Planificacion de La Auditoria de Sistemas

Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006.
Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur

Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente.
Planificacin de una Auditora Planificacin de una Auditora
Mg. Elsa Estvez
Departamento de Ciencias e Ingeniera de la
Computacin
Universidad Nacional del Sur
2do. Cuatrimestre 2006
T. 2
Felicitaciones!!! Lo han designado Gerente del Departamento
de Auditora de la Empresa X.
La empresa posee:
520 programadores y analistas
1245 PCs conectadas en red
5378 bases de datos.
Pregunta: cmo puede ejecutar la auditora, de tal forma
de obtener una seguridad razonable sobre:
1) la salvaguarda de activos en el procesamiento de datos,
2) integridad de los datos,
3) la eficiencia y eficacia de los sistemas ?
Motivacin
T. 3
Solucin
Implementar sistemas de control.
1) saber qu es un control y cmo funcionan los controles
2) determinar qu controlar
3) estimar la confiabilidad de los controles
4) estimar el riesgo de la auditora
T. 4
La Naturaleza de los Controles
Hay tres aspectos claves en esta definicin:
1) un control es un sistema
2) eventos ilegales
3) los controles son usados para prevenir, detectar o
corregir eventos ilegales.
Definicin.
Un control es un sistema que previene, detecta, o corrige
eventos ilegales.
T. 5
Un Control es un Sistema
Una password, es un control ?
Habitualmente, tendemos a nombrar los controles, teniendo en
cuenta slo un aspecto del control.
Una password se convierte en control, slo en el contexto de
un sistema que asegure:
1) seguridad para elegir passwords,
2) correcta validacin de passwords,
3) almacenamiento seguro de las passwords,
4) seguimiento en el uso indebido de passwords
5) ...
T. 6
Se Controlan Eventos Ilegales
Cmo puede surgir un evento ilegal?
1) si se ingresan al sistema inputs no autorizados,
inexactos, incompletos, redundantes, ineficaces o
ineficientes,
2) si el sistema transforma el input de una manera no
autorizada, inexacta, incompleta, ineficiente o ineficaz
Ejemplos:
1) inputs incorrectos en un programa interactivo.
2) un programa que contiene instrucciones errneas que
resultan en una ejecucin incorrecta.
T. 7
Ejemplos de Tipos de Controles
Control Preventivo: instrucciones de cmo completar un
formulario.
Nota: las instrucciones no son el control.
Control Detectivo: un programa que valida datos de input,
rechazando los errneos.
Control Correctivo: un programa que detecta el ruido en
comunicaciones y permite corregir datos corruptos.
T. 8
Objetivo de la Auditora
Reducir las prdidas esperadas por eventos ilegales mediante:
1) controles preventivos: reducen la probabilidad que estos
eventos ocurran.
2) controles detectivos y correctivos: reducen la cantidad de
prdidas cuando los eventos ilegales ocurren.
La tarea del auditor es determinar si los controles estn ubicados y
funcionan para prevenir los eventos ilegales.
T. 9
Cmo administrar la complejidad
Para administrar la complejidad, se sugiere:
1) factorizar el sistema en subsistemas
2) determinar la confiabilidad de cada subsistema, y las
implicancias de cada uno de ellos en el nivel de
confiabilidad general del sistema.
T. 10
Factorizacin
El primer paso para comprender un sistema complejo es
particionarlo en subsistemas.
Un subsistema es un componente de un sistema que:
1) realiza ciertas funciones bsicas necesarias para el
sistema en general,
2) le permite atender sus objetivos fundamentales.
Los subsistemas son componentes lgicas y no fsicas.
El proceso de particionar en subsistemas se denomina
factorizacin.
T. 11
Cmo Factorizar
Para poder factorizar, se necesita un criterio.
Criterio: La esencia de un subsistema es la funcin que realiza.
Los auditores deben identificar primero, las principales
funciones que el sistema realiza para cumplir sus objetivos.
El proceso de factorizacin termina cuando se ha particionado
el sistema en partes lo suficientemente pequeas, de tal modo
que puedan ser entendidas y evaluadas.
T. 12
Otros Criterios para Factorizar
Adems de las funciones, existen otras dos guas:
1) acoplamiento
2) cohesin
T. 13
Acoplamiento
Cada subsistema debera ser relativamente independiente de
otros subsistemas.
Si esto se cumple, el subsistema est poco acoplado.
Sistemas con poco acoplamiento son ms fciles de comprender.
T. 14
Cohesin
Cada subsistema debe ser internamente cohesivo.
Todas las actividades realizadas por el sistema apuntan a
cumplir la funcin principal del subsistema.
funcin A
funcin B
funcin C
Funcin ABC
T. 15
Acoplamiento y Cohesin
Se debe lograr: mxima cohesin y mnimo acoplamiento.
[Coad-Yourdon]
Si no es as, intentar otra factorizacin.
Maximizar la cohesin implica minimizar el acoplamiento.
Minimizar el acoplamiento implica maximizar la cohesin.
T. 16
Formas de Factorizacin
1) funciones gerenciales: las funciones que se deben realizar
para asegurar que el desarrollo, la implementacin,
operacin y mantenimiento de los sistemas de informacin
proceden de una forma planificada y controlada.
2) funciones de aplicacin: tareas que son necesarias ejecutar
para realizar un procesamiento de informacin confiable.
Relacionado con ciclos.
T. 17
En Base a Funciones Gerenciales 1
Subsistema Gerencial Descripcin
Alta gerencia Debe asegurar que las funciones de los
SI estn bien administradas.

