Post on 03-Feb-2015
AUDITORIA DE SISTEMAS
•Conceptos introductorios
•Auditoria de ambientes de sistemas de información
computarizados
•Evaluación del riesgo y el control interno en
sistemas de información computarizados
•Técnias de auditoría con ayuda de computadoras
•Algunos aspectos metodológicos
•CONCEPTOS INTRODUCTORIOS
� Examinar el sistema de control interno en general, evaluando la eficacia y eficiencia del sistema
� Estudio del sistema de control interno con el propósito de evaluar la confiabilidad de la información (controles contables) y el logro de la eficiencia de las operaciones (controles administrativos)
Objetivos:
PROCEDIMIENTOS
� Conocimiento de la empresa
� Revisión de los controles generales
� Revisión detallada de los sistemas y documentación
� Pruebas
� Evaluación del sistema
� Informes
•AUDITORIA EN SISTEMAS DE INFORMACION COMPUTARIZADOS
•Habilidad y competencia del auditor
•Planeación
� Inportancia y complejidad del procedimiento� Estructura organizacional de las actividades� Disponibilidad de los datos
�Características del control interno
0 Falta de rastro de las transacciones0 Procesamiento uniforme de transacciones0 Falta de segregación de funciones0 Potencial de errores e irregularidades0 Disminución de involucramiento humano0 Transacciones automáticas0 Dependencia de otros controles0 Potencial de incremento de la supervisión por parte de
la administración0 Potencial uso de TAACs
•EVALUACIÓN DEL RIESGO Y EL CONTROL INTERNO EN SISTEMAS DE
INFORMACION COMPUTARIZADOS
•Estructura de la organización
�Concentración de funciones y conocimiento
�Concentración de programas y datos
•Naturaleza del procesamiento
� Ausencia de documentación de entrada� Falta de rastro visible de transacciones� Falta de datos de salida visibles� Factibilidad de acceso a datos y programas de
computadora
•Aspectos de diseño y de procedimiento
� Consistencia de funcionamiento
� Procedimientos de control programados
� Actualización sencilla de una transaccion en
archivos múltiples o de base de datos
� Transacciones generadas por sistema
� Vulnerabilidad de datos y medios de
almacenamiento de programas
•Controles generales
� Controles de organización y administración� Desarrollo de sistemas de aplicación y controles de
mantenimiento� Controles de operación de computadoras� Controles de software de sistemas� Controles de entrada de datos y programas � Otras salvaguardas
0Respaldo de datos0Procedimientos de recuperación0Provisión para el procesamiento externo
•Controles de aplicación
� Controles sobre datos de entrada� contrles sobre el procesamiento y sobre archivos de
datos de la computadora� Controles sobre los datos de salida
•Revisión de controles de aplicación
� Controles manuales ejercidos por el usuario� Controles sobre los datos de salida del sistema� Procedimientos de control programados
•TECNICAS DE AUDITORIA CON AYUDA DE COMPUTADORAS (TAACs)
Software de auditoría y datos de prueba utilizados para propósitos de auditoría
� Software de auditoría
� Datos de prueba
•Software de auditoria: programas de computadoras usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia
�Programas en paquetes
�Programas escritos para un propósito determinado
�Programas de utilería
•Datos de prueba: se alimentan al sistema y se comparan los resultados con resultados predeterminados
� Prueba de controles específicos� Transacciones de prueba con determinadas
características� Transacciones de prueba para instalaciones
(unidad modelo)
•Usos de TAACs
� Pruebas de detalle de transacciones y saldos� Procedimientos de revisión analítica� Pruebas de cumplimiento de controles
generales� Pruebas de cumplimiento de controles de
aplicación
•Requisitos:
� Conocimiento, pericia y experiencia del auditor � Disponibilidad de TAACs e instalaciones
adecuadas� No factibilidad de pruebas manuales� Efectividad y eficiencia� Oportunidad
•ALGUNOS ASPECTOS METODOLOGICOS
� El objetivo primario de auditoría no cambia porque todo o parte de la información esté conservada en forma electrónica
� El alcance de la revisióndel auditor debe incluir sus sistemas, procedimientos y metodología y el control interno
� La evaluación del control interno ayuda al auditor a formarse una opinión sobre el nivel de confiabilidad a depositar en el sistema contable
•Elementos del plan de auditoría:
�Alcance�Plan de trabajo�Procedimientos�Opinión preliminar�Presentación de conclusiones�Informe con conclusiones a autoridades�Revisión final
•Necesidad de información del auditor:
� Disponibilidad, confiabilidad y origen de los
registros electrónicos� Existencia de controles internos y de seguridad� Documentación de los cambios de sistema � Reportes del sistema� Disponibilidad del auditor de hardware y software
para conducir la auditoría� Disposición de los sectores auditoría interna,
procesamiento de datos, etc.
• Evidencias de auditoríaAICPA - SAS 80
14.- … el auditor puede determinar que no es práctico o posible reducir la identificación del riesgo a un nivel aceptable, desarrollando solamente pruebas sustantivas, en una o más afirmaciones de los estados financieros
15.- alguna de la información contable y su relativa evidencia comprobatoria, está disponible solamente en forma electrónica …. Sin embargo, tal evidencia puede no ser recuperable después de un período específico de tiempo … Por lo tanto, el auditor deberá considerar el tiempo durante el cual la información existe o está disponible, para determinar la naturaleza , tiempo y extensión de sus pruebas, y si es aplicable, las pruebas de los controles.
•Funciones de control interno
� Evaluación de amenazas del sistema y análisis de riesgo
� Acceso limitado a los registros electrónicos� Autorización de acceso con códigos de seguridad� Inalterabilidad de fechas y archivos� Revisión periódica de accesos� Archivos de registros electrónicos� Preservación de integridad de los datos� Almacenamiento histórico de las transacciones � Políticas de seguridad y/o procedimientos
manuales
•Políticas y procedimientos
� Análisis de confianza en los sistemas
� Confidencialidad de la información
� Políticas relativas a la integridad de las
transacciones
� Políticas de integridad vinculadas con el personal
� Monitoreo