a las funciones de procesamiento del software de aplicación es relativamente sencilla. En ambientes en los que los datos son ingresados o están a disposición de los usuarios Riesgos y medios de control Página 5
en forma interactiva, el control del acceso resulta más complicado. La efectividad del control dependerá, por lo general, del uso de software que permita el acceso del usuario a ciertas funciones de procesamiento computadorizadas, pero no a otras. Se utilizan varios mecanismos para lograr este control, incluyendo: -
Menúes.
-
Normas/perfiles de acceso.
-
Acceso a los datos por programa.
-
Dispositivos de acceso a los datos/programas a través de restricciones lógicas de las terminales.
-
Dispositivos de seguridad de terminales, incluyendo dispositivos de acceso personalizado o "tarjetas de banda magnética".
RIESGO 2: INGRESO DE DATOS Los datos permanentes y/o de transacciones ingresados para su procesamiento pueden ser: -
inexactos ingresados más de una vez incompletos omitidos ingresados en el período contable incorrecto.
Controles de edición y validación Los controles de edición y validación están diseñados para permitir la identificación de errores en los datos ingresados, ingresos duplicados, o datos que no satisfacen ciertos criterios preestablecidos de aceptación. Los controles de edición y validación normalmente son aplicados cuando se ingresan los datos; si el ingreso de datos es interactivo, el usuario recibirá inmediatamente la indicación de corregir los datos que contienen los errores o que no fueron ingresados correctamente.
Controles de lote La agrupación de documentos fuente en lotes impide que eventualmente se pierda alguno, Riesgos y medios de control Página 6
o bien que se agreguen en el ingreso de los mismos. También permite: - establecer totales de control; - verificar la exactitud de los datos preparados para el ingreso; - minimizar la cantidad de registros/transacciones rechazados en caso de presentarse errores; - facilitar y acelerar el seguimiento de los errores, ya que la agrupación en lotes limita el número de registros a inspeccionar.
Controles de Edición y Validación -
Controles de formato: aseguran que cada campo tenga el formato de datos apropiado (numérico, alfabético o alfanumérico) y la cantidad adecuada de caracteres.
-
Control de campos faltantes: son diseñados para asegurar que todos los campos de datos importantes hayan sido completados. Los controles de combinación se utilizan en forma similar para requerir que se ingresen datos en un determinado campo cuando se ingresan datos en campos conexos o dependientes.
-
Controles de límite o razonabilidad: son implantados para asegurar que los datos estén dentro de o no excedan ciertos límites. Los controles de límite identifican e impiden el procesamiento de una transacción errónea, por ej., una remuneración horaria excesiva. Los controles de razonabilidad incluyen controles cruzados, por ej., que las facturas de proveedores de servicios no sean imputadas a una cuenta de existencias.
-
Controles de validación: se utilizan para asegurar que los datos ingresados sean compatibles con los datos permanentes o del archivo maestro. Por ej., una vez que se ha controlado el formato de los datos, el control de validación compara los datos ingresados (tales como códigos de proveedores, números de cuenta, etc.) con registros de los archivos maestros para determinar su validez.
-
Controles de procesamiento duplicado: identifican los números de documento o lotes que son ingresados para su procesamiento más de una vez.
-
Pruebas de correlación de campos: comparan datos de diferentes campos para probar su razonabilidad en base a criterios especificados en los programas de aplicación. Por ej., un sistema de liquidación de haberes puede controlar que no se efectúen pagos por horas extra al personal ejecutivo.
Riesgos y medios de control Página 7
-
Controles de balanceo: aseguran que ciertas transacciones balanceen a cero, por ej., débitos y créditos de un asiento de diario.
-
Dígitos verificadores: son utilizados para verificar la integridad de un campo.
Dígito verificador Cuando la transcripción de datos es necesaria, siempre existe la posibilidad de error. Si bien no es posible prevenir estos errores, es necesario hacer cuanto se pueda para detectarlos. Con campos numéricos claves como números de cuentas y códigos de productos, es común agregar un dígito extra al código. Este dígito verificador se calcula a partir de los otros dígitos del campo usando un simple algoritmo. Cuando se ingresa un código al sistema el programa de validación del input aplica este algoritmo para detectar toda transcripción, transposición, omisión, repetición y combinaciones sucesivas de estos errores.
