Embed Size (px)
Citation preview
Universidad de Buenos Aires Facultad de Ciencias Económicas
AUDITORÍA DE SISTEMAS
Profesor Titular: Contaldi, Arturo
Grupo Nro. 5
Culla Bonzini, Iara - Reg. 856695
Ibañez, Mariela Alejandra – Reg.844013
Pala Montenegro, Mónica – Reg.177609
Niño de Guzmán, Ignacio – Reg. 843177
Segundo cuatrimestre – año 2009
2
INDICE
INTRODUCCIÓN ...................................................................................................... 3 PRIMERA PARTE: “LA AUDITORÍA DE SISTEMAS” ............................................... 4 1.1 CONCEPTO ....................................................................................................... 4 1.2 OBJETIVOS DE LA AUDITORÍA DE SISTEMAS ....................................................... 4 1.3 PROCESO DE AUDITORÍA ................................................................................... 4 1.4 TIPOS DE AUDITORÍA ........................................................................................ 4 1.5 DESARROLLO DE UNA ESTRUCTURA DE CONTROL: COSTOS Y BENEFICIOS. ........... 5 1.6 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN ............................................... 5 1.7 ESTRATEGIA DE LA SEGURIDAD ......................................................................... 6 1.8 ANÁLISIS DE LOS RIESGOS ............................................................................... 6 1.9 RIESGOS Y MEDIDAS A TOMAR .......................................................................... 6 1.9.1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS ................................................... 6 1.9.1.1 Estructura organizativa y procedimientos operativos no confiables .................... 6 1.9.1.2 Procedimientos no autorizados para cambios en los programas: ....................... 7 1.9.1.3 Acceso general no autorizado, a los datos o programas de aplicación: ............... 7 1.9.2 Seguridad física .............................................................................................. 7 1.9.3 Backup y recuperación .................................................................................... 8 1.9.4 Seguridad lógica ............................................................................................. 8 1.9.5 Plan de desastre ............................................................................................. 8 1.9.6 CALIDAD DE LOS SISTEMAS ............................................................................ 8 1.9.6.1 AUDITORÍA DE LA CALIDAD DE DATOS. ......................................................... 8 1.10 EL AUDITOR DE LOS SISTEMAS DE COMPUTACIÓN ............................................. 9 1.11 LA PRE-AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN ................................... 9 PARTE II: “AUDITORÍA EN AMBIENTES COMPUTADORIZADOS” ........................ 10
2.1 INTRODUCCIÓN ............................................................................................... 10 2.2 CARACTERÍSTICAS DE LOS SISTEMAS COMPUTADORIZADOS ............................... 10 2.3 PROCESO DE AUDITORÍA .................................................................................. 11 2.4 AUDITORÍA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN ESTRATÉGICA .. 11 2.5 AUDITORÍA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN DETALLADA ...... 12 2.6 RIESGOS DE APLICACIÓN ................................................................................. 12 2.6.1 Acceso no autorizado al procesamiento y registro de datos: ............................... 12 2.6.2 Datos no correctamente ingresados al sistema: ................................................ 13 2.6.3 Datos rechazados y en suspenso no aclarados:................................................. 13 2.6.4 Procesamiento y registración de transacciones incompletos y/o inoportunos: ....... 14 2.7 AUDITORÍAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS. ........................... 14 2.7.1 Pruebas de Cumplimiento. .............................................................................. 14 2.7.1.1 Lotes de prueba ......................................................................................... 15 2.7.1.2 Minicompañía ............................................................................................. 15 2.7.2 Pruebas sustantivas. ...................................................................................... 15 2.8 PROCEDIMIENTOS ADMINISTRATIVOS ............................................................... 16 2.9 PAPELES DE TRABAJO DEL AUDITOR .................................................................. 17
CONCLUSIONES .................................................................................................. 18 BIBLIOGRAFÍA ....................................................................................................... 19
3
INTRODUCCIÓN
A finales del siglo XX, los sistemas informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para
cualquier organización empresarial: los Sistemas de Información de la empresa.
La informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de
lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma, por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.
El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas.
Establecer una directiva de auditoría es un aspecto importante en la seguridad.
Supervisar la creación o la modificación de objetos permite hacer un seguimiento de los posibles problemas de seguridad, ayuda a asegurar la responsabilidad del usuario y
proporciona pruebas en caso de producirse una infracción en la seguridad. Por otra parte, este tipo de acciones y las medidas de prevención de los riesgos que
puedan afectar a la organización, junto a la pre-auditoría, concepto que describiremos en
el trabajo, darían las condiciones adecuadas para que el auditor pueda confiar en los sistemas.
Esta confianza contribuye a la disminución de costos y tiempos en los controles que
anualmente debe realizar sobre la información contable y financiera. En este contexto podrá limitarse a la realización de un grado menor de pruebas sustantivas y en su lugar centrarse en las de cumplimiento.
Finalmente daremos un pantallazo de la conceptualización de las auditorías en ambientes computadorizados donde podremos confirmar que, de contar con lo mencionado anteriormente, la tarea se verá reducida de manera significativa.
4
PRIMERA PARTE: “LA AUDITORÍA DE SISTEMAS”
1.1 CONCEPTO
La auditoría de sistemas ha sido definida como la revisión sistemática, organizada, de los sistemas en funcionamiento.
1.2 OBJETIVOS DE LA AUDITORÍA DE SISTEMAS
Buscar una mejor relación Costo - Beneficio de los sistemas automáticos o computarizados diseñados e implementados.
Incrementar la satisfacción de los usuarios de los sistemas computarizados.
