Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AUDITORÍA DE SISTEMAS
Grupo Nro. 5
Culla Bonzini, Iara - Reg. 856695
Ibañez, Mariela Alejandra – Reg.844013
Pala Montenegro, Mónica – Reg.177609
Niño de Guzmán, Ignacio – Reg. 843177
INTRODUCCIÓN...................................................................................................... 3
CONCLUSIONES ..................................................................................................18
BIBLIOGRAFÍA ....................................................................................................... 19
2
INTRODUCCIÓN
A finales del siglo XX, los sistemas informáticos se han constituido en las herramientas
más poderosas para materializar uno de los conceptos más vitales y necesarios para
cualquier organización empresarial: los Sistemas de Información de la empresa.
La informática hoy, está subsumida en la gestión integral de la empresa, y por eso las
normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los
generales de la misma. En consecuencia, las organizaciones informáticas forman parte de
lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la
Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero
no decide por sí misma, por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoria Informática.
Por otra parte, este tipo de acciones y las medidas de prevención de los riesgos que
puedan afectar a la organización, junto a la pre-auditoría, concepto que describiremos en
el trabajo, darían las condiciones adecuadas para que el auditor pueda confiar en los
sistemas.
3
PRIMERA PARTE: “LA AUDITORÍA DE SISTEMAS”
1.1 CONCEPTO
Los límites de cada etapa no son tajantes ni excluyentes. Si bien la etapa de planificación
pretende establecer todos los procedimientos de auditoría que se aplicarán durante el
examen, los resultados de las pruebas pueden hacer necesaria la modificación de la
planificación efectuada, cambiando el alcance o la naturaleza de las pruebas a efectuar
en etapas sucesivas.
Conclusión: en esta etapa se evalúan todas las evidencias obtenidas durante la etapa de
ejecución que deben permitir formar un juicio o una opinión sobre la razonabilidad de los
estados, emitiendo el respectivo informe del auditor.
4
Auditoría Informática de Explotación: se ocupa de producir resultados, tales como
listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de
procesos, etc. Para realizar la explotación Informática se dispone de datos que sufren
una transformación y se someten a controles de integridad y calidad.
Otro tema a analizar es que la eficacia de los costos de los controles depende también de
la eficiencia, complejidad y costos de cada técnica de control. Por ejemplo, un sistema
que apoya la transferencia de fondos tendría un alto riesgo, y por tanto, necesitaría un
alto nivel de seguridad.
También para decidir qué controles usar los constructores de sistemas de información
deben examinar diversas técnicas de control, relacionarlas y su eficacia de costos
relativa.
Los sistemas de computación deben ser protegidos de tres tipos de peligros: desastres
naturales, errores y omisiones humanos y actos intencionales.
5
La seguridad en los sistemas abarca cinco funciones:
6
Evidencia de control:
Indagación con los empleados del Departamento de Sistemas, para verificar las
funciones de cada uno y sus limitaciones.
Observación y prueba de los medios existentes para la limitación del acceso físico
a las instalaciones y recursos que deben estar protegidos.
Medios de control:
Evidencia de control:
Obtener copia de las tablas de contraseñas y verificar si los usuarios con acceso a
determinadas aplicaciones guardan una lógica con sus funciones específicas.
Intentar llevar a cabo violaciones a la seguridad para probar si el software de
seguridad restringe el acceso de manera efectiva.
7
o Sensores de humo
o Medios de extinción del fuego
El almacenamiento de medios magnéticos deberá realizarse teniendo en cuenta la
temperatura, humedad relativa, en lugares especialmente preparados que no
sean combustibles y estar a cargo de un responsable.
Métodos:
Encuesta a los usuarios finales consultando su opinión acerca de la calidad de los
datos.
Examinar archivos de datos externos.
Examinar muestras de archivos de datos.
8
Es conveniente realizar regularmente auditorías de calidad de los datos para que las
organizaciones tengan la certeza de que los datos contenidos en sus sistemas están
completos y tienen un alto nivel de exactitud.
9
f. Determinar la naturaleza de la evidencia que para auditoría dejarán las
transacciones procesadas.
g. Examinar los procedimientos de programación y prueba a seguirse.
h. El examen de la documentación del sistema durante el desarrollo del mismo,
puede proporcionarle una idea preliminar en cuanto a los relevamientos,
verificaciones o pruebas de procedimientos y las técnicas de auditoría a aplicar
posteriormente, para la obtención de los elementos de juicios válidos y suficientes
exigidos por las Normas de Auditoría Generalmente Aceptadas.
i. El examen preliminar de la documentación del sistema puede ser empleado para
la formulación de un juicio previo en cuanto a la bondad de los procedimientos y
proporcionar al auditor una indicación sobre aquellos controles que deberían ser
verificados (en cuanto a su existencia) y ser sometidos a un juicio posterior sobre
su efectividad.
j. La actuación debería comprender (de acuerdo con la periodicidad fijada o las
necesidades especiales resultantes), las etapas de diseño, programación, prueba,
conversión y paralelo (puede también ser conveniente en el período inicial del
nuevo sistema), a efectos de obtener una razonable seguridad de que los cambios
no afectan adversamente la efectividad de los controles o el enfoque previo de
auditoría.
