AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno en sistemas de información computarizados Técnias de auditoría con ayuda de computadoras Algunos aspectos metodológicos
CONCEPTOS INTRODUCTORIOS Examinar el sistema de control interno en general, evaluando la eficacia y eficiencia del sistema Estudio del sistema de control interno con el propósito de evaluar la confiabilidad de la información (controles contables) y el logro de la eficiencia de las operaciones (controles administrativos) Objetivos:
PROCEDIMIENTOS Conocimiento de la empresa Revisión de los controles generales Revisión detallada de los sistemas y documentación Pruebas Evaluación del sistema Informes
AUDITORIA EN SISTEMAS DE INFORMACION COMPUTARIZADOS Habilidad y competencia del auditor Planeación Inportancia y complejidad del procedimiento Estructura organizacional de las actividades Disponibilidad de los datos
Características del control interno Falta de rastro de las transacciones Procesamiento uniforme de transacciones Falta de segregación de funciones Potencial de errores e irregularidades Disminución de involucramiento humano Transacciones automáticas Dependencia de otros controles Potencial de incremento de la supervisión por parte de la administración Potencial uso de TAACs
EVALUACIÓN DEL RIESGO Y EL CONTROL INTERNO EN SISTEMAS DE INFORMACION COMPUTARIZADOS Estructura de la organización Concentración de funciones y conocimiento Concentración de programas y datos
Naturaleza del procesamiento Ausencia de documentación de entrada Falta de rastro visible de transacciones Falta de datos de salida visibles Factibilidad de acceso a datos y programas de computadora
Aspectos de diseño y de procedimiento Consistencia de funcionamiento Procedimientos de control programados Actualización sencilla de una transaccion en archivos múltiples o de base de datos Transacciones generadas por sistema Vulnerabilidad de datos y medios de almacenamiento de programas
Controles generales Controles de organización y administración Desarrollo de sistemas de aplicación y controles de mantenimiento Controles de operación de computadoras Controles de software de sistemas Controles de entrada de datos y programas Otras salvaguardas Respaldo de datos Procedimientos de recuperación Provisión para el procesamiento externo
Controles de aplicación Controles sobre datos de entrada contrles sobre el procesamiento y sobre archivos de datos de la computadora Controles sobre los datos de salida Revisión de controles de aplicación Controles manuales ejercidos por el usuario Controles sobre los datos de salida del sistema Procedimientos de control programados
TECNICAS DE AUDITORIA CON AYUDA DE COMPUTADORAS (TAACs) Software de auditoría y datos de prueba utilizados para propósitos de auditoría Software de auditoría Datos de prueba
Software de auditoria: programas de computadoras usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia Programas en paquetes Programas escritos para un propósito determinado Programas de utilería
Datos de prueba: se alimentan al sistema y se comparan los resultados con resultados predeterminados Prueba de controles específicos Transacciones de prueba con determinadas características Transacciones de prueba para instalaciones (unidad modelo)
Usos de TAACs Pruebas de detalle de transacciones y saldos Procedimientos de revisión analítica Pruebas de cumplimiento de controles generales Pruebas de cumplimiento de controles de aplicación
Requisitos: Conocimiento, pericia y experiencia del auditor Disponibilidad de TAACs e instalaciones adecuadas No factibilidad de pruebas manuales Efectividad y eficiencia Oportunidad
ALGUNOS ASPECTOS METODOLOGICOS El objetivo primario de auditoría no cambia porque todo o parte de la información esté conservada en forma electrónica El alcance de la revisióndel auditor debe incluir sus sistemas, procedimientos y metodología y el control interno La evaluación del control interno ayuda al auditor a formarse una opinión sobre el nivel de confiabilidad a depositar en el sistema contable
Elementos del plan de auditoría: Alcance Plan de trabajo Procedimientos Opinión preliminar Presentación de conclusiones Informe con conclusiones a autoridades Revisión final
Necesidad de información del auditor: Disponibilidad, confiabilidad y origen de los registros electrónicos Existencia de controles internos y de seguridad Documentación de los cambios de sistema Reportes del sistema Disponibilidad del auditor de hardware y software para conducir la auditoría Disposición de los sectores auditoría interna, procesamiento de datos, etc.
Evidencias de auditoríaAICPA – SAS 80 14.- … el auditor puede determinar que no es práctico o posible reducir la identificación del riesgo a un nivel aceptable, desarrollando solamente pruebas sustantivas, en una o más afirmaciones de los estados financieros
15.- alguna de la información contable y su relativa evidencia comprobatoria, está disponible solamente en forma electrónica …. Sin embargo, tal evidencia puede no ser recuperable después de un período específico de tiempo … Por lo tanto, el auditor deberá considerar el tiempo durante el cual la información existe o está disponible, para determinar la naturaleza , tiempo y extensión de sus pruebas, y si es aplicable, las pruebas de los controles.
Funciones de control interno Evaluación de amenazas del sistema y análisis de riesgo Acceso limitado a los registros electrónicos Autorización de acceso con códigos de seguridad Inalterabilidad de fechas y archivos Revisión periódica de accesos Archivos de registros electrónicos Preservación de integridad de los datos Almacenamiento histórico de las transacciones Políticas de seguridad y/o procedimientos manuales
Políticas y procedimientos Análisis de confianza en los sistemas Confidencialidad de la información Políticas relativas a la integridad de las transacciones Políticas de integridad vinculadas con el personal Monitoreo