Decisiones de polticas a largo plazo de
cmo sern usados los SI.
Gerencia de Sistemas
de Informacin
Responsabilidad general de planificar y
controlar todas las actividades de los
SI.

Aconseja a la alta gerencia de las
decisiones polticas de largo plazo y las
traduce en metas y objetivos de corto
plazo.

T. 18
Gerencia de
Desarrollo de
Sistemas
Responsable del diseo, implementacin
y mantenimiento de los sistemas.
Gerencia de
Programacin
Responsable de la programacin de
nuevos sistemas, mantenimiento de los
viejos y soporte general.
Administracin de
Datos
Responsable de lograr los objetivos de
planificacin y control en relacin al uso
de los datos de la organizacin.

T. 19
Gerencia de
Aseguramiento de
Calidad
Responsable de asegurar que el
desarrollo, operacin y mantenimiento
de los sistemas es conforme a los
estndares de calidad establecidos.

Administracin de
Seguridad
Responsable por los controles de acceso
y seguridad fsica de las funciones de los
SI.
Gerencia de
Operaciones
Responsable de la planificacin y control
de las operaciones diarias.

T. 20
Funciones Aplicativas 1
Los sistemas de informacin que soportan una organizacin,
se dividen en ciclos.
Los ciclos varan de acuerdo al tipo de organizacin: industria,
entidad financiera, etc.
En general incluyen:
1) ventas y cobranzas,
2) administracin de personal, sueldos y jornales,
3) compras y pagos,
4) produccin, inventario y almacenaje,
5) tesorera (contabilidad).
T. 21
Funciones Aplicativas 2
Cada ciclo es factorizado en uno o ms sistemas de aplicacin.
Ejemplo: Ventas puede subdividirse en:
1) captura de pedidos
2) facturacin
El conjunto de subsistemas de aplicacin incluyen lo siguiente:
T. 22
En Base a Funciones Aplicativas 1
Subsistema de
Aplicacin
Descripcin
Limtrofe Componentes que establecen las
interfaces entre el usuario y el sistema.
Input Componentes que capturan, preparan e
ingresan comandos y datos al sistema.
Comunicaciones Componentes que transmiten datos
entre los subsistemas y sistemas.

T. 23
En Base a Funciones Aplicativas 2
Subsistema de
Aplicacin
Descripcin
Procesamiento Componentes que realizan toma de
decisiones, clculos, clasificacin,
ordenamiento y sumarizacin de datos
dentro del sistema.

Base de Datos Componentes que definen, agregan,
acceden, modifican o eliminan datos.
Output Componentes que buscan y presentan los
datos al usuario.