Asegurar mayor integridad y confidencialidad de la información mediante la
recomendación de seguridades y controles. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de función informática a las metas y objetivos de la organización. Minimizar riesgos en el uso de Tecnología de información.
Capacitación y educación sobre controles en los sistemas de información
1.3 PROCESO DE AUDITORÍA
La secuencia de pasos que implica llevar a cabo una auditoría, del tipo que sea, puede
variar según diferentes circunstancias. No obstante ello, usualmente se verifican tres
etapas esenciales: planificación, ejecución y conclusión. Los límites de cada etapa no son tajantes ni excluyentes. Si bien la etapa de planificación
pretende establecer todos los procedimientos de auditoría que se aplicarán durante el
examen, los resultados de las pruebas pueden hacer necesaria la modificación de la planificación efectuada, cambiando el alcance o la naturaleza de las pruebas a efectuar en etapas sucesivas.
Planificación: el objetivo último de esta etapa es la determinación del enfoque de auditoría a aplicar y su consecuencia inmediata, la selección de los procedimientos particulares a ejecutar. Esto se verá reflejado en el memorando de planificación que
documenta las consideraciones analizadas durante toda la etapa, como asimismo los respectivos programas detallados de trabajo que indican de qué forma, en qué momento
y con qué alcance se ejecutarán los procedimientos seleccionados.
Ejecución: su finalidad será la de cumplimentar los procedimientos planificados para obtener elementos de juicio válidos y suficientes para sustentar una opinión. Todos esos elementos de juicio se traducirán en papeles de trabajo que constituyen la
documentación y evidencian el examen realizado. Es de destacar que en esta etapa no sólo se realizarán los procedimientos previstos en la etapa de planificación, sino también, todas aquellas pruebas alternativas que deban efectuarse reemplazando o complementando a las originalmente planificadas, ya sea por dificultades propias de la
empresa, de los sistemas, del resultado de los procedimientos realizados o por eficiencia en el examen. Conclusión: en esta etapa se evalúan todas las evidencias obtenidas durante la etapa de
ejecución que deben permitir formar un juicio o una opinión sobre la razonabilidad de los
estados, emitiendo el respectivo informe del auditor.
1.4 TIPOS DE AUDITORÍA
Desde el punto de vista de la informática se pueden clasificar en:
5
Auditoría Informática de Explotación: se ocupa de producir resultados, tales como
listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación Informática se dispone de datos que sufren
una transformación y se someten a controles de integridad y calidad.
Auditoría Informática de Desarrollo de Proyectos o Aplicaciones: se ocupa del desarrollo de una evaluación del llamado Análisis de Programación y sistemas. Debe haber un
exigente control interno, de lo contrario, pueden producirse insatisfacciones del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la Auditoría deberá comprobar la seguridad de los programas.
Auditoría Informática de Sistemas: se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores.
Auditoría Informática de comunicación y Redes: deberá inquirir o actuar sobre índices de
utilización de las líneas contratadas con información sobre tiempos de uso, deberá conocer la topología de la red de comunicaciones. Todas las actividades deben estar coordinadas y dependientes de una sola organización.
Auditoría de la Seguridad Informática: se debe tener presente la cantidad de información almacenada en el computador, la cual puede ser confidencial, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre
todo de la destrucción parcial o total, sin olvidar los virus informáticos.
1.5 DESARROLLO DE UNA ESTRUCTURA DE CONTROL: COSTOS Y BENEFICIOS.
Seguridad: Políticas, procedimientos y medidas técnicas que se toman a fin de evitar el acceso no autorizado o la alteración, robo o daños físicos a los sistemas de información.
Es importante realizar un análisis costo/beneficio para determinar qué mecanismos de control ofrecen mayor seguridad sin menoscabar eficiencia operativa o incurrir en gastos excesivos. Uno de los criterios a tener en cuenta es la importancia de los datos. En los sistemas de finanzas y contabilidad, por ejemplo, su estándar de control debe ser más
estricto. Otro tema a analizar es que la eficacia de los costos de los controles depende también de la eficiencia, complejidad y costos de cada técnica de control. Por ejemplo, un sistema
que apoya la transferencia de fondos tendría un alto riesgo, y por tanto, necesitaría un alto nivel de seguridad.
Un tercer elemento a tener en cuenta es el nivel de riesgo. Una evaluación de riesgos se realiza para determinar la posible frecuencia de un problema y los daños que podría
causar si se presentara.
También para decidir qué controles usar los constructores de sistemas de información deben examinar diversas técnicas de control, relacionarlas y su eficacia de costos relativa.
1.6 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN
La seguridad absoluta es imposible, y ello por dos motivos: el primero de tipo práctico:
aún suponiendo que ellos fuera factible, lo sería a un costo intolerable para la entidad,
totalmente desproporcionado con respecto a los eventuales daños a soportar. El segundo es de tipo conceptual. Dado las características de los sistemas de computación la seguridad absoluta es imposible.
Los sistemas de computación deben ser protegidos de tres tipos de peligros: desastres naturales, errores y omisiones humanos y actos intencionales.
6
La seguridad en los sistemas abarca cinco funciones:
Evitar Disuadir
Prevenir Detectar
Recuperar y corregir
1.7 ESTRATEGIA DE LA SEGURIDAD
Ya se trate de actos naturales, errores u omisiones humanos y actos intencionales, cada riesgo debería ser atacado de cuatro maneras:
a. Minimizando la posibilidad de ocurrencia. b. Reduciendo al mínimo el perjuicio sufrido, si no ha podido evitarse que ocurriera.
c. Diseño de métodos para la más rápida recuperación de los daños experimentados.
d. Corrección de las medidas de seguridad en función de la experiencia recogida.
