Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006.
Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur
Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. Planificacin de una Auditora Planificacin de una Auditora Mg. Elsa Estvez Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur 2do. Cuatrimestre 2006 T. 2 Felicitaciones!!! Lo han designado Gerente del Departamento de Auditora de la Empresa X. La empresa posee: 520 programadores y analistas 1245 PCs conectadas en red 5378 bases de datos. Pregunta: cmo puede ejecutar la auditora, de tal forma de obtener una seguridad razonable sobre: 1) la salvaguarda de activos en el procesamiento de datos, 2) integridad de los datos, 3) la eficiencia y eficacia de los sistemas ? Motivacin T. 3 Solucin Implementar sistemas de control. 1) saber qu es un control y cmo funcionan los controles 2) determinar qu controlar 3) estimar la confiabilidad de los controles 4) estimar el riesgo de la auditora T. 4 La Naturaleza de los Controles Hay tres aspectos claves en esta definicin: 1) un control es un sistema 2) eventos ilegales 3) los controles son usados para prevenir, detectar o corregir eventos ilegales. Definicin. Un control es un sistema que previene, detecta, o corrige eventos ilegales. T. 5 Un Control es un Sistema Una password, es un control ? Habitualmente, tendemos a nombrar los controles, teniendo en cuenta slo un aspecto del control. Una password se convierte en control, slo en el contexto de un sistema que asegure: 1) seguridad para elegir passwords, 2) correcta validacin de passwords, 3) almacenamiento seguro de las passwords, 4) seguimiento en el uso indebido de passwords 5) ... T. 6 Se Controlan Eventos Ilegales Cmo puede surgir un evento ilegal? 1) si se ingresan al sistema inputs no autorizados, inexactos, incompletos, redundantes, ineficaces o ineficientes, 2) si el sistema transforma el input de una manera no autorizada, inexacta, incompleta, ineficiente o ineficaz Ejemplos: 1) inputs incorrectos en un programa interactivo. 2) un programa que contiene instrucciones errneas que resultan en una ejecucin incorrecta. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 7 Ejemplos de Tipos de Controles Control Preventivo: instrucciones de cmo completar un formulario. Nota: las instrucciones no son el control. Control Detectivo: un programa que valida datos de input, rechazando los errneos. Control Correctivo: un programa que detecta el ruido en comunicaciones y permite corregir datos corruptos. T. 8 Objetivo de la Auditora Reducir las prdidas esperadas por eventos ilegales mediante: 1) controles preventivos: reducen la probabilidad que estos eventos ocurran. 2) controles detectivos y correctivos: reducen la cantidad de prdidas cuando los eventos ilegales ocurren. La tarea del auditor es determinar si los controles estn ubicados y funcionan para prevenir los eventos ilegales. T. 9 Cmo administrar la complejidad Para administrar la complejidad, se sugiere: 1) factorizar el sistema en subsistemas 2) determinar la confiabilidad de cada subsistema, y las implicancias de cada uno de ellos en el nivel de confiabilidad general del sistema. T. 10 Factorizacin El primer paso para comprender un sistema complejo es particionarlo en subsistemas. Un subsistema es un componente de un sistema que: 1) realiza ciertas funciones bsicas necesarias para el sistema en general, 2) le permite atender sus objetivos fundamentales. Los subsistemas son componentes lgicas y no fsicas. El proceso de particionar en subsistemas se denomina factorizacin. T. 11 Cmo Factorizar Para poder factorizar, se necesita un criterio. Criterio: La esencia de un subsistema es la funcin que realiza. Los auditores deben identificar primero, las principales funciones que el sistema realiza para cumplir sus objetivos. El proceso de factorizacin termina cuando se ha particionado el sistema en partes lo suficientemente pequeas, de tal modo que puedan ser entendidas y evaluadas. T. 12 Otros Criterios para Factorizar Adems de las funciones, existen otras dos guas: 1) acoplamiento 2) cohesin Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 13 Acoplamiento Cada subsistema debera ser relativamente independiente de otros subsistemas. Si esto se cumple, el subsistema est poco acoplado. Sistemas con poco acoplamiento son ms fciles de comprender. T. 14 Cohesin Cada subsistema debe ser internamente cohesivo. Todas las actividades realizadas por el sistema apuntan a cumplir la funcin principal del subsistema. funcin A funcin B funcin C Funcin ABC T. 15 Acoplamiento y Cohesin Se debe lograr: mxima cohesin y mnimo acoplamiento. [Coad-Yourdon] Si no es as, intentar otra factorizacin. Maximizar la cohesin implica minimizar el acoplamiento. Minimizar el acoplamiento implica maximizar la cohesin. T. 16 Formas de Factorizacin 1) funciones gerenciales: las funciones que se deben realizar para asegurar que el desarrollo, la implementacin, operacin y mantenimiento de los sistemas de informacin proceden de una forma planificada y controlada. 2) funciones de aplicacin: tareas que son necesarias ejecutar para realizar un procesamiento de informacin confiable. Relacionado con ciclos. T. 17 En Base a Funciones Gerenciales 1 Subsistema Gerencial Descripcin Alta gerencia Debe asegurar que las funciones de los SI estn bien administradas.