Conciliación del Input Los controles de validación y edición de transacciones producirán un resumen de datos aceptados y rechazados para cada lote. Este mostrará números de documentos o registros y valores de control. Si el informe de control no concilia las cuentas y valores calculados con los del registro de control de lote, entonces las diferencias también serán informadas.
Informes de Control Los informes de control y conciliación son requeridos para confirmar que el procesamiento ha sido completado satisfactoriamente y que todos los datos han sido procesados. Los siguientes lineamientos deberían ser considerados: -
Los usuarios y el personal de control de datos pueden requerir copias.
-
Los sucesivos informes deben ser susceptibles de conciliación y control cruzado.
-
Debe listarse el número y valor de las transacciones (por tipo).
-
Las diferencias en las conciliaciones deberían ser claramente destacadas.
Riesgos y medios de control Página 8
-
Deberían indicarse totales de archivo al inicio y final del procesamiento, así como totales de accesos (por ej. el número de registros modificados).
RIESGO 3: ÍTEMS RECHAZADOS / EN SUSPENSO Una aplicación bien diseñada debe controlar cada transacción rechazada manteniendo un registro de la misma hasta que sea corregida. Las partidas rechazadas deben ser incluidas en todos los informes de excepción posteriores hasta que el usuario apropiado o el grupo de control de datos tomen las medidas correctivas necesarias. Al ser reingresadas, las transacciones rechazadas deben ser sometidas a los mismos controles de edición y validación aplicables a las transacciones originales. Existen controles programados y controles del usuario. La efectividad de estos controles programados dependerá de la efectividad de los procedimientos de seguimiento por parte del usuario.
Items Rechazados Dependiendo del diseño del sistema de computación, los datos inválidos o no apareados pueden ser: 1) Aceptados por el sistema e incluídos en un informe de excepciones Este informe debe ser utilizado por el departamento emisor de estos datos para ingresar los ajustes correspondientes. 2) Incluídos en un archivo de partidas en suspenso dentro del sistema Deberá efectuarse la registración de todos los movimientos de ingreso y egreso de los archivos en suspenso, para proporcionar un rastro de auditoría. Los movimientos iniciados por medios manuales y los generados automáticamente por el sistema deben ser señalados por separado. Se podrán utilizar programas de consulta para listar todas o parte de las partidas en suspenso cuando se lo requiera para un seguimiento efectivo de las mismas. Generalmente, el riesgo asociado con la corrección de transacciones inválidas o no apareadas es menor cuando se utiliza un archivo en suspenso que cuando las transacciones erróneas son aceptadas e incluidas en informes de excepción para su Riesgos y medios de control Página 9
posterior corrección. La corrección de los rechazos por errores en los documentos fuente debe estar a cargo del departamento usuario emisor de éstos y no de la función de control de datos.
3) Completamente rechazados Cuando los datos son rechazados por el sistema, sin retenerse ningún tipo de registro en un archivo, son importantes los procedimientos de siguimiento para asegurarnos de que las transacciones rechazadas sean posteriormente analizadas y corregidas.
RIESGO 4: PROCESAMIENTO Y REGISTRACION DE TRANSACCIONES Los registros contables relevantes pueden ser actualizados en forma incorrecta o incompleta, o no ser actualizados durante el procesamiento si: -
el formato de los datos no es correcto;
-
su compatibilidad con los datos existentes no ha sido verificada;
- los programas de aplicación no funcionan de la manera deseada. Los controles que pueden mitigar este riesgo son:
Formularios prenumerados Al igual que en los sistemas de procesamiento manual, el uso de documentos fuente prenumerados nos permite asegurar que las transacciones no se pierdan durante el procesamiento. El software de aplicación puede ser programado para asignar números de referencia secuenciales y controlar los números de referencia de las transacciones ingresadas para procesamiento y, producir informes de excepción de documentos faltantes para su seguimiento posterior.