T. 24
Confiabilidad de Subsistemas
Primero: determinar el menor nivel de los subsistemas.
Segundo: evaluar la confiabilidad de los controles en cada
subsistema.
T. 25
Confiabilidad de Controles
Para evaluar la confiabilidad de los controles:
1) se deben identificar todos los posibles tipos de eventos que
pueden ocurrir en el subsistema.
2) se deben considerar todos los eventos vlidos o ilegales.
Para identificar los eventos, hay que considerar las principales
funciones que realiza el subsistema.
T. 26
Considerar las Principales Funciones
Para cada funcin:
1) analizar cmo debera realizarse
2) evaluar cmo el subsistema cumple con esa visin
normativa.
Para determinar si un evento es legal o ilegal se deben
considerar las transacciones que pueden ocurrir como input al
subsistema.
Todos los eventos en un sistema de aplicacin deben surgir de
una transaccin.
T. 27
Eventos y Transacciones
Cuando un evento ocurre, el sistema recibe una transaccin
de input.
Cuando la transaccin se recibe como input el sistema cambia
de estado.
Otros cambios de estado ocurren a medida que el sistema
procesa la transaccin. Ejemplo: toma de pedidos.
Para identificar todos los eventos que pueden ocurrir en un
sistema como resultado de la transaccin, se debe entender
cmo el sistema procesa la transaccin.
T. 28
Procesamiento de Transacciones
Generalmente los auditores aplican tcnicas de walk-through:
1) se considera una transaccin particular,
2) se identifican todos los componentes del sistema que
procesan la transaccin
3) se trata de entender cada paso de procesamiento que
ejecuta cada componente
4) se considera cualquier error o irregularidad (evento ilegal)
que pueda ocurrir en el camino.
T. 29
Clases de Transacciones
Generalmente es muy costoso realizar este proceso para todas
las transacciones.
Por eso, se trabaja con clases de transacciones:
1) se agrupan transacciones que tengan un procesamiento
similar,
2) se trata de entender estas transacciones, y los eventos que
puedan surgir como resultado de estas transacciones como
grupo,
3) se tratan slo aquellas transacciones que se consideran
importantes para los objetivos de la auditora.
T. 30
Qu eventos?
Usando esta tcnica, no se identifican todos los eventos que
puedan surgir en un sistema.
A pesar de esto, los auditores deberan examinar todas
aquellas transacciones y eventos que consideren importantes.
Una vez que se han identificado los eventos que pueden
ocurrir, los auditores deben evaluar:
1) si los controles estn correctamente ubicados, y
2) si funcionan para detectar eventos ilegales.
T. 31
Confiabilidad de los Controles 1
Los auditores deben recolectar evidencias sobre la existencia y
confiabilidad de los controles, para determinar si las prdidas
por los eventos ilegales se reducen a niveles aceptables.
Para cada evento ilegal, considerar:
1) cmo los controles cubren a este tipo de evento,
2) cunto de confiable son los controles,
3) si puede ocurrir un error material o una irregularidad.
T. 32
Se publican listas que ayudan a realizar esta tarea.
Estas listas muestran por ejemplo:
1) las cadas en los sistemas de informacin,
2) errores e irregularidades que ocurren en diferentes tipos de
transacciones.
Las listas muestran los controles que se pueden realizar para
reducir las prdidas esperadas por estos errores o irregularidades.
Confiabilidad de los Controles 2
T. 33
Confiabilidad de Controles: Ejemplo
Efectividad del Control:
A: Alta M: Moderada B: Baja
T. 34
Estimar la Confiabilidad
La evaluacin de la confiabilidad procede de abajo hacia arriba
en el nivel de estructura de los sistemas.
Los subsistemas de menor nivel son componentes de los de
mayor nivel.
Cuando se haya evaluado la confiabilidad de los subsistemas
de menor nivel, se puede analizar:
1) el impacto
2) la naturaleza, y
3) la frecuencia de los eventos ilegales
en los sistemas de mayor nivel.
T. 35
Estimar la Confiabilidad: Pasos
En cualquier nivel de la estructura, los pasos de evaluacin son:
1) identificar las transacciones que ingresan al sistema.
2) considerar los eventos legales e ilegales que puedan
ocurrir.
3) asegurar la confiabilidad de los controles que detectan
los eventos ilegales.
T. 36
Detectar Nuevos Controles
A medida que se evaluan los sistemas de ms alto nivel, se
pueden encontrar nuevos controles debido a:
1) Los controles en sistemas de bajo nivel pueden
funcionar mal. Ejemplo: se divide el trabajo en varias
personas y un superior controla el funcionamiento
general.
2) Podra ser ms efectivo en costos implementar
controles a alto nivel. Ejemplo: en lugar de que cada
uno controle su trabajo, un superior aleatoriamente
supervisa el trabajo por muestreo.