Decisiones de polticas a largo plazo de cmo sern usados los SI. Gerencia de Sistemas de Informacin Responsabilidad general de planificar y controlar todas las actividades de los SI.
Aconseja a la alta gerencia de las decisiones polticas de largo plazo y las traduce en metas y objetivos de corto plazo.
T. 18 En Base a Funciones Gerenciales 2 Subsistema Gerencial Descripcin Gerencia de Desarrollo de Sistemas Responsable del diseo, implementacin y mantenimiento de los sistemas. Gerencia de Programacin Responsable de la programacin de nuevos sistemas, mantenimiento de los viejos y soporte general. Administracin de Datos Responsable de lograr los objetivos de planificacin y control en relacin al uso de los datos de la organizacin.
Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 19 En Base a Funciones Gerenciales 3 Subsistema Gerencial Descripcin Gerencia de Aseguramiento de Calidad Responsable de asegurar que el desarrollo, operacin y mantenimiento de los sistemas es conforme a los estndares de calidad establecidos.
Administracin de Seguridad Responsable por los controles de acceso y seguridad fsica de las funciones de los SI. Gerencia de Operaciones Responsable de la planificacin y control de las operaciones diarias.
T. 20 Funciones Aplicativas 1 Los sistemas de informacin que soportan una organizacin, se dividen en ciclos. Los ciclos varan de acuerdo al tipo de organizacin: industria, entidad financiera, etc. En general incluyen: 1) ventas y cobranzas, 2) administracin de personal, sueldos y jornales, 3) compras y pagos, 4) produccin, inventario y almacenaje, 5) tesorera (contabilidad). T. 21 Funciones Aplicativas 2 Cada ciclo es factorizado en uno o ms sistemas de aplicacin. Ejemplo: Ventas puede subdividirse en: 1) captura de pedidos 2) facturacin El conjunto de subsistemas de aplicacin incluyen lo siguiente: T. 22 En Base a Funciones Aplicativas 1 Subsistema de Aplicacin Descripcin Limtrofe Componentes que establecen las interfaces entre el usuario y el sistema. Input Componentes que capturan, preparan e ingresan comandos y datos al sistema. Comunicaciones Componentes que transmiten datos entre los subsistemas y sistemas.
T. 23 En Base a Funciones Aplicativas 2 Subsistema de Aplicacin Descripcin Procesamiento Componentes que realizan toma de decisiones, clculos, clasificacin, ordenamiento y sumarizacin de datos dentro del sistema.
Base de Datos Componentes que definen, agregan, acceden, modifican o eliminan datos. Output Componentes que buscan y presentan los datos al usuario.
