Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe N 16
rea Auditora
Autores
Leopoldo Cansler
Luis Elissondo
Luis A. Godoy
Ricardo Rivas
PRLOGO
El trabajo desarrollado por los Investigadores del CECYT viene a remplazar el
Informe N 6 del rea de Auditora denominado Pautas para el examen de
estados contables en un contexto computadorizado que fuera realizado
muchos aos atrs, por un numeroso grupo de profesionales especializados en
Sistemas y en Auditoria de Estados contables y del que tuve el honor de formar
parte.
Aqul informe pudo cumplir acabadamente su cometido llenando un vaco
doctrinario en un rea particularmente sensible pero como ocurre a menudo,
con el correr de los tiempos qued parcialmente desactualizado.
Por tal motivo, se solicit a los colegas Cansler, Elissondo, Rivas y Godoy
aggiornar aqul trabajo incorporando los nuevos conceptos y desarrollos
reconociendo la importancia creciente de la tecnologa de la informacin. As
entonces, el Informe COSO (Committee of Sponsoring Organizations of the
Treadway Commission), COBIT (Control Objectives for Information and related
Technology), SAC (Systems Auditability and Control Report), las normas y
declaraciones internacionales de auditoria y mucho otro material ha sido tenido
en cuenta para preparar el presente fascculo.
Este informe tiene como objetivo ayudar al Contador en su trabajo de auditora
en entes con sistemas de informacin por computadora sin que se requiera
para ello ser un especialista en sistemas. Se trata, entonces, de una obra corta,
de fcil lectura y rpida comprensin que contiene lo esencial, lo importante, lo
significativo.
Desde que un ambiente como el sealado puede afectar los procedimientos
seguidos por el auditor para obtener una comprensin suficiente de los
sistemas de contabilidad y control interno, la consideracin del riesgo inherente
y del riesgo de control a travs de la cual el auditor llega a la evaluacin del
riesgo y el diseo y desarrollo de pruebas de control y procedimientos
sustantivos para cumplir con el objetivo de la auditora, el presente Informe lo
ayudar a obtener el conocimiento necesario para disear el plan de auditora,
dirigirlo o ejecutarlo y finalmente evaluar el trabajo desarrollado emitiendo las
respectivas conclusiones.
Cayetano A. V. Mora
Director del rea de Auditora del CECyT
Noviembre de 2004
1.
Introduccin
y almacenamiento de informacion
2.3.4. Criterios para el control de la informacion relacionada
con otras aplicaciones.
3.
3.1.
Conclusin
dirigirlo o ejecutarlo, y
Datos
Es el elemento bsico de los sistemas de informacin. De su adecuado
tratamiento depende la calidad de la informacin que luego se genere.
o Debe encontrarse claramente establecida la responsabilidad por el
ingreso de los datos. Sobre este punto hay que tener presente que el
ingreso de los datos puede ser realizado desde distintas fuentes:
Sistemas de Aplicacin:
Comprende el desarrollo, adquisicin, mantenimiento, soporte e
implantacin de sistemas de informacin computarizados. Es necesario
que:
o Exista una metodologa para el desarrollo de aplicaciones y esta sea
aplicada efectivamente en su totalidad.
o Se hayan determinado mtodos que permitan evaluar la adecuada
calidad de las aplicaciones que se implementan.
o Existan pautas o procedimientos especficos establecidos para la
solicitud e instrumentacin de cambios en las aplicaciones.
o La puesta en marcha de nuevas aplicaciones o modificaciones a las
existentes se encuentren adecuadamente autorizadas, como
condicin previa a su instalacin.
o Se disponga de mecanismos adecuados para dar soporte a los
usuarios y se lleve un registro estadstico de los requerimientos
realizados.
o Exista una poltica y procedimientos predefinidos para el caso en que
las aplicaciones sean contratadas a terceros.
Infraestructura Tecnolgica:
10
11
12
anteriormente
pueden
producir
los
13
Committee of Sponsoring of the Treadway Comisin (COSO). Los nuevos conceptos del
control interno. Obra citada.
14
Ambiente de Control
Evaluacin de Riesgos
Actividades de Control
Informacin y Comunicacin, y
Monitoreo.
Consideraciones generales
15
Los objetivos de control son los que la Organizacin desea cumplir para
minimizar o eliminar los riesgos.
Si la organizacin no establece controles internos se expone a los siguientes
riesgos:
Fraude:
Prdidas de beneficios. Daos a la imagen de la empresa.
Interrupcin del negocio:
Pueden interrumpirse sus operaciones, perder beneficios y prdida de
competitividad y marketing.
Errores:
Puede resultar informacin errnea lo cual puede conducir a tomar decisiones
equivocadas.
Clientes insastifechos:
Un entorno de control dbil puede impactar en las habilidades de la empresa y
perder clientes o no renovarlos.
Uso ineficiente de recursos:
Si no son usados en forma eficiente no satisfacen las necesidades del negocio
y de los clientes.