1.8 ANÁLISIS DE LOS RIESGOS
Los elementos claves en el análisis de riesgos son:
Determinación del impacto que originaría un acontecimiento. Fijación de la probabilidad de ocurrencia de un hecho, dentro de un lapso
especificado.
Una vez listados y analizados los riesgos tenemos cuatro posibilidades:
Eliminar el riesgo, con medidas adecuadas. Soportarlo o tolerarlo, con la debida conciencia, tratándose de casos en los que el
perjuicio ocasionara efectos menores. Reducirlo. Transferirlo, mediante seguros o convenios especiales.
El problema consiste en hallar una combinación de estas variables, en forma tal de
reducir los riesgos a un nivel aceptable y con costos mínimos.
1.9 RIESGOS Y MEDIDAS A TOMAR
1.9.1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS
El auditor debe evaluar los principales controles del Departamento de Sistemas. Esta evaluación es necesaria para asegurarse de que los controles o las funciones en las que intenta confiar no hayan sufrido alteraciones que reduzcan o eliminen su capacidad de
evitar o detectar errores o irregularidades, o respaldar las afirmaciones correspondientes.
Categorías:
1.9.1.1 Estructura organizativa y procedimientos operativos no confiables
Riesgo: si las funciones incompatibles del departamento de EDP no están segregadas
existe el riesgo de que ocurran errores o irregularidades que no sean detectadas durante el transcurso normal de las operaciones. Medios de control: dentro de la organización del Departamento de Sistemas es
conveniente separar las principales responsabilidades de las actividades de operación y programación.
7
Evidencia de control:
Indagación con los empleados del Departamento de Sistemas, para verificar las funciones de cada uno y sus limitaciones.
Observación y prueba de los medios existentes para la limitación del acceso físico
a las instalaciones y recursos que deben estar protegidos.
1.9.1.2 Procedimientos no autorizados para cambios en los programas:
Riesgo: los programadores pueden realizar cambios incorrectos no autorizados en el
software de aplicación, lo cual reducirá la confiabilidad de la información procesada en el sistema.
Medios de control: es esencial que los resultados de las modificaciones de programas sean revisadas por el usuario y el supervisor del programador antes de ponerlo en
funcionamiento.
Evidencia de control: una forma de probar la existencia de adecuados controles sobre el cambio a los programas es seleccionando cambios representativos y determinando si
los procedimientos de revisión y aprobación fueron cumplidos.
1.9.1.3 Acceso general no autorizado, a los datos o programas de aplicación:
Riesgo: personas no autorizadas pueden tener acceso directo a los archivos de datos o
programas de aplicación utilizados para procesar transacciones, permitiéndoles realizar cambios no autorizados a los datos o programas.
Medios de control:
Software de seguridad: además de restringir el acceso a nivel de aplicaciones,
pueden ser utilizados para controlar los riesgos de acceso general. Registro de operaciones (consola): es un registro completo de cada actividad de
procesamiento realizada en el computador.
Informes gerenciales especiales: para alertar a la gerencia sobre la existencia de actividades inusuales o no autorizadas.
Evidencia de control:
Obtener copia de las tablas de contraseñas y verificar si los usuarios con acceso a
determinadas aplicaciones guardan una lógica con sus funciones específicas. Intentar llevar a cabo violaciones a la seguridad para probar si el software de
seguridad restringe el acceso de manera efectiva.
A continuación enumeraremos medidas que deberían tomarse en otros tipos de riesgos:
1.9.2 Seguridad física:
El edificio, de ser posible, debe ser expresamente construido para el centro de cómputos.
El área del computador debe estar en un local que no sea combustible. El local del computador no debe situarse encima, debajo o adyacente a áreas
donde se procesen, fabriquen o almacenen materiales inflamables, explosivos,
gases tóxicos, etc. El espacio entre el falso suelo y el normal debe limpiarse y pintarse antes de la
instalación de los equipos.
El piso y el techo deben ser impermeables. Debe existir prohibición absoluta de fumar en el área de Proceso.
Protección contra incencios:
o Sensores de temperatura
8
o Sensores de humo
o Medios de extinción del fuego El almacenamiento de medios magnéticos deberá realizarse teniendo en cuenta la
temperatura, humedad relativa, en lugares especialmente preparados que no sean combustibles y estar a cargo de un responsable.
1.9.3 Backup y recuperación
Backups de equipos Backups de archivos maestros o bases de datos
Backups del software
1.9.4 Seguridad lógica: la seguridad lógica se refiere a los controles de software o controles internos del hardware existentes en el sistema para prevenir o detectar el
ingreso de la información no autorizada al sistema o accesos no autorizados a la
información de la empresa.
Estas medidas implican la identificación y autentificación de los usuarios al operar con el sistema. Existen diferentes métodos de definición de usuarios y claves que otorgan mayor seguridad.
1.9.5 Plan de desastre: es importante contar con un conjunto de disposiciones que contemplen todas las medidas preventivas, de recuperación y actuación del personal
afectado, ante el caso de una emergencia.
1.9.6 CALIDAD DE LOS SISTEMAS
Se basa en el uso de metodologías para asegurar la calidad del software y la mejora en la calidad de datos. Para asegurar la calidad del software se tendrán en cuenta:
Metodologías: debe conferir disciplina a todo el proceso de desarrollo. Debe
estipular documentos de requisitos y especificaciones del sistema que sean completos, detallados y exactos, además que estén en un formato que los
usuarios entiendan. Asignación de recursos: tiempos, costos de mano de obra en el desarrollo. Métricas del software: evaluaciones objetivas del software con mediciones
cuantificadas. Pruebas: se inician en la fase de diseño. Se efectúan para detectar los errores del
software. Calidad: incluye
Software de administración de proyectos Herramientas de programación
Diccionarios de datos Bibliotecas para manejar módulos de programas
Herramientas que producen códigos de programas Herramientas para automatizar pruebas
1.9.6.1 AUDITORÍA DE LA CALIDAD DE DATOS.
Es el estudio de archivos, un análisis de la calidad de los datos, que se plasma en una revisión estructurada para verificar qué tan exactos y completos son los datos en un
sistema de información. Métodos:
Encuesta a los usuarios finales consultando su opinión acerca de la calidad de los
datos.