T. 24 Confiabilidad de Subsistemas Primero: determinar el menor nivel de los subsistemas. Segundo: evaluar la confiabilidad de los controles en cada subsistema. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 25 Confiabilidad de Controles Para evaluar la confiabilidad de los controles: 1) se deben identificar todos los posibles tipos de eventos que pueden ocurrir en el subsistema. 2) se deben considerar todos los eventos vlidos o ilegales. Para identificar los eventos, hay que considerar las principales funciones que realiza el subsistema. T. 26 Considerar las Principales Funciones Para cada funcin: 1) analizar cmo debera realizarse 2) evaluar cmo el subsistema cumple con esa visin normativa. Para determinar si un evento es legal o ilegal se deben considerar las transacciones que pueden ocurrir como input al subsistema. Todos los eventos en un sistema de aplicacin deben surgir de una transaccin. T. 27 Eventos y Transacciones Cuando un evento ocurre, el sistema recibe una transaccin de input. Cuando la transaccin se recibe como input el sistema cambia de estado. Otros cambios de estado ocurren a medida que el sistema procesa la transaccin. Ejemplo: toma de pedidos. Para identificar todos los eventos que pueden ocurrir en un sistema como resultado de la transaccin, se debe entender cmo el sistema procesa la transaccin. T. 28 Procesamiento de Transacciones Generalmente los auditores aplican tcnicas de walk-through: 1) se considera una transaccin particular, 2) se identifican todos los componentes del sistema que procesan la transaccin 3) se trata de entender cada paso de procesamiento que ejecuta cada componente 4) se considera cualquier error o irregularidad (evento ilegal) que pueda ocurrir en el camino. T. 29 Clases de Transacciones Generalmente es muy costoso realizar este proceso para todas las transacciones. Por eso, se trabaja con clases de transacciones: 1) se agrupan transacciones que tengan un procesamiento similar, 2) se trata de entender estas transacciones, y los eventos que puedan surgir como resultado de estas transacciones como grupo, 3) se tratan slo aquellas transacciones que se consideran importantes para los objetivos de la auditora. T. 30 Qu eventos? Usando esta tcnica, no se identifican todos los eventos que puedan surgir en un sistema. A pesar de esto, los auditores deberan examinar todas aquellas transacciones y eventos que consideren importantes. Una vez que se han identificado los eventos que pueden ocurrir, los auditores deben evaluar: 1) si los controles estn correctamente ubicados, y 2) si funcionan para detectar eventos ilegales. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 31 Confiabilidad de los Controles 1 Los auditores deben recolectar evidencias sobre la existencia y confiabilidad de los controles, para determinar si las prdidas por los eventos ilegales se reducen a niveles aceptables. Para cada evento ilegal, considerar: 1) cmo los controles cubren a este tipo de evento, 2) cunto de confiable son los controles, 3) si puede ocurrir un error material o una irregularidad. T. 32 Se publican listas que ayudan a realizar esta tarea. Estas listas muestran por ejemplo: 1) las cadas en los sistemas de informacin, 2) errores e irregularidades que ocurren en diferentes tipos de transacciones. Las listas muestran los controles que se pueden realizar para reducir las prdidas esperadas por estos errores o irregularidades. Confiabilidad de los Controles 2 T. 33 Confiabilidad de Controles: Ejemplo Efectividad del Control: A: Alta M: Moderada B: Baja T. 34 Estimar la Confiabilidad La evaluacin de la confiabilidad procede de abajo hacia arriba en el nivel de estructura de los sistemas. Los subsistemas de menor nivel son componentes de los de mayor nivel. Cuando se haya evaluado la confiabilidad de los subsistemas de menor nivel, se puede analizar: 1) el impacto 2) la naturaleza, y 3) la frecuencia de los eventos ilegales en los sistemas de mayor nivel. T. 35 Estimar la Confiabilidad: Pasos En cualquier nivel de la estructura, los pasos de evaluacin son: 1) identificar las transacciones que ingresan al sistema. 2) considerar los eventos legales e ilegales que puedan ocurrir. 3) asegurar la confiabilidad de los controles que detectan los eventos ilegales. T. 36 Detectar Nuevos Controles A medida que se evaluan los sistemas de ms alto nivel, se pueden encontrar nuevos controles debido a: 1) Los controles en sistemas de bajo nivel pueden funcionar mal. Ejemplo: se divide el trabajo en varias personas y un superior controla el funcionamiento general. 2) Podra ser ms efectivo en costos implementar controles a alto nivel. Ejemplo: en lugar de que cada uno controle su trabajo, un superior aleatoriamente supervisa el trabajo por muestreo. 