Los objetivos de control se pueden clasificar en:
Validez (o utilidad) de la informacin:
Seguridad
Conformidad
a. Validez de la informacin: Los controles deben asegurar la
integridad, confidencialidad y oportunidad de la informacin. El dato,
que es el elemento de la informacin es categorizado, sumado,
ordenado, procesado y manipulado para formar la informacin para
la toma de decisiones. El auditor debe evaluar los controles sobre los
datos, transacciones y programas.
b. Seguridad: Incluye seguridad del Hard del Soft y de los datos. La
seguridad es responsabilidad de todos y el compromiso de la
Direccin es crtico. Los controles deben estar instalados para evitar
prdidas o destruccin y poder detectarlos si es que ocurre.
c. Conformidad: La conformidad tiene un impactgo muy importante,
est dada por a adecuacin a normas y regulaciones legales.
16
CIS-Organizacin y Operaciones
-
Desarrollo de sistemas
17
Microcomputadores
-
Recuperacin de desastres
-
2.2.1
18
19
20
21
2.3.
22
23
24
Controles Generales
En cuanto a los objetivos del control, son los enunciados en este punto,
contenidos en la definicin de control de la NIA 400, los que tambin coinciden
con el definido en el punto 2, tomado de la definicin del Informe COSO.
3.1.1.2 Comprensin de los sistemas contable y de control interno
Cuando, con el propsito de planificar su trabajo, el auditor se disponga a obtener
la adecuada comprensin de los sistemas contable y de control interno, debe
alcanzar suficiente conocimiento de su diseo, as como de la manera en que
funcionan. Por ejemplo, mediante pruebas aleatorias sobre algunas transacciones
del sistema contable.
Este procedimiento debe ser tratado como parte integrante de las pruebas de
control cuando las transacciones seleccionadas sean ajenas al sistema habitual.
La naturaleza y alcance de las pruebas aleatorias aplicadas por el auditor no
permite que por s solas suministren evidencia de auditora suficiente y adecuada
como para apoyar una evaluacin del riesgo de control a un nivel diferente del
alto.
25
que los saldos de los activos se comparen con la existencia real de los
mismos a intervalos razonables, y se tomen las medidas oportunas
cuando se detecten diferencias.
26
b)
27
28
29
30
31
32
tomen de su repositorio) o bien formen parte del programa (no por copia,
sino incluido especficamente).
Estas informaciones, tambin podran estar contenidas en diccionarios de
datos, que consisten en un depsito de uso general, donde se describen
para cada uno de los archivos sus diseos y el uso que se hace de sus
contenidos.
33
34
35
36
Ambiente de la
Fuera del mbito operativo (*)
prueba
Transacciones Desarrolladas
Aprovechando las
a utilizar
especialmente
transacciones reales
para la prueba
procesadas en el
(simuladas).
sistema (una copia de
ellas).
Sistema
Sistema real
Sistema simulado
empleado
(copia)
(construido)
Tcnicas
Lote de
Simulacin en
aplicables
prueba
paralelo
Caso base
Minicompaa
Tcnicas
concurrentes.
Observacin
(*) Ello no implica qu computador se emplear, sino que puede ser el que se
emplea en la operacin diaria, pero en un rea del ambiente adecuadamente
separado.
Entre las tcnicas que complementan a las anteriores, deberemos citar:
Software de comparacin de versiones de programas.
Pista de seguimiento de transacciones.
Tal como se muestra en el cuadro anterior, entre las tcnicas aplicables
tenemos:
-
Lote de prueba
Caso base
Simulacin en paralelo
Minicompaa
Tcnicas concurrentes
Observacin
37
a.2 El concepto del caso base, es una extensin del lote de prueba luego de su
primera utilizacin.
Toda la documentacin y soportes magnticos, pueden ser mantenidos (y
mejorados) tanto con sus transacciones simuladas como con sus datos
"maestros", posibilitando que en una circunstancia futura, se puedan
ejecutar con el empleo de una copia del sistema real y volver a obtener los
resultados a comparar con los esperados.
Un logro importante, sera encontrar en el propio sistema que se est
auditando, los datos de prueba conservados por sus responsables como
elemento respaldatorio del trabajo desarrollado por el rea de sistemas de
la organizacin. Esto aliviara sobremanera la labor del auditor que, luego
de evaluar la calidad y profundidad de los componentes de la prueba,
quiz solo quiera ejecutarla nuevamente o bien agregar slo algunos
casos especiales.
a.3. La simulacin en paralelo en cambio, consiste en desarrollar un programa
(o sistema de programas) con el cual, se analicen las transacciones de un
perodo transcurrido, a efectos de hallar qu reacciones, excepcionales o
no, han debido provocar en el sistema que se est auditando.
La prueba se completa con la revisin en el sistema real, ubicando la
transaccin real y verificando los resultados producidos por ese proceso
real.