Examinar archivos de datos externos. Examinar muestras de archivos de datos.
9
Es conveniente realizar regularmente auditorías de calidad de los datos para que las organizaciones tengan la certeza de que los datos contenidos en sus sistemas están
completos y tienen un alto nivel de exactitud.
La calidad de los sistemas de información también puede mejorarse al identificar y corregir los datos defectuosos y convertir la detección de errores en una meta de la
organización (KLEIN, GOODHUE y DAVIS, 1997). Es responsabilidad de la gerencia desarrollar la estructura de control y las normas de
calidad de la organización. La creación de niveles altos de seguridad y calidad en los sistemas de información puede ser un largo proceso de cambio en una organización.
Las pautas que establecen el análisis de la información en un sistema computarizado se desarrollan en el informe Nº6 CECYT, 1986.
1.10 EL AUDITOR DE LOS SISTEMAS DE COMPUTACIÓN
Según EL Dr. Jorge Nardelli, opinión que compartimos, el auditor debe poseer los
siguientes conocimientos:
Nociones amplias sobre procesamiento electrónico de datos y, específicamente, de
los controles a introducir en un sistema de información. Estar en condiciones de leer la codificación de un programa de computador,
desarrollado en un lenguaje simbólico. Sistemas de captura de datos.
Mini y microcomputadores, procesamiento distribuido, redes de transmisión de datos.
Organización y actualización de archivos. Modalidades de procesamiento.
Técnicas de auditoría de computador.
1.11 LA PRE-AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
Los expertos en sistemas no son especialistas en controles y no tienen por qué conocer las necesidades específicas de los auditores. Por otra parte, y desde un punto de vista
estrictamente pragmático, es muy costoso y en algunas situaciones prácticamente imposibles modificar los sistemas pura y exclusivamente para incluir en ellos algún control necesario para el auditor. Habrá que esperar, casi seguramente, alguna modificación mayor o mantenimiento del sistema.
Esto se podría evitar si se incorporaría la participación del auditor durante la etapa de diseño del sistema.
Procedimientos y actuación del auditor durante la etapa de diseño del sistema:
a. Revisión de los objetivos del sistema propuesto y el enfoque global planteado para el logro de dichos objetivos.
b. Determinar el impacto que el sistema tendrá sobre el régimen contable de la
entidad, evaluando si los errores que, eventualmente, se produzcan en el sistema
podrían tener un efecto significativo sobre los resultados (razonabilidad).
c. Evaluar los procedimientos que se seguirán para dejar adecuadamente documentado el sistema.
d. Determinar la “filosofía” general del control que imperará en el sistema.
e. Identificar las pistas de auditorías del sistema.
10
f. Determinar la naturaleza de la evidencia que para auditoría dejarán las
transacciones procesadas.
g. Examinar los procedimientos de programación y prueba a seguirse.
h. El examen de la documentación del sistema durante el desarrollo del mismo,
puede proporcionarle una idea preliminar en cuanto a los relevamientos, verificaciones o pruebas de procedimientos y las técnicas de auditoría a aplicar posteriormente, para la obtención de los elementos de juicios válidos y suficientes
exigidos por las Normas de Auditoría Generalmente Aceptadas.
i. El examen preliminar de la documentación del sistema puede ser empleado para
la formulación de un juicio previo en cuanto a la bondad de los procedimientos y proporcionar al auditor una indicación sobre aquellos controles que deberían ser
verificados (en cuanto a su existencia) y ser sometidos a un juicio posterior sobre su efectividad.
j. La actuación debería comprender (de acuerdo con la periodicidad fijada o las necesidades especiales resultantes), las etapas de diseño, programación, prueba,
conversión y paralelo (puede también ser conveniente en el período inicial del nuevo sistema), a efectos de obtener una razonable seguridad de que los cambios
no afectan adversamente la efectividad de los controles o el enfoque previo de auditoría.
PARTE II: “AUDITORÍA EN AMBIENTES COMPUTADORIZADOS”
2.1 INTRODUCCIÓN
El procesamiento electrónico de datos (EDP) ha cubierto un amplio espectro de
aplicaciones debido a dos de sus características principales: generación de información
confiable y rapidez en su elaboración.
En la década de los años 1950, en el ambiente de aplicaciones contables la información era en general procesada manualmente.
Con la evolución de la tecnología aplicada al desarrollo de equipos computadorizados se
produjeron sucesivos progresos en relación con el medio de procesamiento y lenguajes utilizados.
Dependerá de la envergadura de la organización y de la magnitud y complejidad de la
información que maneje el ente, el hecho de contar con sistemas computadorizados más o menos complejos. El uso del procesamiento electrónico de datos es hoy un medio de generación de información aplicado en la mayoría de las empresas.
Los auditores deben acostumbrarse a realizar revisiones y emitir su opinión profesional sobre datos e información que surgen de sistemas computadorizados. Auditoría: es el examen de información por parte de una tercera persona, distinta de la
que la preparó y del usuario, con la intención de establecer su razonabilidad dando a conocer los resultados de su examen, a fin de aumentar la utilidad que tal información posee.