3) Algunos eventos no se manifiestan como ilegales excepto en los niveles altos. Ejemplo: consultas a una base de datos sin violar confidencialidad. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 37 Riesgos de la Auditora Recordemos los objetivos de la auditora: 1) salvaguardar activos 2) asegurar integridad de los datos 3) asegurar que los sistemas son efectivos 4) asegurar que los sistemas son eficaces Para poder cumplir con los objetivos, se debe recolectar evidencia. Para esto, se debe medir, y se podra fallar al detectar las prdidas materiales reales o potenciales. T. 38 Definicin de Riesgo Definicin El riesgo de auditora es el riesgo de que un auditor fracase al detectar las prdidas materiales reales, o potenciales, o los registros incorrectos. RDA = RI * RC * RD RDA: Riesgo Deseado de Auditora RI: Riesgo Inherente RC: Riesgo de Control RD: Riesgo de Deteccin T. 39 Tipos de Riesgo 1 1) Riesgo Deseado: el riesgo que se desea correr. 2) Riesgo Inherente: refleja la probabilidad que una prdida material o una imputacin errnea exista en algn segmento de la auditora, antes de que sea considerada la confiabilidad de los controles internos. T. 40 Tipos de Riesgo 2 3) Riesgo de Control: refleja la probabilidad que en algn segmento de la auditora, los controles internos no prevengan, detecten o corrijan prdidas materiales o imputaciones errneas que puedan surgir. 4) Riesgo de Deteccin: refleja la probabilidad que los procedimientos de auditora utilizados en algn segmento, fallen en detectar prdidas materiales o imputaciones errneas. T. 41 Pasos para una Auditora Para planificar, se debe tener en cuenta: 1) la naturaleza de los controles 2) la reduccin de la complejidad mediante la factorizacin 3) los riesgos 4) los tipos de procedimientos de auditora Notas: 1) algunos pasos se pueden realizar en paralelo 2) la auditora puede ser tanto externa como interna T. 42 1) Riesgo Deseado de Auditora Primero los auditores eligen el nivel de RDA. Evalan las consecuencias de fracasar en detectar las prdidas materiales reales o potenciales. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 43 2) Riesgo Inherente Luego, consideran el nivel de RI. Los auditores consideran factores generales tales como: 1) la naturaleza de la organizacin (la posicin en el mercado), 2) la industria en la que opera (la industria est sujeta a cambios rpidos?) 3) las caractersticas del gerenciamiento (es agresivo y autocrtico?) 4) intereses contables y de auditora (se usan tcnicas?) T. 44 2) Riesgo Inherente de Sistemas Se consideran luego los RI asociados con diferentes segmentos de la auditora (ciclos, sistemas de aplicacin, ...). Para cada segmento, se consideran factores tales como: 1) sistemas financieros 2) sistemas estratgicos 3) sistemas de operacin crtica 4) sistemas de tecnologa avanzada T. 45 Sistemas Financieros Proveen controles financieros sobre los principales activos de la organizacin. Poseen alto RI. Son el blanco de acciones delictivas y fraudes. Ejemplo: sistema de facturacin. T. 46 Sistemas Estratgicos Proveen ventajas competitivas para la organizacin. Comprometen clientes, proveedores, secretos de marca. Tienen alto RI. Son blanco de espionaje industrial, o acciones indebidas de la competencia. Ejemplo: el sistema que soporta la operatoria comercial de la empresa. T. 47 Sistemas de Operacin Crtica Aquellos sistemas que pueden paralizar a la organizacin si fallan. Generalmente tienen alto RI. Ejemplo: sistemas de control de produccin, sistemas de reservas. T. 48 Sistemas de Tecnologa Avanzada Sistemas que usan tecnologa de punta. Tienen alto RI, debido a la falta de experiencia en ese tipo de sistemas. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 49 3) Riesgo de Control Para evaluar el nivel de RC asociado con cada segmento de la auditora, se debe considerar la confiabilidad de los controles gerenciales y de aplicacin. Generalmente, se identifican y evalan primero los controles en los subsistemas gerenciales. T. 50 Controles Gerenciales 1 Los controles gerenciales actan como capas de cebolla protectivas, por encima de los controles de aplicacin. Cont.Sist. Aplicac. Alta Gerencia Gerencia de Sistemas de Informacin Gerencia de Desarrollo de Sistemas Gerencia de Programacin Administracin de Datos Aseguramiento de Calidad Administracin de Seguridad Gerencia de Operaciones ... ... T. 51 Controles Gerenciales 2 El buen nivel de los controles externos garantizan el nivel de los controles internos. Los controles gerenciales se evalan en general, y no para cada aplicacin. T. 52 Riesgo Deseado Finalmente, se calcula el nivel de RD que se debe lograr para cumplir con el RDA. Se disean procedimientos de recoleccin de evidencia para intentar lograr el nivel de RD. En general: 1) los auditores no recolectan la cantidad de evidencia que ellos desearan 