3) Algunos eventos no se manifiestan como ilegales
excepto en los niveles altos. Ejemplo: consultas a una
base de datos sin violar confidencialidad.
T. 37
Riesgos de la Auditora
Recordemos los objetivos de la auditora:
1) salvaguardar activos
2) asegurar integridad de los datos
3) asegurar que los sistemas son efectivos
4) asegurar que los sistemas son eficaces
Para poder cumplir con los objetivos, se debe recolectar
evidencia.
Para esto, se debe medir, y se podra fallar al detectar las
prdidas materiales reales o potenciales.
T. 38
Definicin de Riesgo
Definicin
El riesgo de auditora es el riesgo de que un auditor fracase
al detectar las prdidas materiales reales, o potenciales, o
los registros incorrectos.
RDA = RI * RC * RD
RDA: Riesgo Deseado de Auditora
RI: Riesgo Inherente
RC: Riesgo de Control
RD: Riesgo de Deteccin
T. 39
Tipos de Riesgo 1
1) Riesgo Deseado: el riesgo que se desea correr.
2) Riesgo Inherente: refleja la probabilidad que una prdida
material o una imputacin errnea exista en algn
segmento de la auditora, antes de que sea considerada la
confiabilidad de los controles internos.
T. 40
Tipos de Riesgo 2
3) Riesgo de Control: refleja la probabilidad que en algn
segmento de la auditora, los controles internos no
prevengan, detecten o corrijan prdidas materiales o
imputaciones errneas que puedan surgir.
4) Riesgo de Deteccin: refleja la probabilidad que los
procedimientos de auditora utilizados en algn segmento,
fallen en detectar prdidas materiales o imputaciones
errneas.
T. 41
Pasos para una Auditora
Para planificar, se debe tener en cuenta:
1) la naturaleza de los controles
2) la reduccin de la complejidad mediante la factorizacin
3) los riesgos
4) los tipos de procedimientos de auditora
Notas:
1) algunos pasos se pueden realizar en paralelo
2) la auditora puede ser tanto externa como interna
T. 42
1) Riesgo Deseado de Auditora
Primero los auditores eligen el nivel de RDA.
Evalan las consecuencias de fracasar en detectar las prdidas
materiales reales o potenciales.
T. 43
2) Riesgo Inherente
Luego, consideran el nivel de RI.
Los auditores consideran factores generales tales como:
1) la naturaleza de la organizacin (la posicin en el
mercado),
2) la industria en la que opera (la industria est sujeta a
cambios rpidos?)
3) las caractersticas del gerenciamiento (es agresivo y
autocrtico?)
4) intereses contables y de auditora (se usan tcnicas?)
T. 44
2) Riesgo Inherente de Sistemas
Se consideran luego los RI asociados con diferentes segmentos
de la auditora (ciclos, sistemas de aplicacin, ...).
Para cada segmento, se consideran factores tales como:
1) sistemas financieros
2) sistemas estratgicos
3) sistemas de operacin crtica
4) sistemas de tecnologa avanzada
T. 45
Sistemas Financieros
Proveen controles financieros sobre los principales activos de la
organizacin.
Poseen alto RI.
Son el blanco de acciones delictivas y fraudes.
Ejemplo: sistema de facturacin.
T. 46
Sistemas Estratgicos
Proveen ventajas competitivas para la organizacin.
Comprometen clientes, proveedores, secretos de marca.
Tienen alto RI.
Son blanco de espionaje industrial, o acciones indebidas de la
competencia.
Ejemplo: el sistema que soporta la operatoria comercial de la
empresa.
T. 47
Sistemas de Operacin Crtica
Aquellos sistemas que pueden paralizar a la organizacin si
fallan.
Generalmente tienen alto RI.
Ejemplo: sistemas de control de produccin, sistemas de
reservas.
T. 48
Sistemas de Tecnologa Avanzada
Sistemas que usan tecnologa de punta.
Tienen alto RI, debido a la falta de experiencia en ese tipo de
sistemas.
T. 49
3) Riesgo de Control
Para evaluar el nivel de RC asociado con cada segmento de la
auditora, se debe considerar la confiabilidad de los controles
gerenciales y de aplicacin.
Generalmente, se identifican y evalan primero los controles en
los subsistemas gerenciales.
T. 50
Controles Gerenciales 1
Los controles gerenciales actan como capas de cebolla
protectivas, por encima de los controles de aplicacin.
Cont.Sist.
Aplicac.
Alta Gerencia
Gerencia de Sistemas de Informacin
Gerencia de Desarrollo de Sistemas
Gerencia de Programacin
Administracin de Datos
Aseguramiento de Calidad
Administracin de Seguridad
Gerencia de Operaciones
...
...
T. 51
Controles Gerenciales 2
El buen nivel de los controles externos garantizan el nivel de
los controles internos.
Los controles gerenciales se evalan en general, y no para
cada aplicacin.
T. 52
Riesgo Deseado
Finalmente, se calcula el nivel de RD que se debe lograr para
cumplir con el RDA.
Se disean procedimientos de recoleccin de evidencia para
intentar lograr el nivel de RD.
En general:
1) los auditores no recolectan la cantidad de evidencia que