2.2 CARACTERÍSTICAS DE LOS SISTEMAS COMPUTADORIZADOS
Características en comparación con los sistemas convencionales (manuales) enfocadas hacia la evidencia de auditoría que proporcionan:
En los sistemas computadorizados, la información almacenada y procesada está
disponible de manera tal que sólo es analizable con ayuda del computador.
11
En los sistemas computadorizados no todos los procedimientos de control se
evidencian en forma expresa. Normalmente cuando se desliza un error, éste afecta a un mayor volumen de
transacciones. Debido a la poca participación del elemento humano, ciertos tipos de errores que
se producen en los sistemas computadorizados son difícilmente detectables. El procesamiento computadorizado somete uniformemente todas las transacciones
similares a las mismas instrucciones de procesamiento; por esta causa, la posibilidad de errores al azar queda sustancialmente reducida. No obstante, cabe la posibilidad de que los datos ingresados al computador para su procesamiento
puedan incluir errores o ser incompletos. La posibilidad de que ciertos individuos accedan a los datos sin autorización, o los
alteren sin dejar evidencias visibles, puede ser mayor en los sistemas manuales, debido a que la información es almacenada electrónicamente con una menor
participación del hombre en el procesamiento, reduciéndose por consiguiente la
oportunidad e detectar manualmente los accesos no autorizados. Los sistemas computadorizados pueden permitir que se implante una segregación
de funciones incompatibles más rigurosa ya que pueden existir controles basados
en el software.
2.3 PROCESO DE AUDITORÍA
Los enfoques de auditoría que se utilizan en ambientes en los que una parte significativa de los procesos administrativos son procesados electrónicamente pueden clasificarse básicamente en:
Enfoque externo o tradicional: consiste en realizar los procedimientos de verificación utilizando los datos de entrada al sistema y someter estos datos al proceso lógico que se realiza en esa etapa específica del procesamiento. Con estos
elementos se obtienen datos de salida procesados manualmente. Esta información
manual se compara con los datos de salida que genera el sistema computadorizado y se concluye si el procesamiento electrónico arriba a resultados razonables o no. Dependerá del alcance que se le otorgue a esta prueba el grado de confianza que se obtiene sobre el sistema computadorizado.
Enfoque moderno: consiste en realizar los procedimientos de verificación del
correcto funcionamiento de los procesos computadorizados utilizando el computador. Cuando se planifica la revisión de circuitos administrativos donde las
aplicaciones contables significativas son procesadas electrónicamente, se seleccionan técnicas de auditoría que controlan la forma en que esa aplicación computadorizada funciona. No considera el procesamiento como una caja negra,
consisten en revisar los pasos de los programas, revisar la lógica del lenguaje utilizado, procesar nuevamente una determinada cantidad de operaciones a través
del propio sistema computadorizado, entre otras.
2.4 AUDITORÍA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN ESTRATÉGICA
En la etapa de planificación estratégica lo que se persigue es conocer cuáles son las características generales del ente, a los efectos de establecer una estrategia de auditoría
o un enfoque preliminar para la revisión de los estados financieros a una fecha dada. Existen específicamente dos aspectos que el auditor debe tener en cuenta:
a. Ambiente del sistema de información: está relacionado con el grado de utilización del
procesamiento electrónico de datos en aquellas aplicaciones financieras significativas. Esta información deberá ser suficiente para que el auditor pueda evaluar hasta qué punto se han computadorizado los sistemas administrativos y el grado en que las
operaciones del ente dependen de sistemas de procesamiento electrónico de datos.
Para adquirir conocimiento sobre este ambiente, los principales temas a considerar son:
12
Conocimiento de la estructura organizativa de los sistemas: para lograr esto el auditor debe comenzar por un análisis global de la estructura organizativa y
administrativa del Departamento de Sistemas. Además, es necesario identificar si se encuentra organizado en forma centralizada o descentralizada.
Conocimiento de la naturaleza de la configuración de sistemas: el auditor deberá
adquirir un conocimiento global de las características de los sistemas, un conocimiento más profundo lo deberá desarrollar durante el proceso de planificación detallada.
Alcance del procesamiento computadorizado de la información para las principales áreas de los estados financieros o tipos de transacciones. El auditor en este caso debería considerar en qué grado las principales áreas de los estados financieros son procesadas a través sistemas computadorizados. Esta información será útil
para evaluar el riesgo inherente y de control, e identificar la naturaleza de las
pruebas de auditoría a realizar.
b. Ambiente de control: está referido al conjunto de condiciones dentro de las cuales
operan los sistemas de control. Este ambiente posee una gran influencia sobre la
decisión del auditor de confiar en los controles para obtener satisfacción de auditoría. Cuando el ambiente de control es fuerte, permite al auditor depositar mayor confianza en los controles del ente a ser auditado, seleccionar controles y funciones
de procesamiento computadorizados como fuentes de satisfacción de auditoría y posiblemente reducir la cantidad de evidencia necesaria para lograr el objetivo de
auditoría. Los principales aspectos que deben ser tenidos en cuenta para evaluar la
efectividad del ambiente de control son:
El enfoque del control por parte del directorio y la gerencia superior
Organización gerencial
2.5 AUDITORÍA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN DETALLADA
El análisis de riesgos inherentes globales y del ambiente de control que se efectuaron
durante el proceso de planificación estratégica es ahora reemplazado por un análisis de riesgos en mayor detalle, para cada componente, en relación con cada una de las afirmaciones específicas y los factores específicos de riesgo. Los riesgos inherentes relacionados con las transacciones en un medio de procesamiento electrónico de datos,
pueden ser clasificados de la siguiente manera: a. Riesgos de aplicación: donde el nivel de riesgo y los controles establecidos para
reducirlo a un nivel aceptable cambian de una aplicación a otra.