2) deben ser astutos para determinar en dnde aplicar los procedimientos de auditora, y cmo interpretar la evidencia recolectada. T. 53 Procedimientos de Auditora Existen diferentes procedimientos de auditora, dependiendo de lo que se desee controlar: 1) determinar si ocurrieron prdidas materiales o la informacin financiera es errnea 2) determinar la eficiencia y eficacia de las operaciones T. 54 Prdidas o Informacin Errnea A fin de recolectar evidencia, para determinar si ocurrieron prdidas materiales o la informacin financiera es errnea, se usan los siguientes procedimientos: 1) procedimientos para comprender los controles 2) testeo de controles 3) testeos substantivos de detalle de transacciones 4) testeos substantivos de detalle de balances contables 5) procedimientos de revisin analtica Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 55 Comprender los Controles Los procedimientos incluyen: 1) cuestionarios, 2) inspecciones, 3) observaciones Para determinar: 1) si los controles existen, 2) analizar cmo estn diseados, 3) si funcionan. T. 56 Testeo de Controles Son para evaluar si los controles estan actuando efectivamente. Ejemplos: 1) cuestionarios 2) inspecciones 3) observaciones 4) reprocesos T. 57 Detalle de Transacciones Los testeos substantivos de detalle de transacciones estan diseados para detectar: 1) errores monetarios o 2) irregularidades en transacciones que afectan los estados financieros. Ejemplo: controlar la facturacin T. 58 Detalle de Balances Contables Los tests substantivos de detalle de balances contables se focalizan en los registros contables finales, en el balance. Ejemplo: se puede circularizar a una muestra de clientes para controlar que los saldos registrados sean correctos. T. 59 Revisin Analtica Los procedimientos de revisin analtica se focalizan en las relaciones entre los items de datos. El objetivo es identificar reas que requieran un trabajo de auditora posterior. Ejemplo: medir ingresos por ventas durante un perodo. T. 60 Eficiencia y Eficacia Para determinar la eficiencia y eficacia de las operaciones se utilizan tipos de procedimientos similares: 1) procedimientos para comprender los controles 2) testeo de controles 3) testeos sustantivos de detalle de transacciones. 4) testeos sustantivos de resultados generales - la nocin de balances contables no es aplicable en este caso. Ejemplo: testeos de performance. 5) procedimientos de revisin analtica. Ejemplo: modelos de simulacin. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 61 Orden de los Testeos El orden de los testeos de menos costosos a ms costosos es: 1) procedimientos de revisin analtica 2) procedimientos para comprender los controles 3) testeo de controles 4) testeos sustantivos de detalle de transacciones 5) testeos sustantivos de resultados generales/balances contables El orden es a la inversa si se evala la confiabilidad y el contenido de la informacin de la evidencia provista por los procedimientos. T. 62 Pasos de una Auditora T. 63 Planificacin de una Auditora La primera etapa es la planificacin. Las tareas que se realizan en la etapa de planificacin varan dependiendo si es una: 1) auditora interna 2) auditora externa T. 64 Auditora Interna La etapa de planificacin incluye: 1) asignar personal adecuado a las auditoras 2) obtener informacin del cliente 3) realizar procedimientos de revisin analticos para comprender el negocio del cliente 4) identificar reas de riesgo Los auditores internos se preocupan por el tamao de las prdidas que pudiera haber por operaciones ineficientes o ineficaces. T. 65 Auditora Externa La etapa de planificacin incluye: 1) investigar nuevos clientes 2) asignar personal adecuado a las auditoras 3) obtener el contrato 4) obtener informacin del cliente 5) realizar procedimientos de revisin analticos para comprender el negocio del cliente 6) identificar reas de riesgo Los auditores externos se preocupan por el tamao de los errores en los estados financieros. T. 66 Tareas de Planificacin 1) determinar el alcance de la auditora, 2) emitir una opinin sobre el RDA, 3) emitir una opinin sobre el RI, 4) emitir una opinin sobre el RC, 5) calcular el RD que se debe lograr para cumplir con el RDA, 6) recolectar evidencia 7) documentar evidencia Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 67 Alcance de la Auditora Determinar qu se va a auditar: 1) un sistema 2) un conjunto de sistemas 3) un rea del tecnologa informtica T. 68 Opinin de RDA Se emite un RDA en general para toda la tarea de auditora. T. 69 Opinin sobre RI El RI depende del segmento a auditar. Algunos segmentos son ms susceptible a errores, irregularidades, ineficiencias, o ineficacias. Para cada segmento evaluar los factores que conducen a RI, por ejemplo: sistema con manejo de efectivo: posibilidades