Al construir otro sistema y procesar las transacciones reales, se puede
evaluar si los resultados reales coinciden correctamente con los
esperados. Esto es, si los datos grabados en los archivos coinciden con
lo esperado, puesto que en caso contrario, se demostrara que los
archivos son alterados por fuera de la operacin de las aplicaciones
(apelando a programas utilitarios y/o comandos del software de base o de
base de datos).
a.4. La minicompaa consiste en la incorporacin, dentro de los archivos
normales de la institucin, de registros especialmente ingresados (dados
de alta) para finalidades de auditora.
En tal situacin, el auditor puede utilizar el mtodo de crear transacciones
(tal como para el lote de prueba), o bien seleccionar transacciones reales
a las que, luego de duplicarlas, las lleve a impactar sobre los registros
especiales de auditora.
38
39
40
Tcnica
LOTE DE
PRUEBA.
Ventajas
Demanda escasa
habilidad tcnica al
auditor.
Permite probar el
circuito computarizado y
el administrativo.
Posibilita una prueba
cuasi completa de todas
las variantes que se
deseen probar.
Produce una evidencia
completa de los
resultados.
Limitaciones
41
CASO BASE.
SIMULACIN EN
PARALELO.
MINICOMPAIA.
Demanda escasa
habilidad tcnica al
auditor.
La prueba es
concurrente con la
operacin (en lnea y en
el mismo ambiente) y es
ejecutable varias veces
durante un ejercicio
comercial, sin
preparacin previa (idea
de la prueba (idea de
fotografa).
Debe mantenerse el caso
base, actualizado con las
actividades de cambios
en el sistema, al tener
que crear nuevas
transacciones para probar
las nuevas rutinas y
eliminar las retiradas.
Demanda habilidad
tcnica del auditor, para
programar el sistema,
aunque tambin es
posible efectuarla
empleando soft especfico
de auditora u otras
herramientas.
Slo se pueden probar,
de las situaciones
buscadas, aqullas que
se presenten en las
transacciones analizadas.
Por el motivo anterior,
requiere sea ejecutado en
ms de un perodo.
Es probable que ciertas
situaciones que se
desean controlar, no se
presenten en absoluto.
En esto queda la duda, si
se desean probar
situaciones demasiado
fantasiosas o hay abierta
una puerta que debiera
encontrarse cerrada ?.
El programa (siempre hay
un programa principal),
podra estar alterado para
atender los
requerimientos del
auditor?. Esta
consideracin parece
poco probable.
Pueden existir
limitaciones impositivas y
de otras fuentes
42
TCNICAS
CONCURRENTES
OBSERVACIN
de pelcula).
Aunque los registros
especiales se conocen,
el auditor cuenta con la
sorpresa de su
utilizacin.
Se prueban situaciones
de cambio, que el
sistema tiene previsto
resolver, por el mero
transcurso del tiempo.
Posibilita un monitoreo
excelente de las
condiciones que el
auditor desee.
De venir provisto en el
soft adquirido (ERP), su
aplicacin se ve
facilitada.
Demanda escasa
habilidad tcnica al
auditor y slo un
conocimiento funcional
del sistema.
La prueba es
concurrente con la
operacin (en lnea y en
el mismo ambiente), sin
preparacin previa, lo
cual facilita el factor
sorpresa.
reglamentarias.
El auditor queda
comprometido con el
sistema (se requiere un
logging muy adecuado
para deslindar
responsabilidades).
Se pierde integridad
(aunque controlada) de la
base de datos.
Demanda alta habilidad
tcnica del auditor o de
quien esto realice, con las
consiguientes inversiones
de dinero y tiempo.
El compromiso del auditor
con las rutinas del
sistema, es insoslayable.
Resulta de aplicacin
limitada, para validar las
interfaces del usuario en
los ingresos de datos y
consultas.
Puede dificultar el
desenvolvimiento normal
de los operadores.
43
44
45
Las TAACs son programas de computadora que el auditor usa como parte
de los procedimientos de auditora para procesar datos importantes para su
tarea contenidos en los sistemas de informacin del ente. Los datos pueden
ser de transacciones, sobre los que el auditor desea realizar procedimientos
sustantivos, o pueden ser otros tipos de datos. Tambin pueden consistir en
programas en paquete, programas escritos para un propsito determinado,
programas utilitarios o programas de administracin del sistema.
Independientemente del origen de los programas, el auditor verifica que
sean apropiados y su utilidad para los fines y objetivos de la auditora que lo
ocupa antes de usarlos.
Los distintos tipos de programa a utilizar son entre otros:
Programas en paquete
Programas utilitarios
Rutinas de auditora
Los programas en paquete son programas generales de
computadora, diseados para desempear funciones de
procesamiento de datos, tales como leer datos, seleccionar y
analizar informacin, hacer clculos, crear archivos de datos as
como dar informes en un formato especificado por el auditor.
46
47
conciliar los datos que deban usarse para la TAAC con los registros
contables;
48
49
50
51