Documentos de Académico
Documentos de Profesional
Documentos de Cultura
mismos, lo cual puede llevar al incremento del riesgo de fraude. Dichas polticas y
procedimientos incluyen lo siguiente:
Estndares de adquisicin, desarrollo y documentacin
Capacitacin del usuario
Lineamientos de seguridad, respaldos y almacenamiento
Administracin de contraseas (password)
Polticas de uso personal
Estndares de adquisicin y uso de software
Estndares de proteccin de datos
Mantenimiento de programas y soporte tcnico
Un nivel apropiado de segregacin de funciones y responsabilidades
Proteccin contra virus.
Proteccin FsicaEquipo
Debido a sus caractersticas fsicas, las PCs y sus medios de almacenamiento son
susceptibles a robo, dao fsico, acceso no autorizado o mal uso. Pueden protegerse
fsicamente de la manera siguiente:
Cerrndolas bajo llave en un cuarto, gabinete o en un lugar protegido
Usando un sistema de alarma que se active si la PC es desconectada o movida de su
lugar
Asegurando la PC a una mesa
Con polticas que exponen los procedimientos apropiados a seguir al salir de viaje
con una computadora porttil laptop o al usarla fuera de las instalaciones
Usando la criptografa para archivos clave
Instalando un mecanismo de seguridad para controlar el interruptor de =P
encendido / apagado. Esto quiz no prevenga el robo de la PC, pero puede ser efectivo
para controlar el uso no autorizado
Desarrollando controles ambientales para prevenir daos por desastres naturales,
como incendio, inundacin, etc.
Proteccin FsicaMedios Removibles y No Removibles
Los programas y datos de las PCs pueden protegerse en medios de almacenamiento
removibles o no removibles. Por ejemplo, los disquetes y CDs pueden removerse
fsicamente de la PC, mientras que los discos duros normalmente estn integrados en la
PC o en una unidad independiente anexa a la misma. Adems, los componentes
interiores (incluyendo el hard drive disco duro) de muchas PCs, en particular laptops,
son fcilmente accesibles. Cuando muchos individuos usan una PC particular es ms
probable que los medios de almacenamiento se extraven, se alteren sin autorizacin o
se destruyan.
Es responsabilidad del usuario proteger los medios de almacenamiento removibles, por
ejemplo, manteniendo respaldos actualizados de dichos medios en un contenedor a
prueba de incendio, ya sea en el lugar de trabajo, fuera de l o en ambos. Esto aplica
igualmente a los sistemas operativos, programas de aplicacin y datos.
Seguridad de Programas y Datos
Cuando muchos usuarios pueden acceder a las PCs hay un riesgo de que el sistema
operativo, los programas y los datos puedan ser alterados sin autorizacin, o que los
usuarios puedan instalar sus propias versiones de programas dando pie a
responsabilidades potenciales sobre autorizacin del software.
El grado de caractersticas de control y seguridad presentes en un sistema operativo de
PC vara. Aunque algunos sistemas operativos contienen caractersticas de seguridad
sofisticadas selladas, los utilizados en PCs generalmente no las tienen. Sin embargo, hay
tcnicas para ayudar a asegurar que los datos que se procesen y lean sean autorizados,
El SABD y las aplicaciones contables importantes que usan la base de datos. Otras
aplicaciones dentro de la organizacin pueden generar o alterar datos que usan las
aplicaciones contables. El auditor considera cmo el SABD controla estos datos.
Los estndares y procedimientos para desarrollo y mantenimiento de los programas
de aplicacin que usan la base de datos. Las bases de datos especialmente las de
computadoras independientes, pueden a menudo ser diseadas e implementadas por
personas fuera del ambiente de TI o de las funciones contables. El auditor considera
cmo controla la organizacin el desarrollo de estas bases de datos.
La funcin de administracin de recursos de datos, est funcin juega un papel
importante para mantener la integridad de los datos almacenados en la base de datos.
Descripcin de puestos, estndares y procedimientos para los individuos
responsables del soporte tcnico, diseo, administracin y operacin de la base de datos.
Con los sistemas de base de datos es probable que una gama ms amplia de individuos
tenga importantes responsabilidades sobre los datos, al contrario de los sistemas que no
sean de base de datos.
Los procedimientos usados para asegurar la integridad, seguridad y totalidad de la
informacin financiera contenida en la base de datos.
La disponibilidad de recursos de auditora dentro del SABD.
Los procedimientos que se usan para introducir a la operacin nuevas versiones de
la base de datos.
Al determinar el grado de confiabilidad de los controles internos relacionados con el uso
de la base de datos en el sistema de contabilidad. Si el auditor posteriormente decide
apoyarse en dichos controles, ste disea y lleva a cabo las pruebas apropiadas.
Cuando el auditor decide llevar a cabo pruebas de control o procedimientos sustantivos
relacionados con el sistema de base de datos, a menudo ser ms efectivo hacerlo
usando tcnicas de auditora con ayuda de computadora. El hecho de que todos los datos
estn almacenados en un lugar, y organizados de una manera consistente, hace ms fcil
la extraccin de muestras. Tambin las bases de datos pueden incluir datos generados
fuera de la funcin contable, lo que ayudar a hacer ms efectiva la aplicacin de
procedimientos analticos.