de defraudaciones. sistema complejo tecnolgicamente: posibilidades de mal uso de recursos. T. 70 Opinin sobre RC La decisin ms difcil est en emitir el juicio en el nivel de RC asociado con cada segmento de la auditora. Para esto, los auditores deben comprender los controles internos usados dentro de la organizacin. Los controles internos (CI) comprenden 5 componentes relacionados: 1) controles de entorno 2) evaluacin de riesgo 3) actividades de control 4) informacin y comunicacin 5) monitoreo T. 71 CI: Controles de Entorno Incluye evaluar los elementos que establecen el contexto de control en el cual deben operar los sistemas y los procedimientos de control. Ejemplos: 1) filosofa y estilo de gerenciamiento y operacin, 2) formas de asignar autoridad y responsabilidad, 3) mtodos para monitorear performance T. 72 CI: Evaluacin de Riesgo Incluye evaluar: 1) los elementos que identifican y analizan los riesgos a los cuales se enfrenta la organizacin y 2) cmo son administrados. Ejemplos: 1) planificaciones de proyectos 2) documentos de administracin de riesgos Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 73 CI: Actividades de Control Incluye evaluar los elementos que operan para asegurar que: 1) las transacciones son autorizadas, 2) las responsabilidades se separan, 3) los documentos y registros se mantienen adecuadamente, etc. Se clasifican en: 1) controles contables: elementos que operan para asegurar distintos niveles de autorizaciones y responsabilidades 2) controles administrativos: elementos para asegurar eficiencia y eficacia. T. 74 CI: Informacin y Comunicacin Incluye evaluar los elementos en los cuales se: 1) identifica, 2) captura, 3) intercambia informacin en tiempo y forma. Permite asignar responsabilidades del personal adecuadamente. Ejemplos: notificaciones, minutas de reuniones. T. 75 CI: Monitoreo Incluye evaluar los elementos que aseguran que los controles internos operan de manera confiable en el tiempo. Ejemplos: 1) monitoreos de performance, 2) control de calidad T. 76 Comprender los Controles Comprender los controles internos incluye factorizar y examinar los controles gerenciales y de aplicacin. Los controles gerenciales varan sustancialmente de organizacin a organizacin. Ejemplo: los controles gerenciales son distintos si la empresa tiene: 1) sistemas centralizados, 2) sistemas descentralizados. T. 77 Ejemplo de Controles Procedimiento para medir la productividad del personal (control gerencial) Monitoreo Procedimiento para comunicar informacin (control gerencial) Procedimiento para capturar, registrar y procesar transacciones (control de aplicacin) Informacin y Comunicacin Existencia de comit de seguimiento de proyectos (control gerencial) Controles de Entorno y Evaluacin de Riesgos Procedimiento para instalar programas en produccin (control gerencial) Actividades de Control Implementacin Controles Internos T. 78 Recolectar Evidencia Existen distintas tcnicas para recolectar evidencia: 1) revisin de papeles de trabajo de auditoras previas 2) entrevistas con alta gerencia y personal superior 3) observacin de cmo se desarrollan las actividades 4) revisin de documentacin de sistemas Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 79 Documentar Evidencia La evidencia se documenta: 1) completando cuestionarios 2) construyendo diagramas de flujo de alto nivel 3) construyendo tablas de decisin 4) redactando descripciones narrativas. 5) utilizando herramientas CASE No invertir demasiado tiempo en esta estapa. El necesario para comprender los controles internos y decidir cmo proseguir con la auditora. Finalmente se debe evaluar el riesgo. T. 80 Evaluacin de Riesgo de Control 1 Si se evalua que el RC < el nivel mximo => 1) identificar los controles materiales que se relacionan con la evaluacin 2) testear los controles para determinar si operan efectivamente. Premisa: los testeos de controles probarn, que si los controles funcionan correctamente, se puede reducir la necesidad de un testeo sustantivo. T. 81 Evaluacin de Riesgo de Control 2 Si se evalua que el RC es de nivel mximo => no se testean los controles. Se podra concluir que los controles internos no son efectivos. Se debera realizar un testeo amplio. T. 82 Testeo de Controles 1 El testeo de controles evala cuan confiables y especficos son los controles. Se testean, slo si el RC se determin menor al mximo. Se confa en los controles como una base para reducir el costo de un testeo ms amplio. A esta altura, los auditores no saben si los controles identificados operan efectivamente. T. 83 Controles Gerenciales: Testeo Se comienza por los controles gerenciales. Si los controles gerenciales, demuestran contrariamente a lo supuesto, que no operan eficientemente => no tiene sentido testear los controles de aplicacin. Ejemplo: solicitar programas fuentes e inspeccionar una muestra Los gerentes afirman que existen estndares de desarrollo solicitar informes de avances o minutas de las reuniones. Los gerentes afirman que se informa peridicamente de los avances de proyectos T. 84 Controles de Aplicacin: Testeo Si los controles gerenciales funcionan efectivamente, se procede a evaluar los controles de la aplicacin. Ejemplo: Luego de evaluados los controles, se vuelve a estimar el riesgo. pedir muestreo Existen niveles de autorizacin para realizar transacciones pedir muestreo Se limpian diariamente los errores detectados Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 85 Testeo de Controles: Conclusin Se puede concluir que los controles internos son ms fuertes o ms dbiles a lo anticipado. Si los controles son ms fuertes a lo pensado, se puede pensar en reducir testeos. Si los controles son ms dbiles, se pueden ampliar los testeos. T. 86 Actitud del Auditor Durante esta etapa los auditores externos e internos pueden tener distintas actitudes. Situacin: se detecta que los controles son dbiles 1) auditor interno: puede expandir sus investigaciones para lograr una mejor comprensin a cerca de la naturaleza e implicancias de estas debilidades. 2) auditor externo: puede cortar sus investigaciones (sobre causas) y realizar testeos ms amplios. T. 87 Testeo de Transacciones Se realiza para evaluar si un procesamiento errneo o irregular puede ocasionar prdidas. Ejemplo: examinar clculos, precios. Desde un punto de vista operativo, el testeo de transacciones sirve para determinar si el procesamiento es efectivo y eficiente. Ejemplo: consultas a una base de datos, carga de mquina. T. 88 Testeo de Resultados Generales Se realizan con el fin de obtener evidencia suficiente para Realizar un juicio final sobre el grado de prdidas que podran ocurrir cuando el sistema falla en: salvaguardar activos, mantener la integridad de los datos y lograr efectividad y eficiencia. En general, este tipo de testeos, son los ms caros de las auditoras. Ejemplo: Testeos de control de inventario fsico Confirmacin de recepcin de mercaderas Reclculo de amortizaciones Evaluar objetivos de salvaguarda de activos e integridad de datos T. 89 Testeo de Resultados ... Si los auditores confan en que los controles son confiables, pueden limitar el nmero y alcance de estos testeos. Si es a la inversa, aumentarn el grado de control para estimar mejor las prdidas. T. 90 Evaluar Efectividad y Eficiencia Evaluar efectividad y eficiencia es ms complejo. Se puede trabajar con los usuarios estimando las prdidas por no haber tomado una decisin por no contar con la informacin en tiempo y forma. Ejemplo: evaluar la ineficiencia por compra de hardware inapropiado. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 91 Completar la auditora En la etapa final, se realizan testeos adicionales para cerrar la evidencia. Finalmente, se formula la opinin sobre cmo ocurrieron las prdidas materiales o registros incorrectos en un informe. T. 92 Opiniones de Auditora Los estndares en varios pases requieren que la opinin sea: 1) opinin excusada: en base al trabajo realizado no se puede emitir opinin. 2) opinin adversa: se concluye que han ocurrido prdidas materiales o que los estados financieros estn distorsionados. 3) opinin con calificacin: se concluye que han ocurrido prdidas materiales o existen registros incorrectos, pero las cantidades no son considerables. 4) opinin sin calificacin: el auditor considera que no han ocurrido prdidas materiales o no existen registros incorrectos. T. 93 Informe de Auditora Un informe tpico debera incluir: 1) una introduccin que describa los objetivos de la auditora, 2) el enfoque general utilizado, 3) un resumen de las conclusiones crticas, 4) recomendaciones para abordar las conclusiones crticas, 5) datos que respalden las conclusiones crticas. T. 94 Formas de Auditar Sistemas La auditora puede ser: 1) alrededor del sistema informtico 2) a travs del sistema informtico T. 95 Auditora alrededor del Sistema Lograr una opinin de auditora a travs de examinar y evaluar los controles gerenciales, y el input y output de los sistemas. Basndose en la calidad del input y output, el auditor infiere la calidad del procesamiento - el procesamiento no se examina. El sistema es visto como una caja negra. Slo se debe realizar esta estrategia cuando es ms efectiva en costo. Se utiliza cuando se ubica gran confiabilidad en los usuarios en lugar de en los sistemas - la auditora se concentra en los controles de los usuarios en lugar de los controles en sistemas. T. 96 El sistema debe presentar las siguientes caractersticas: 1) se utiliza un paquete como plataforma de software. 2) el sistema es simple y orientado a procesos batch. 