ellos desearan
2) deben ser astutos para determinar en dnde aplicar los
procedimientos de auditora, y cmo interpretar la
evidencia recolectada.
T. 53
Procedimientos de Auditora
Existen diferentes procedimientos de auditora, dependiendo
de lo que se desee controlar:
1) determinar si ocurrieron prdidas materiales o la
informacin financiera es errnea
2) determinar la eficiencia y eficacia de las operaciones
T. 54
Prdidas o Informacin Errnea
A fin de recolectar evidencia, para determinar si ocurrieron
prdidas materiales o la informacin financiera es errnea, se
usan los siguientes procedimientos:
1) procedimientos para comprender los controles
2) testeo de controles
3) testeos substantivos de detalle de transacciones
4) testeos substantivos de detalle de balances contables
5) procedimientos de revisin analtica
T. 55
Comprender los Controles
Los procedimientos incluyen:
1) cuestionarios,
2) inspecciones,
3) observaciones
Para determinar:
1) si los controles existen,
2) analizar cmo estn diseados,
3) si funcionan.
T. 56
Testeo de Controles
Son para evaluar si los controles estan actuando efectivamente.
Ejemplos:
1) cuestionarios
2) inspecciones
3) observaciones
4) reprocesos
T. 57
Detalle de Transacciones
Los testeos substantivos de detalle de transacciones estan
diseados para detectar:
1) errores monetarios o
2) irregularidades
en transacciones que afectan los estados financieros.
Ejemplo: controlar la facturacin
T. 58
Detalle de Balances Contables
Los tests substantivos de detalle de balances contables se
focalizan en los registros contables finales, en el balance.
Ejemplo: se puede circularizar a una muestra de clientes para
controlar que los saldos registrados sean correctos.
T. 59
Revisin Analtica
Los procedimientos de revisin analtica se focalizan en las
relaciones entre los items de datos.
El objetivo es identificar reas que requieran un trabajo de
auditora posterior.
Ejemplo: medir ingresos por ventas durante un perodo.
T. 60
Eficiencia y Eficacia
Para determinar la eficiencia y eficacia de las operaciones se
utilizan tipos de procedimientos similares:
3) testeos sustantivos de detalle de transacciones.
4) testeos sustantivos de resultados generales - la nocin de
balances contables no es aplicable en este caso. Ejemplo:
testeos de performance.
5) procedimientos de revisin analtica. Ejemplo: modelos de
simulacin.
T. 61
Orden de los Testeos
El orden de los testeos de menos costosos a ms costosos es:
4) testeos sustantivos de detalle de transacciones
5) testeos sustantivos de resultados generales/balances
contables
El orden es a la inversa si se evala la confiabilidad y el
contenido de la informacin de la evidencia provista por los
procedimientos.
T. 62
Pasos de una Auditora
T. 63
Planificacin de una Auditora
La primera etapa es la planificacin.
Las tareas que se realizan en la etapa de planificacin varan
dependiendo si es una:
1) auditora interna
2) auditora externa
T. 64
Auditora Interna
La etapa de planificacin incluye:
1) asignar personal adecuado a las auditoras
2) obtener informacin del cliente
3) realizar procedimientos de revisin analticos para
comprender el negocio del cliente
4) identificar reas de riesgo
Los auditores internos se preocupan por el tamao de las
prdidas que pudiera haber por operaciones ineficientes o
ineficaces.
T. 65
Auditora Externa
La etapa de planificacin incluye:
1) investigar nuevos clientes
2) asignar personal adecuado a las auditoras
3) obtener el contrato
4) obtener informacin del cliente
5) realizar procedimientos de revisin analticos para
comprender el negocio del cliente
6) identificar reas de riesgo
Los auditores externos se preocupan por el tamao de los
errores en los estados financieros.
T. 66
Tareas de Planificacin
1) determinar el alcance de la auditora,
2) emitir una opinin sobre el RDA,
3) emitir una opinin sobre el RI,
4) emitir una opinin sobre el RC,
5) calcular el RD que se debe lograr para cumplir con el RDA,
6) recolectar evidencia
7) documentar evidencia
T. 67
Alcance de la Auditora
Determinar qu se va a auditar:
1) un sistema
2) un conjunto de sistemas
3) un rea del tecnologa informtica
T. 68
Opinin de RDA
Se emite un RDA en general para toda la tarea de auditora.
T. 69
Opinin sobre RI
El RI depende del segmento a auditar.
Algunos segmentos son ms susceptible a errores,
irregularidades, ineficiencias, o ineficacias.
Para cada segmento evaluar los factores que conducen a RI, por
ejemplo:
sistema con manejo de efectivo: posibilidades de
defraudaciones.
sistema complejo tecnolgicamente: posibilidades de mal
uso de recursos.
T. 70
Opinin sobre RC
La decisin ms difcil est en emitir el juicio en el nivel de RC