2.1 INTRODUCCIÓN
El procesamiento electrónico de datos (EDP) ha cubierto un amplio espectro de
aplicaciones debido a dos de sus características principales: generación de información
confiable y rapidez en su elaboración.
10
En los sistemas computadorizados no todos los procedimientos de control se
evidencian en forma expresa.
Normalmente cuando se desliza un error, éste afecta a un mayor volumen de
transacciones.
Debido a la poca participación del elemento humano, ciertos tipos de errores que
se producen en los sistemas computadorizados son difícilmente detectables.
El procesamiento computadorizado somete uniformemente todas las transacciones
similares a las mismas instrucciones de procesamiento; por esta causa, la
posibilidad de errores al azar queda sustancialmente reducida. No obstante, cabe
la posibilidad de que los datos ingresados al computador para su procesamiento
puedan incluir errores o ser incompletos.
La posibilidad de que ciertos individuos accedan a los datos sin autorización, o los
alteren sin dejar evidencias visibles, puede ser mayor en los sistemas manuales,
debido a que la información es almacenada electrónicamente con una menor
participación del hombre en el procesamiento, reduciéndose por consiguiente la
oportunidad e detectar manualmente los accesos no autorizados.
Los sistemas computadorizados pueden permitir que se implante una segregación
de funciones incompatibles más rigurosa ya que pueden existir controles basados
en el software.
a. Ambiente del sistema de información: está relacionado con el grado de utilización del
procesamiento electrónico de datos en aquellas aplicaciones financieras significativas.
Esta información deberá ser suficiente para que el auditor pueda evaluar hasta qué
punto se han computadorizado los sistemas administrativos y el grado en que las
operaciones del ente dependen de sistemas de procesamiento electrónico de datos.
Para adquirir conocimiento sobre este ambiente, los principales temas a considerar
son:
11
Conocimiento de la estructura organizativa de los sistemas: para lograr esto el
auditor debe comenzar por un análisis global de la estructura organizativa y
administrativa del Departamento de Sistemas. Además, es necesario identificar si
se encuentra organizado en forma centralizada o descentralizada.
12
Medios de control:
segregación de funciones
controles de acceso
Evidencia de control:
segregación de funciones: la prueba de segregación de funciones puede incluir:
a. análisis de las responsabilidades de aquellos empleados a quienes se les
asignan partes significativas del procesamiento de información.
b. observar a los empleados mientras desempeñan sus tareas para
determinar si cumplen con las responsabilidades asignadas.
Controles de acceso: la verificación de la evidencia de adecuados procedimientos
de controles de acceso pueden consistir en:
a. obtener, revisar y analizar los perfiles o tablas de seguridad del sistema de
control de acceso.
b. intentar desplazarse de un menú de aplicación a otro para determinar si
existe la posibilidad de realizar funciones incompatibles
c. determinar si el paquete de software de seguridad en el cual se deposita
confianza ha sido adecuadamente implantado desde el punto de vista
técnico.
d. determinar la distribución de funciones.
Evidencia de control:
Verificar visualmente que durante el proceso de ingreso de datos se generen
listados de excepciones por partidas no aceptadas
Verificar que los empleados autorizados han tomado las medidas necesarias con
respecto a las excepciones o errores incluidos en los listados de excepciones de
ingreso de datos.
13
Evidencia de control:
Examinar las conciliaciones entre ingresos y egresos de registros efectuados por
los responsables de la aclaración de partidas en suspenso.
Verificar que estos responsables cumplan con los procedimientos de revisión y
aclaración de partidas en suspenso, en forma periódica.
Obtener el listado de partidas en suspenso a una fecha dad, seleccionar una
muestra y verificar que hayan sido correctamente procesadas con posterioridad.
Medios de control:
Controles de procesamiento por lotes y de sesión: basados en la preparación de
totales de control de campos de ingreso críticos antes del procesamiento. Estos
totales de control son comparados posteriormente con los totales generados por
el sistema computadorizado.
Controles de balanceo programados: incorporados al software de aplicación para
asegurar la exactitud e integridad de la actualización de archivos y del
procesamiento de informes.
Controles de transmisión de datos: producen un cálculo de prueba para ser
aplicado a la información incluida en la transmisión.
Controles de reenganche y recuperación: ayudan a evitar la pérdida de
transacciones durante el procesamiento si este fuera interrumpido.