b. Riegos generales del Departamento de Sistemas: donde el nivel de riesgo y los controles establecidos para reducirlo a un nivel aceptable, normalmente son similares
o iguales para todas las aplicaciones que se procesan en ese mismo ambiente, el Centro de Cómputos. (fueron desarrollados en la PARTE I de este trabajo. Cabe destacar que, de haberse realizado una correcta auditoría de sistemas e
implementado las medidas de control y seguridad adecuadas, daremos el marco de
seguridad necesario para realizar la auditoría contable en menos tiempo y con menores costos)
2.6 RIESGOS DE APLICACIÓN
2.6.1 Acceso no autorizado al procesamiento y registro de datos:
Riesgo: personas no autorizadas pueden tener acceso a las funciones de procesamiento de transacciones de los programas de aplicación o registros de datos resultantes,
permitiéndoles leer, modificar, agregar o eliminar información de los archivos de datos o
ingresar sin autorización transacciones para su procesamiento.
13
Medios de control:
segregación de funciones
controles de acceso
Evidencia de control:
segregación de funciones: la prueba de segregación de funciones puede incluir:
a. análisis de las responsabilidades de aquellos empleados a quienes se les asignan partes significativas del procesamiento de información.
b. observar a los empleados mientras desempeñan sus tareas para determinar si cumplen con las responsabilidades asignadas.
Controles de acceso: la verificación de la evidencia de adecuados procedimientos de controles de acceso pueden consistir en:
a. obtener, revisar y analizar los perfiles o tablas de seguridad del sistema de control de acceso.
b. intentar desplazarse de un menú de aplicación a otro para determinar si existe la posibilidad de realizar funciones incompatibles
c. determinar si el paquete de software de seguridad en el cual se deposita
confianza ha sido adecuadamente implantado desde el punto de vista técnico.
d. determinar la distribución de funciones.
2.6.2 Datos no correctamente ingresados al sistema:
Riesgo: los datos permanente y de transacciones ingresados para su procesamiento pueden ser imprecisos, incompletos o ser ingresados más de una vez. Para que las
transacciones sean registradas en forma precisa los datos permanente y de transacciones deben tener el formato correcto e incluir los elementos correctos, y las transacciones no
deben ser duplicadas.
Medios de control: controles sobre la precisión e integridad de los datos ingresados para el procesamiento. Los controles de validación se aplican normalmente cuando los
datos son ingresados por el usuario en una terminal.
Evidencia de control:
Verificar visualmente que durante el proceso de ingreso de datos se generen
listados de excepciones por partidas no aceptadas
Verificar que los empleados autorizados han tomado las medidas necesarias con
respecto a las excepciones o errores incluidos en los listados de excepciones de ingreso de datos.
2.6.3 Datos rechazados y en suspenso no aclarados:
Riesgo: este tipo de datos pueden no ser identificados, analizados y corregidos en forma oportuna. Ciertas transacciones pueden ser identificadas y rechazadas por los sistemas computadorizados como incorrectas o inaceptables, de acuerdo a criterio prefijados. Las
transacciones pueden ser: aceptadas por el sistema y señaladas en un informe de
excepción, o destinadas a una cuenta “en suspenso” del sistema en lugar de ser procesadas, o también pueden ser completamente rechazadas. Normalmente cuando los datos son rechazados el sistema no retiene registro alguno de la partida y
consecuentemente, el dato rechazado deberá ser controlado manualmente. El usuario es
quien debe asegurarse que todas estas transacciones sean luego corregidas. Medios de control: controles sobre las transacciones rechazadas y partidas en suspenso, cuando los datos son rechazados, se deberá crear un registro que los incluya
para que posterior corrección y procesamiento puedan ser controlados. Cuando los datos
rechazados sean ingresados nuevamente, deberán ser sometidos a los mismos controles de validación que los datos originales.
14
Evidencia de control:
Examinar las conciliaciones entre ingresos y egresos de registros efectuados por
los responsables de la aclaración de partidas en suspenso.
Verificar que estos responsables cumplan con los procedimientos de revisión y aclaración de partidas en suspenso, en forma periódica.
Obtener el listado de partidas en suspenso a una fecha dad, seleccionar una
muestra y verificar que hayan sido correctamente procesadas con posterioridad.
2.6.4 Procesamiento y registración de transacciones incompletos y/o inoportunos:
Riesgo: las transacciones reales que han sido ingresadas para su procesamiento o generadas por el sistema pueden perderse o ser procesadas o registradas en forma incompleta o inexacta o en el período contable incorrecto. Si el formato de datos es
incorrecto o no se ha verificado su consistencia con los archivos de datos existentes, es posible que los registros contables pertinentes sean actualizados en forma incorrecta o
incompleta durante el procesamiento.
Medios de control:
Controles de procesamiento por lotes y de sesión: basados en la preparación de
totales de control de campos de ingreso críticos antes del procesamiento. Estos totales de control son comparados posteriormente con los totales generados por
el sistema computadorizado.
Controles de balanceo programados: incorporados al software de aplicación para
asegurar la exactitud e integridad de la actualización de archivos y del procesamiento de informes.
Controles de transmisión de datos: producen un cálculo de prueba para ser aplicado a la información incluida en la transmisión.
Controles de reenganche y recuperación: ayudan a evitar la pérdida de transacciones durante el procesamiento si este fuera interrumpido.
Controles de corte programados: evitan un corte incorrecto y generalmente son
comparables a controles similares de un ambiente de procesamiento manual.
Controles sobre los datos generados por el sistema: incorporados a los sistemas que generan transacciones o realizan cálculos automáticamente sin un revisión por parte de una persona. Estos controles validan la veracidad y razonabilidad de
las transacciones generadas automáticamente y evitan o detectan transacciones
erróneas.
