AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de
ambientes de sistemas de información computarizados
Evaluación del riesgo y el control interno en sistemas de
información computarizados Técnias de
auditoría con ayuda de computadoras Algunos aspectos
metodológicos
CONCEPTOS INTRODUCTORIOS Examinar el sistema de control interno
en general, evaluando la eficacia y eficiencia del sistema
Estudio del sistema de control interno con el propósito de
evaluar la confiabilidad de la información (controles
contables) y el logro de la eficiencia de las operaciones
(controles administrativos) Objetivos:
PROCEDIMIENTOS Conocimiento de la empresa Revisión de los
controles generales Revisión detallada de los sistemas y
documentación Pruebas Evaluación del sistema
Informes
AUDITORIA EN SISTEMAS DE INFORMACION COMPUTARIZADOS Habilidad y
competencia del auditor Planeación Inportancia y
complejidad del procedimiento Estructura organizacional de las
actividades Disponibilidad de los datos
Características del control interno Falta de rastro de las
transacciones Procesamiento uniforme de transacciones Falta de
segregación de funciones Potencial de errores e
irregularidades Disminución de involucramiento humano
Transacciones automáticas Dependencia de otros controles
Potencial de incremento de la supervisión por parte de la
administración Potencial uso de TAACs
EVALUACIÓN DEL RIESGO Y EL CONTROL INTERNO EN SISTEMAS DE
INFORMACION COMPUTARIZADOS Estructura de la organización
Concentración de funciones y conocimiento
Concentración de programas y datos
Naturaleza del procesamiento Ausencia de documentación de
entrada Falta de rastro visible de transacciones Falta de datos
de salida visibles Factibilidad de acceso a datos y programas de
computadora
Aspectos de diseño y de procedimiento Consistencia de
funcionamiento Procedimientos de control programados
Actualización sencilla de una transaccion en archivos
múltiples o de base de datos Transacciones generadas por
sistema Vulnerabilidad de datos y medios de almacenamiento de
programas
Controles generales Controles de organización y
administración Desarrollo de sistemas de aplicación
y controles de mantenimiento Controles de operación de
computadoras Controles de software de sistemas Controles de
entrada de datos y programas Otras salvaguardas Respaldo de datos
Procedimientos de recuperación Provisión para el
procesamiento externo
Controles de aplicación Controles sobre datos de entrada
contrles sobre el procesamiento y sobre archivos de datos de la
computadora Controles sobre los datos de salida Revisión
de controles de aplicación Controles manuales ejercidos
por el usuario Controles sobre los datos de salida del sistema
Procedimientos de control programados
TECNICAS DE AUDITORIA CON AYUDA DE COMPUTADORAS (TAACs) Software
de auditoría y datos de prueba utilizados para
propósitos de auditoría Software de
auditoría Datos de prueba
Software de auditoria: programas de computadoras usados por el
auditor, como parte de sus procedimientos de auditoría,
para procesar datos de importancia Programas en paquetes
Programas escritos para un propósito determinado Programas
de utilería
Datos de prueba: se alimentan al sistema y se comparan los
resultados con resultados predeterminados Prueba de controles
específicos Transacciones de prueba con determinadas
características Transacciones de prueba para instalaciones
(unidad modelo)
Usos de TAACs Pruebas de detalle de transacciones y saldos
Procedimientos de revisión analítica Pruebas de
cumplimiento de controles generales Pruebas de cumplimiento de
controles de aplicación
Requisitos: Conocimiento, pericia y experiencia del auditor
Disponibilidad de TAACs e instalaciones adecuadas No factibilidad
de pruebas manuales Efectividad y eficiencia Oportunidad
ALGUNOS ASPECTOS METODOLOGICOS El objetivo primario de
auditoría no cambia porque todo o parte de la
información esté conservada en forma
electrónica El alcance de la revisióndel auditor
debe incluir sus sistemas, procedimientos y metodología y
el control interno La evaluación del control interno ayuda
al auditor a formarse una opinión sobre el nivel de
confiabilidad a depositar en el sistema contable
Elementos del plan de auditoría: Alcance Plan de trabajo
Procedimientos Opinión preliminar Presentación de
conclusiones Informe con conclusiones a autoridades
Revisión final
Necesidad de información del auditor: Disponibilidad,
confiabilidad y origen de los registros electrónicos
Existencia de controles internos y de seguridad
Documentación de los cambios de sistema Reportes del
sistema Disponibilidad del auditor de hardware y software para
conducir la auditoría Disposición de los sectores
auditoría interna, procesamiento de datos, etc.
Evidencias de auditoríaAICPA – SAS 80 14.- … el
auditor puede determinar que no es práctico o posible
reducir la identificación del riesgo a un nivel aceptable,
desarrollando solamente pruebas sustantivas, en una o más
afirmaciones de los estados financieros
15.- alguna de la información contable y su relativa
evidencia comprobatoria, está disponible solamente en
forma electrónica …. Sin embargo, tal evidencia
puede no ser recuperable después de un período
específico de tiempo … Por lo tanto, el auditor
deberá considerar el tiempo durante el cual la
información existe o está disponible, para
determinar la naturaleza , tiempo y extensión de sus
pruebas, y si es aplicable, las pruebas de los controles.
Funciones de control interno Evaluación de amenazas del
sistema y análisis de riesgo Acceso limitado a los
registros electrónicos Autorización de acceso con
códigos de seguridad Inalterabilidad de fechas y archivos
Revisión periódica de accesos Archivos de registros
electrónicos Preservación de integridad de los
datos Almacenamiento histórico de las transacciones
Políticas de seguridad y/o procedimientos manuales
Políticas y procedimientos Análisis de confianza en
los sistemas Confidencialidad de la información
Políticas relativas a la integridad de las transacciones
Políticas de integridad vinculadas con el personal
Monitoreo