Controles de corte programados: evitan un corte incorrecto y generalmente son
comparables a controles similares de un ambiente de procesamiento manual.
Controles sobre los datos generados por el sistema: incorporados a los sistemas
que generan transacciones o realizan cálculos automáticamente sin un revisión
por parte de una persona. Estos controles validan la veracidad y razonabilidad de
las transacciones generadas automáticamente y evitan o detectan transacciones
erróneas.
Evidencia de control: si se trata de controles por lotes sobre el ingreso de datos y ello
es considerado como un control clave, puede probarse su efectividad de diferentes
maneras: recalculando los totales de control por lotes a partir de los documentos fuente;
probando los procedimiento de cancelación de documentos en vigencia; verificando, para
un período seleccionado, que el área de control de datos haya comprobado la secuencia
numérica de los lotes hasta su procesamiento final. En el caso de controles de sesión o
controles de balanceo programados, sólo podrán ser probados utilizando técnicas de lotes
de prueba.
14
El objetivo de estas pruebas es determinar si el sistema (como sistema en si) y más
precisamente respecto de los controles relevados, se comportan en la práctica de
acuerdo a como se espera que lo hagan.
Técnicas principales:
Ventajas:
- Demanda escasa habilidad técnica del auditor.
- Permite probar el circuito computarizado y el administrativo.
- Posibilita una prueba cuasi completa de todas las variantes que se deseen probar.
- Produce una evidencia completa de los resultados.
Desventajas:
- Exige mucho tiempo dedicado a su elaboración, al menos la primera vez.
- La prueba completa de todas las alternativas previsibles combinadas, es
prácticamente irrealizable.
- Resulta difícil reproducir el ambiente operativo real.
- Da una imagen del sistema en el momento de la prueba.
2.7.1.2 Minicompañía
Consiste en la incorporación, dentro de los archivos normales de la institución, de
registros especialmente ingresados (dados de alta), para finalidades de auditoría.
Los resultado obtenidos del proceso de los registros de auditoría, permiten que el auditor
exprese la inferencia válida que si la “minicompaía” tiene adecuadamente controlados sus
procedimientos, la “compañía” auditada también los tiene.
Ventajas:
- Demanda escasa habilidad técnica del auditor.
- La prueba es concurrente con la operación (en línea u en el mismo ambiente) y es
ejecutable varia veces durante un ejercicio comercial, sin preparación previa.
- Aunque los registros especiales se conocen, el auditor cuenta con la sorpresa de
su utilización.
- Se prueban situaciones de cambio, que el sistema tiene previsto resolver, por el
mero transcurso del tiempo.
Desventajas:
- Se pierde integridad de la base de datos.
- Pueden existir limitaciones impositivas y de otras fuentes reglamentarias.
- El auditor queda comprometido con el sistema.
Técnicas principales:
15
Utilización de software. Específicamente desarrollado para el empleo por parte de los
auditores.
Esto es, en la Auditoría sobre el Cumplimiento de los Controles existentes, identificar los
Controles generales a revisar y señalar los Sistemas Aplicativos que serán más
importantes y representativos, que aporten un mayor valor a la labor de Auditoría.
En el caso de las Pruebas Sustantivas identificar en o los rubros de los estados Contables
a revisar.
2.8.3 Matriz de Riesgo para los controles: Esta matriz para el análisis de riesgos está
planteada para las Pruebas de Cumplimiento, ya que para las Pruebas Sustantivas, se
podrá pasar directamente a la etapa de las comprobaciones, considerando que ya se han
seleccionado las partidas o rubros del balance a analizar.
16
La ejecución de la prueba, considerará que el aplicativo a considerar se ha seleccionado
en función de su riesgo.
Históricamente se han entendido como papeles de trabajo los soportes en papel donde
figuran las anotaciones y cualquier otro vuelco de ideas surgidas del trabajo desarrollado.
Ante el avance tecnológico estos elementos pueden estar compuestos por otros medios
tales como diskettes, cassetes, discos compactos, etc. Siempre que los mismos resulten
aptos para sustentar la evidencia que de ellos se pretenda obtener.
17
CONCLUSIONES
De optar por la opción de no realizarla, al momento de tener que analizar los estados
contables debería realizar una innumerable cantidad de pruebas, tanto de cumplimiento
como sustantivas, desaprovechando las facilidades y utilidades que hoy pone a
disposición la tecnología.
Con esto, la empresa incurriría anualmente en costos altísimos tanto por tener un
sistema (costo de mantenimiento), en el que no confía, como por tener que analizar la
información generada por éste sin considerarlo.
Por otra parte, tampoco es útil que confiemos ciegamente en estos sistemas y no los
protejamos de factores externos al mismo como humanos, accidentes, etc, que puedan
comprometer su integridad.
18
BIBLIOGRAFÍA
19
ANEXO – NORMATIVA APLICABLE
20