Evidencia de control: si se trata de controles por lotes sobre el ingreso de datos y ello es considerado como un control clave, puede probarse su efectividad de diferentes
maneras: recalculando los totales de control por lotes a partir de los documentos fuente;
probando los procedimiento de cancelación de documentos en vigencia; verificando, para un período seleccionado, que el área de control de datos haya comprobado la secuencia numérica de los lotes hasta su procesamiento final. En el caso de controles de sesión o
controles de balanceo programados, sólo podrán ser probados utilizando técnicas de lotes de prueba.
2.7 AUDITORÍAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS.
2.7.1 Pruebas de Cumplimiento.
15
El objetivo de estas pruebas es determinar si el sistema (como sistema en si) y más
precisamente respecto de los controles relevados, se comportan en la práctica de acuerdo a como se espera que lo hagan.
Técnicas principales:
2.7.1.1 Lotes de prueba
Propone que el auditor genere transacciones, a efectos de poner en evidencia qué relación existe cuando esas transacciones se ejecuten en el sistema (sistema real), con respecto a los resultados que se espera produzcan.
Ventajas:
- Demanda escasa habilidad técnica del auditor. - Permite probar el circuito computarizado y el administrativo.
- Posibilita una prueba cuasi completa de todas las variantes que se deseen probar. - Produce una evidencia completa de los resultados.
Desventajas:
- Exige mucho tiempo dedicado a su elaboración, al menos la primera vez.
- La prueba completa de todas las alternativas previsibles combinadas, es prácticamente irrealizable.
- Resulta difícil reproducir el ambiente operativo real. - Da una imagen del sistema en el momento de la prueba.
2.7.1.2 Minicompañía
Consiste en la incorporación, dentro de los archivos normales de la institución, de registros especialmente ingresados (dados de alta), para finalidades de auditoría. Los resultado obtenidos del proceso de los registros de auditoría, permiten que el auditor
exprese la inferencia válida que si la “minicompaía” tiene adecuadamente controlados sus
procedimientos, la “compañía” auditada también los tiene.
Ventajas: - Demanda escasa habilidad técnica del auditor.
- La prueba es concurrente con la operación (en línea u en el mismo ambiente) y es ejecutable varia veces durante un ejercicio comercial, sin preparación previa.
- Aunque los registros especiales se conocen, el auditor cuenta con la sorpresa de
su utilización.
- Se prueban situaciones de cambio, que el sistema tiene previsto resolver, por el mero transcurso del tiempo.
Desventajas: - Se pierde integridad de la base de datos.
- Pueden existir limitaciones impositivas y de otras fuentes reglamentarias. - El auditor queda comprometido con el sistema.
2.7.2 Pruebas sustantivas.
Esta auditoría trata de obtener los elementos de juicio válidos y suficientes para la emisión del Informe del Auditor.
Esta comprobación, se refiere a analizar la información procesada por el sistema. La planificación de esta tarea se orientará para que, en las revisiones, se apliquen criterios
de comparación, confirmación y razonabilidad. Técnicas principales:
Elaboración de un programa. O sistema de programas, para la ejecución de la actividad. También propone adoptar los programas existentes en la instalación, convenientemente adecuados a los objetivos del auditor.
16
Utilización de software. Específicamente desarrollado para el empleo por parte de los auditores.
2.8 PROCEDIMIENTOS ADMINISTRATIVOS
Normalmente estas actividades se desarrollan fuera del ambiente de la Tecnología
Informática. Los aspectos que se contemplan son los siguientes: 2.8.1 Informes de Auditoría: El auditor vive de sus informes. Los ítems que debe
contener un informe, se expondrán con un criterio amplio y en forma generalizada, respetando los lineamientos de la RT nº 7. 2.8.2 Planeamiento de la Actividad: La toma de conocimiento del Ente y su ambiente
podrá acelerarse, si contáramos con documentación que podría solicitarse al cliente, con antelación a la realización de una primera e ineludible visita, para comenzar a idear el Plan de Actividades y el consiguiente presupuesto.
El planeamiento de la actividad está referido a establecer un procedimiento racional que
nos permita identificar, asignar prioridades para su realización y establecer la naturaleza, extensión y oportunidad, con que deberán ser revisados los distintos aspectos de la
Tecnología Informática. Esto es, en la Auditoría sobre el Cumplimiento de los Controles existentes, identificar los
Controles generales a revisar y señalar los Sistemas Aplicativos que serán más
importantes y representativos, que aporten un mayor valor a la labor de Auditoría. En el caso de las Pruebas Sustantivas identificar en o los rubros de los estados Contables a revisar.
2.8.3 Matriz de Riesgo para los controles: Esta matriz para el análisis de riesgos está planteada para las Pruebas de Cumplimiento, ya que para las Pruebas Sustantivas, se podrá pasar directamente a la etapa de las comprobaciones, considerando que ya se han seleccionado las partidas o rubros del balance a analizar.
Esta Matriz entonces, deberá ser elaborada separadamente para:
Los Controles Generales y Los Controles sobre las aplicaciones.
La información a incluir entonces, que se vuelca en columnas, será la siguiente:
Objetivo de control
Tratamiento que se prevé le da el sistema o la organización. Riesgo advertido y calificación subjetiva del nivel del riesgo.
Recomendación de acciones a emprender para su eliminación o acotamiento, en el corto y mediano plazo.
En las filas, se ubicarán los ítems a analizar que serán distintos según los tipos de controles que se analicen.