3) el riesgo inherente es bajo 4) la lgica es simple y no se existen rutinas especiales 5) el input de transacciones es batch y el control se mantiene usando mtodos convencionales 6) el procesamiento consiste fundamentalmente de ordenar las transacciones y actualizar la base de datos 7) existen registros de auditora. 8) el entorno de tareas es relativamente constante y el sistema rara vez se modifica. Caractersticas del Sistema Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 97 En estos casos, se debe auditar: 1) que la organizacin no modific el paquete, 2) que existen controles sobre las modificaciones, 3) que existen controles de calidad sobre inputs y outputs del paquete 4) los procesos especiales montados sobre el paquete - programas confeccionados para combinar funcionalidad. Qu se Audita? T. 98 Ventajas: 1) no requiere que el auditor posea conocimientos tcnicos. Limitaciones: 1) el tipo de sistemas donde es aplicable es restringido 2) no provee informacin sobre la capacidad del sistema para la mantenibilidad. Esto puede inicidir en la eficiencia del sistema. Ejemplo: deja de ser performante o efectivo luego de realizar determinados cambios. Ventajas y Limitaciones T. 99 Auditora a travs del Sistema Se usa la computadora para testear: 1) el procesamiento de la lgica y los controles existentes en el sistema, 2) los resultados producidos por el sistema T. 100 Caractersticas del Sistema Es recomendable cuando: 1) el riesgo inherente asociado con el sistema es alto 2) se procesan grandes volmenes de input y output 3) partes significativas de los controles internos estn embebidas en el sistema 4) la lgica de la aplicacin es compleja 5) es aconsejable por consideraciones de costo-beneficio 6) existen gaps en la auditora visible. T. 101 Ventajas y Desventajas La ventaja es que los auditores tienen mayor poder para testear el sistema ms eficientemente. Se puede aumentar el alcance y la cantidad de testeos. Al examinar la lgica, se tiene mayor base para estimar la habilidad del sistema para modificaciones futuras. Desventajas: 1) puede ser ms costoso (mayor demanda de horas) 2) puede requerir demasiados conocimientos y experiencia tcnica. T. 102 Resumen: Controles y Factorizacin Un control es un sistema que previene, detecta y corrige eventos ilegales. Para realizar una auditora se debe factorizar en subsistemas: 1) funciones gerenciales 2) funciones de aplicacin Otro criterio para factorizar es considerar subsistemas que presenten mnimo acoplamiento y mxima cohesin. Se debe evaluar la confiabilidad de los controles en cada subsistema. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 103 Resumen: Evaluar Confiabilidad 1 Se deben evaluar los eventos. Para identificar eventos, se consideran las principales funciones del sistema. Para cada funcin se debe: 1) definir cmo debera realizarse 2) cmo el sistema cumple con esa funcin T. 104 Resumen: Evaluar Confiabilidad 2 Cuando ocurre un evento el sistema recibe una transaccin. Pasos: 1) identificar los componentes que procesan cada transaccin 2) comprender el procesamiento de cada componente 3) considerar errores o irregularidades que puedan ocurrir durante el procesamiento 4) trabajar con clases de transacciones. T. 105 Resumen: Riesgos El riesgo de auditora es el riesgo de que un auditor fracase al detectar las prdidas materiales reales, o potenciales, o los registros incorrectos. RDA = RI * RC * RD RDA: Riesgo Deseado de Auditora RI: Riesgo Inherente RC: Riesgo de Control RD: Riesgo de Deteccin T. 106 Resumen: Pasos de una Auditora T. 107 Resumen: Procedimientos 1) procedimientos para comprender los controles 2) testeo de controles 3) testeos substantivos de detalle de transacciones 4) testeos substantivos de detalle de balances contables 5) procedimientos de revisin analtica T. 108 Rsumen: Informe de Auditora Un informe tpico debera incluir: 1) una introduccin que describa los objetivos de la auditora, 2) el enfoque general utilizado, 3) un resumen de las conclusiones crticas, 4) recomendaciones para abordar las conclusiones crticas, 5) datos que respalden las conclusiones crticas. Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006. Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente. T. 109 Resumen: Opinin de Auditora 1) opinin excusada: en base al trabajo realizado no se puede emitir opinin. 2) opinin adversa: se concluye que han ocurrido prdidas materiales o que los estados financieros estn distorsionados. 3) opinin con calificacin: se concluye que han ocurrido prdidas materiales o existen registros incorrectos, pero las cantidades no son considerables. 4) opinin sin calificacin: el auditor considera que no han ocurrido prdidas materiales o no existen registros incorrectos. T. 110 Resumen: Formas de Auditar 1) auditar alrededor del sistema 2) auditar a travs del sistema