asociado con cada segmento de la auditora.
Para esto, los auditores deben comprender los controles internos
usados dentro de la organizacin.
Los controles internos (CI) comprenden 5 componentes
relacionados:
1) controles de entorno
2) evaluacin de riesgo
3) actividades de control
4) informacin y comunicacin
5) monitoreo
T. 71
CI: Controles de Entorno
Incluye evaluar los elementos que establecen el contexto de
control en el cual deben operar los sistemas y los procedimientos
de control.
Ejemplos:
1) filosofa y estilo de gerenciamiento y operacin,
2) formas de asignar autoridad y responsabilidad,
3) mtodos para monitorear performance
T. 72
CI: Evaluacin de Riesgo
Incluye evaluar:
1) los elementos que identifican y analizan los riesgos a
los cuales se enfrenta la organizacin y
2) cmo son administrados.
Ejemplos:
1) planificaciones de proyectos
2) documentos de administracin de riesgos
T. 73
CI: Actividades de Control
Incluye evaluar los elementos que operan para asegurar que:
1) las transacciones son autorizadas,
2) las responsabilidades se separan,
3) los documentos y registros se mantienen
adecuadamente, etc.
Se clasifican en:
1) controles contables: elementos que operan para
asegurar distintos niveles de autorizaciones y
responsabilidades
2) controles administrativos: elementos para asegurar
eficiencia y eficacia.
T. 74
CI: Informacin y Comunicacin
Incluye evaluar los elementos en los cuales se:
1) identifica,
2) captura,
3) intercambia informacin
en tiempo y forma.
Permite asignar responsabilidades del personal adecuadamente.
Ejemplos: notificaciones, minutas de reuniones.
T. 75
CI: Monitoreo
Incluye evaluar los elementos que aseguran que los controles
internos operan de manera confiable en el tiempo.
Ejemplos:
1) monitoreos de performance,
2) control de calidad
T. 76
Comprender los Controles
Comprender los controles internos incluye factorizar y examinar
los controles gerenciales y de aplicacin.
Los controles gerenciales varan sustancialmente de organizacin
a organizacin. Ejemplo: los controles gerenciales son distintos
si la empresa tiene:
1) sistemas centralizados,
2) sistemas descentralizados.
T. 77
Ejemplo de Controles
Procedimiento para medir la
productividad del personal (control
gerencial)
Monitoreo
Procedimiento para comunicar
informacin (control gerencial)
Procedimiento para capturar, registrar y
procesar transacciones (control de
aplicacin)
Informacin y Comunicacin
Existencia de comit de seguimiento de
proyectos (control gerencial)
Controles de Entorno y
Evaluacin de Riesgos
Procedimiento para instalar programas
en produccin (control gerencial)
Actividades de Control
Implementacin Controles Internos
T. 78
Recolectar Evidencia
Existen distintas tcnicas para recolectar evidencia:
1) revisin de papeles de trabajo de auditoras previas
2) entrevistas con alta gerencia y personal superior
3) observacin de cmo se desarrollan las actividades
4) revisin de documentacin de sistemas
T. 79
Documentar Evidencia
La evidencia se documenta:
1) completando cuestionarios
2) construyendo diagramas de flujo de alto nivel
3) construyendo tablas de decisin
4) redactando descripciones narrativas.
5) utilizando herramientas CASE
No invertir demasiado tiempo en esta estapa. El necesario para
comprender los controles internos y decidir cmo proseguir con la
auditora.
Finalmente se debe evaluar el riesgo.
T. 80
Evaluacin de Riesgo de Control 1
Si se evalua que el RC < el nivel mximo =>
1) identificar los controles materiales que se relacionan
con la evaluacin
2) testear los controles para determinar si operan
efectivamente.
Premisa: los testeos de controles probarn, que si los
controles funcionan correctamente, se puede reducir la
necesidad de un testeo sustantivo.
T. 81
Evaluacin de Riesgo de Control 2
Si se evalua que el RC es de nivel mximo =>
no se testean los controles.
Se podra concluir que los controles internos no son efectivos.
Se debera realizar un testeo amplio.
T. 82
Testeo de Controles 1
El testeo de controles evala cuan confiables y especficos son
los controles.
Se testean, slo si el RC se determin menor al mximo.
Se confa en los controles como una base para reducir el costo
de un testeo ms amplio.
A esta altura, los auditores no saben si los controles
identificados operan efectivamente.
T. 83
Controles Gerenciales: Testeo
Se comienza por los controles gerenciales.
Si los controles gerenciales, demuestran contrariamente a lo
supuesto, que no operan eficientemente =>
no tiene sentido testear los controles de aplicacin.
Ejemplo:
solicitar programas
fuentes e inspeccionar
una muestra
Los gerentes afirman que existen estndares de
desarrollo
solicitar informes de
avances o minutas de las