Controles de balanceo programados Los controles de balanceo programados son incorporados al software de aplicación para asegurar la exactitud e integridad de la actualización de datos. Algunos controles de balanceo programados son: -
El saldo inicial del ciclo de procesamiento corriente es igual al saldo final del ciclo Riesgos y medios de control Página 10
anterior (controles de ciclo a ciclo). -
La suma del saldo inicial más las transacciones procesadas es comparada con el saldo final del ciclo corriente (controles de actualización de archivos).
-
El saldo después del primer programa o paso de procesamiento del ciclo corriente es comparado con el saldo inicial más las transacciones procesadas en ese paso de procesamiento, y así sucesivamente a través de cada paso sucesivo del sistema (controles de programa a programa).
Controles de lote Se basan en la preparación de totales de control de los campos críticos antes del procesamiento. Estos totales de control son comparados posteriormente con los totales generados por el computador. La comparación puede ser efectuada para asegurarse de que todos los documentos han sido procesados y que no se han ingresado transacciones desde fuentes no autorizadas.
Control de Rótulos Internos de Archivos Estos controles son ejecutados automáticamente por el software de administración de operaciones y/o software de administración de archivos de datos, y pueden ser utilizados para asegurar que se utilizan las versiones correctas de los archivos de datos y programas de producción.
Controles de Transmisión de Datos Los dispositivos estándar del software de transmisión de datos producen un cálculo de "prueba" (utilizando un algoritmo preestablecido) con la información incluida en la trasmisión. El resultado de dicho algoritmo es registrado en un mensaje de encabezamiento previo a la transmisión. Cuando el mensaje es recibido se realiza el mismo cálculo y el resultado es comparado con la información registrada en el encabezamiento. Si se detectan diferencias en el proceso anterior se le solicitará al remitente que vuelva a transmitir la información.
Procedimientos de reenganche y recuperación Una interrupción del procesamiento puede originar la pérdida de las transacciones que se están procesando en ese momento, lo cual resulta especialmente grave cuando los datos son ingresados en forma interactiva y en los sistemas que utilizan un procesamiento de Riesgos y medios de control Página 11
actualización inmediata. En estas situaciones, no se dispondrá de documentos impresos de respaldo (back-up) y quedará anulada la posibilidad de determinar si una transacción fue completamente procesada antes de la interrupción. Este riesgo se podría minimizar si, por ejemplo: -
Se realiza un copiado o vuelco cíclico (dumping) de los datos permanentes a cintas o discos.
-
Se imprimen periódica o específicamente los registros de transacciones para identificar los pasos de procesamiento completados para las partidas individuales.
-
Se prueban periódicamente los procedimientos automáticos de recuperación.
Controles de corte programados Los controles para prevenir un corte incorrecto pueden ser muy variados y, particularmente importantes en los sistemas en los que: -
Los datos ingresados o generados automáticamente actualizan los archivos de datos utilizados en más de una aplicación (sistemas integrados).
-
Los programas generan automáticamente transacciones o calculan valores contables.
Se pueden utilizar como controles: -
Tablas calendario incluidas en el software de aplicación para comparaciones internas con las fechas de las transacciones.
-
Informes de las excepciones a los criterios de corte.
-
Controles de rótulos de encabezamiento de archivos para asegurarse de que al cierre de cada período contable se actualicen las versiones correctas de los archivos de datos.
-
En los sistemas contables integrados, procedimientos para asegurar que se mantenga un rastro de auditoría para los totales de control y para las transacciones individuales transferidas entre sistemas (es decir, bajo control de programas).
Actualización Batch Un programa de actualización batch ha sido representado en forma de diagrama en la página opuesta. Riesgos y medios de control Página 12
Las transacciones serán clasificadas en la misma secuencia que las cuentas en el archivo. Las transacciones para una misma cuenta deben estar también en una secuencia adecuada para el procesamiento.
Riesgos y medios de control Página 13