2.8.4 Matriz para la prueba de controles: La planilla de trabajo que se propone en
este ítem, consiste en el agregado de nuevas columnas. Teniendo en consideración los aspectos que se han incluido en la planilla anterior a cada Objetivo de Control, se creará un inventario de los aspectos que se habrán de comprobar.
Conviene señalar que, sólo se habrán de comprobar aquellos aspectos que según el
relevamiento están considerados por un control dentro del sistema o la organización. Pruebas a realizar: según el conocimiento que se haya logrado del sistema, se
desprenderá qué tipo de pruebas se podrán efectuar, de acuerdo con las técnicas de
verificación disponibles, con ayuda del computador.
17
La ejecución de la prueba, considerará que el aplicativo a considerar se ha seleccionado
en función de su riesgo.
Luego de desarrollada la prueba, se completará la Matriz de Prueba antes elaborada, con los siguientes elementos:
Observaciones: que recogerá los resultados de las comprobaciones, con el detalle
adecuado para que ya se obtengan elementos de juicio, útil para la redacción del Informe.
Relación a los papeles de trabajo: que referenciarán a los elementos de la prueba
que estarán archivados por separado de la matriz perfectamente ordenados y relacionados.
2.9 PAPELES DE TRABAJO DEL AUDITOR
Como corolario de todos los aspectos mencionados, nos resta referirnos a los medios de respaldo que quedan en poder del auditor. Luego que éste ha emitido los documentos resultantes de su actividad. A estos medios de respaldo se los conoce genéricamente como “Papeles de Trabajo”.
Papeles de trabajo son todos aquellos objetos, documentos, listados y otras registraciones donde constan las tareas realizadas, elementos de juicio obtenidos y las
conclusiones a las que arribó el auditor. Históricamente se han entendido como papeles de trabajo los soportes en papel donde
figuran las anotaciones y cualquier otro vuelco de ideas surgidas del trabajo desarrollado.
Ante el avance tecnológico estos elementos pueden estar compuestos por otros medios tales como diskettes, cassetes, discos compactos, etc. Siempre que los mismos resulten
aptos para sustentar la evidencia que de ellos se pretenda obtener.
La RT nº 7 establece en el acápite B –Normas para el Desarrollo de la auditoría, en el ítem Papeles de Trabajo.
18
CONCLUSIONES
Si bien la empresa que ha implementado sistemas computadorizados para el proceso de
las operaciones diarias de la organización, podría optar por no realizar las auditorías de
sistema, tal como hemos descripto en la primera parte de este trabajo. De optar por la opción de no realizarla, al momento de tener que analizar los estados
contables debería realizar una innumerable cantidad de pruebas, tanto de cumplimiento como sustantivas, desaprovechando las facilidades y utilidades que hoy pone a
disposición la tecnología.
Con esto, la empresa incurriría anualmente en costos altísimos tanto por tener un sistema (costo de mantenimiento), en el que no confía, como por tener que analizar la
información generada por éste sin considerarlo.
De nada sirve implementar este tipo de sistemas si no vamos a realizarles un seguimiento, con control de su funcionamiento, que nos permita verificar que los resultados que nos muestra son útiles para la toma de decisiones.
Por otra parte, tampoco es útil que confiemos ciegamente en estos sistemas y no los protejamos de factores externos al mismo como humanos, accidentes, etc, que puedan comprometer su integridad.
La importancia de la información que hoy guardamos en el “ciberespacio” y el perjuicio que su pérdida podría causarnos, motiva tomar medidas de seguridad que intenten prevenir este tipo de situaciones.
19
BIBLIOGRAFÍA
AUDITORÍA Y SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN – Jorge Nardelli – Editorial Cangallo SA.- Segunda edición 1992
AUDITORÍA: UN NUEVO ENFOQUE EMPRESARIAL – Carlos A. Slosse y otros – Editorial Macchi.- 1990 GUIA PRÁCTICA PROFESIONAL – Lepoldo Cansler.- Primera Edición, agosto 2003
KENNETH C. LAUDON New York University JANE P. LAUDON Azimuth Information Systems SISTEMAS DE INFORMACIÓN GERENCIAL: Organización y tecnología de la empresa conectada en red - 6ta edición, Pearson educación
CECYT FEDERACIÓN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONÓMICAS. INFORME NRO. 6. Auditoría de Estados Contables en un contexto computadorizado.- Primera Edición 1986
CECYT FEDERACIÓN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONÓMICAS. Informe Nro. 15 CECYT “Auditoría en ambientes computadorizados”
RT Nro. 7 – FACPCE (1985)
20
ANEXO – NORMATIVA APLICABLE
RT Nro. 7 – FACPCE (1985) Las normas incluidas en este informe abarcan aquellas aplicables a la auditoría en
general y, en particular, las concernientes a la auditoría externa de los estados contables,
con la finalidad de asegurar un necesario grado de confiabilidad de la información contable. Informe Nro. 6 CECYT “Pautas para el examen de estados contables en un
contexto computadorizado” Brinda un conjunto de pautas referenciales para la evaluación de las actividades de control (control interno) y la obtención de evidencia en un contexto computadorizado, como tareas integrantes del examen de estados contables destinado a emitir un informe
sobre la razonabilidad con la que éstos presentan la situación del ente. Informe Nro. 15 CECYT “Auditoría en ambientes computadorizados”
Este informe tiene como finalidad facilitar la comprensión de los procedimientos de auditoría en ambientes computadorizados para obtener comprobaciones válidas y
suficientes respecto de las afirmaciones contenidas y la información expuesta en los estados contables.
También desarrolla procedimientos para evaluar el cumplimiento de los controles, la detección de riesgos y la validez de los saldos en los ambientes en los que se utilizan los
Sistemas de información contable.