reuniones.
Los gerentes afirman que se informa
peridicamente de los avances de proyectos
T. 84
Controles de Aplicacin: Testeo
Si los controles gerenciales funcionan efectivamente, se
procede a evaluar los controles de la aplicacin.
Ejemplo:
Luego de evaluados los controles, se vuelve a estimar el
riesgo.
pedir muestreo Existen niveles de autorizacin para
realizar transacciones
pedir muestreo Se limpian diariamente los errores
detectados
T. 85
Testeo de Controles: Conclusin
Se puede concluir que los controles internos son ms fuertes o
ms dbiles a lo anticipado.
Si los controles son ms fuertes a lo pensado, se puede
pensar en reducir testeos.
Si los controles son ms dbiles, se pueden ampliar los testeos.
T. 86
Actitud del Auditor
Durante esta etapa los auditores externos e internos pueden
tener distintas actitudes.
Situacin: se detecta que los controles son dbiles
1) auditor interno: puede expandir sus investigaciones
para lograr una mejor comprensin a cerca de la
naturaleza e implicancias de estas debilidades.
2) auditor externo: puede cortar sus investigaciones
(sobre causas) y realizar testeos ms amplios.
T. 87
Testeo de Transacciones
Se realiza para evaluar si un procesamiento errneo o
irregular puede ocasionar prdidas.
Ejemplo: examinar clculos, precios.
Desde un punto de vista operativo, el testeo de transacciones
sirve para determinar si el procesamiento es efectivo y
eficiente.
Ejemplo: consultas a una base de datos, carga de mquina.
T. 88
Testeo de Resultados Generales
Se realizan con el fin de obtener evidencia suficiente para
Realizar un juicio final sobre el grado de prdidas que podran
ocurrir cuando el sistema falla en: salvaguardar activos,
mantener la integridad de los datos y lograr efectividad y
eficiencia.
En general, este tipo de testeos, son los ms caros de las
auditoras.
Ejemplo:
Testeos de control de inventario fsico
Confirmacin de recepcin de
mercaderas
Reclculo de amortizaciones
Evaluar objetivos de salvaguarda de
activos e integridad de datos
T. 89
Testeo de Resultados ...
Si los auditores confan en que los controles son confiables,
pueden limitar el nmero y alcance de estos testeos.
Si es a la inversa, aumentarn el grado de control para
estimar mejor las prdidas.
T. 90
Evaluar Efectividad y Eficiencia
Evaluar efectividad y eficiencia es ms complejo.
Se puede trabajar con los usuarios estimando las prdidas por
no haber tomado una decisin por no contar con la
informacin en tiempo y forma.
Ejemplo: evaluar la ineficiencia por compra de hardware
inapropiado.
T. 91
Completar la auditora
En la etapa final, se realizan testeos adicionales para cerrar la
evidencia.
Finalmente, se formula la opinin sobre cmo ocurrieron las
prdidas materiales o registros incorrectos en un informe.
T. 92
Opiniones de Auditora
Los estndares en varios pases requieren que la opinin sea:
1) opinin excusada: en base al trabajo realizado no se
puede emitir opinin.
2) opinin adversa: se concluye que han ocurrido prdidas
materiales o que los estados financieros estn
distorsionados.
3) opinin con calificacin: se concluye que han ocurrido
prdidas materiales o existen registros incorrectos, pero
las cantidades no son considerables.
4) opinin sin calificacin: el auditor considera que no han
ocurrido prdidas materiales o no existen registros
incorrectos.
T. 93
Informe de Auditora
Un informe tpico debera incluir:
1) una introduccin que describa los objetivos de la
auditora,
2) el enfoque general utilizado,
3) un resumen de las conclusiones crticas,
4) recomendaciones para abordar las conclusiones crticas,
5) datos que respalden las conclusiones crticas.
T. 94
Formas de Auditar Sistemas
La auditora puede ser:
1) alrededor del sistema informtico
2) a travs del sistema informtico
T. 95
Auditora alrededor del Sistema
Lograr una opinin de auditora a travs de examinar y evaluar
los controles gerenciales, y el input y output de los sistemas.
Basndose en la calidad del input y output, el auditor infiere la
calidad del procesamiento - el procesamiento no se examina.
El sistema es visto como una caja negra.
Slo se debe realizar esta estrategia cuando es ms efectiva en
costo.
Se utiliza cuando se ubica gran confiabilidad en los usuarios en
lugar de en los sistemas - la auditora se concentra en los
controles de los usuarios en lugar de los controles en sistemas.
T. 96
El sistema debe presentar las siguientes caractersticas:
1) se utiliza un paquete como plataforma de software.
2) el sistema es simple y orientado a procesos batch.
3) el riesgo inherente es bajo
4) la lgica es simple y no se existen rutinas especiales
5) el input de transacciones es batch y el control se
mantiene usando mtodos convencionales
6) el procesamiento consiste fundamentalmente de ordenar
las transacciones y actualizar la base de datos
7) existen registros de auditora.
8) el entorno de tareas es relativamente constante y el
sistema rara vez se modifica.
Caractersticas del Sistema
T. 97
En estos casos, se debe auditar:
1) que la organizacin no modific el paquete,
2) que existen controles sobre las modificaciones,
3) que existen controles de calidad sobre inputs y outputs del
paquete
4) los procesos especiales montados sobre el paquete -
programas confeccionados para combinar funcionalidad.
Qu se Audita?
T. 98
Ventajas:
1) no requiere que el auditor posea conocimientos
tcnicos.
Limitaciones:
1) el tipo de sistemas donde es aplicable es restringido
2) no provee informacin sobre la capacidad del sistema
para la mantenibilidad. Esto puede inicidir en la
eficiencia del sistema. Ejemplo: deja de ser
performante o efectivo luego de realizar determinados
cambios.
Ventajas y Limitaciones
T. 99
Auditora a travs del Sistema
Se usa la computadora para testear:
1) el procesamiento de la lgica y los controles existentes
en el sistema,
2) los resultados producidos por el sistema
T. 100
Caractersticas del Sistema
Es recomendable cuando:
1) el riesgo inherente asociado con el sistema es alto
2) se procesan grandes volmenes de input y output
3) partes significativas de los controles internos estn
embebidas en el sistema
4) la lgica de la aplicacin es compleja
5) es aconsejable por consideraciones de costo-beneficio
6) existen gaps en la auditora visible.
T. 101
Ventajas y Desventajas
La ventaja es que los auditores tienen mayor poder para
testear el sistema ms eficientemente.
Se puede aumentar el alcance y la cantidad de testeos.
Al examinar la lgica, se tiene mayor base para estimar la
habilidad del sistema para modificaciones futuras.
Desventajas:
1) puede ser ms costoso (mayor demanda de horas)
2) puede requerir demasiados conocimientos y experiencia
tcnica.
T. 102
Resumen: Controles y Factorizacin
Un control es un sistema que previene, detecta y corrige
eventos ilegales.
Para realizar una auditora se debe factorizar en subsistemas:
1) funciones gerenciales
2) funciones de aplicacin
Otro criterio para factorizar es considerar subsistemas que
presenten mnimo acoplamiento y mxima cohesin.
Se debe evaluar la confiabilidad de los controles en cada
subsistema.
T. 103
Resumen: Evaluar Confiabilidad 1
Se deben evaluar los eventos.
Para identificar eventos, se consideran las principales
funciones del sistema.
Para cada funcin se debe:
1) definir cmo debera realizarse
2) cmo el sistema cumple con esa funcin
T. 104
Resumen: Evaluar Confiabilidad 2
Cuando ocurre un evento el sistema recibe una transaccin.
Pasos:
1) identificar los componentes que procesan cada
transaccin
2) comprender el procesamiento de cada componente
3) considerar errores o irregularidades que puedan ocurrir
durante el procesamiento
4) trabajar con clases de transacciones.
T. 105
Resumen: Riesgos
El riesgo de auditora es el riesgo de que un auditor fracase
al detectar las prdidas materiales reales, o potenciales, o
los registros incorrectos.
RDA = RI * RC * RD
RDA: Riesgo Deseado de Auditora
RI: Riesgo Inherente
RC: Riesgo de Control
RD: Riesgo de Deteccin
T. 106
Resumen: Pasos de una Auditora
T. 107
Resumen: Procedimientos
3) testeos substantivos de detalle de transacciones
4) testeos substantivos de detalle de balances contables
T. 108
Rsumen: Informe de Auditora
Un informe tpico debera incluir:
1) una introduccin que describa los objetivos de la
auditora,
2) el enfoque general utilizado,
3) un resumen de las conclusiones crticas,
4) recomendaciones para abordar las conclusiones crticas,
5) datos que respalden las conclusiones crticas.
T. 109
Resumen: Opinin de Auditora
1) opinin excusada: en base al trabajo realizado no se puede
emitir opinin.
2) opinin adversa: se concluye que han ocurrido prdidas
materiales o que los estados financieros estn
distorsionados.
3) opinin con calificacin: se concluye que han ocurrido
prdidas materiales o existen registros incorrectos, pero las
cantidades no son considerables.
4) opinin sin calificacin: el auditor considera que no han
ocurrido prdidas materiales o no existen registros
incorrectos.
T. 110
Resumen: Formas de Auditar
1) auditar alrededor del sistema
2) auditar a travs del sistema

Planificacion de La Auditoria de Sistemas

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Planificacion de La Auditoria de Sistemas

Cargado por

Copyright:

Formatos disponibles

Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006.

Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur

También podría gustarte