Los procedimientos de auditora pueden incluir el uso de las funciones del SABD para:
Poner a prueba los controles de acceso
Generar datos para pruebas
Proporcionar una pista de auditora
Verificar la integridad de la base de datos
Proporcionar acceso a la base de datos o una copia de partes relevantes en la base de
datos para posibilitar el uso de software de auditora
Obtener informacin necesaria para la auditora.
Antes de usar los recursos del SABD, el auditor considera si estn funcionando en
forma adecuada.
Si los controles de administracin de la base de datos son inadecuados, tal vez no pueda
el auditor compensar las fallar de control con alguna cantidad de trabajo sustantivo. Por
lo tanto, cuando est claro que los controles en el sistema de base de datos no son
confiables, el auditor considera si la realizacin de procedimientos sustantivos sobre
todas las aplicaciones contables importantes que usan la base de datos lograra el
objetivo de auditora. Si el auditor no puede superar las fallas en el ambiente de control
con trabajo sustantivo para reducir el riesgo de auditora a un nivel aceptablemente bajo,
la NIA 700 El dictamen del Auditor Sobre los Estados Financieros, requiere que el
auditor emita su opinin con salvedades o se abstenga de emitirla.
Las caractersticas de los sistemas de base de datos pueden hacer ms efectivo para el
auditor practicar una revisin de pre-implementacin de nuevas aplicaciones contables
ms que revisar las aplicaciones despus de su instalacin. Est revisin de preimplementacin y revisin del proceso de administracin del cambio pueden dar al
auditor una oportunidad de solicitar funciones adicionales, tales como rutinas de
auditora o controles integrados dentro del diseo de la aplicacin. Puede tambin dar al
auditor tiempo suficiente para desarrollar y poner a prueba procedimientos de auditora
con anticipacin al uso del sistema.
Los controles internos sobre el procesamiento por computadora, que ayudan a lograr
objetivos globales del control interno, incluyen tanto procedimientos manuales como
procedimientos integrados en programas por computadora. Dichos procedimientos de
control manual y por computadora comprenden los controles globales que afectan el
entorno de CIS (controles generales de CIS) y los controles especficos sobre las
aplicaciones contables (controles de aplicacin CIS).
Controles Generales del CIS
El propsito de los controles generales de CIS es establecer un marco de referencia de
control global sobre las actividades de CIS y proporcionar un nivel razonable de certeza
de que se logran los objetivos globales del control interno. Los controles generales del
CIS pueden incluir lo siguiente:
1. Controles de organizacin y administracin: Diseados para establecer un marco de
referencia organizacional sobre las actividades de CIS incluyendo:
Polticas y procedimientos relativos a funciones de control
Segregacin apropiada de funciones incompatibles (por ejemplo, preparacin de
transacciones de entrada, programacin y operaciones por computadora.)
2. Desarrollo de sistemas de aplicacin y controles de mantenimiento: Diseados para
proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de
manera eficiente y autorizada. Tambin estn diseados tpicamente para establecer
control sobre:
Pruebas, conversin, implementacin y documentacin de sistemas nuevos y
revisados
Cambios a sistemas de aplicacin
Acceso a documentacin de sistemas
Adquisicin de sistemas de aplicacin con terceros.
3. Controles de operacin de computadoras: Diseados para controlar la operacin de
los sistemas y proporcionar certeza razonable de que:
Los sistemas son usados para propsitos autorizados nicamente
El acceso a las operaciones de la computadora es restringido a personal autorizado
Slo usan programas autorizados
Los errores de procesamiento son detectados y corregidos.
4. Controles del software de sistemas: Diseados para proporcionar razonable certeza
de que el software del sistema se adquiere o desarrolla de manera autorizada y eficiente,
incluyendo:
Autorizacin, aprobacin, pruebas, implementacin y documentacin de software
de sistemas nuevos y modificaciones del software de sistemas
Restriccin de acceso a software y documentacin de sistemas al personal
autorizado.
5. Controles de entrada de datos y de programas: Diseados para proporcionar
razonable certeza de que:
Hay establecida una estructura de autorizacin sobre las transacciones que se
alimentan al sistema
El acceso a datos y programas est restringido a personal autorizado.
Hay otras salvaguardas del CIS que contribuyen a la continuidad del procesamiento del
CIS. Estas pueden incluir:
Respaldo de datos y programas de computadora en otro sitio
Procedimientos de recuperacin para usarse en caso de robo, prdida o destruccin
intencional o accidental
Provisin para procesamiento externo en caso de desastre.
registro de nmina, y una rpida conciliacin bancaria.) En este caso, el auditor puede
desear probar slo los controles manuales ejercidos por el usuario.
Controles sobre los datos de salida del sistema: Si, adems de los controles
manuales ejercidos por el usuario, los controles que deben probarse usan informacin
producida por la computadora o estn contenidos dentro de programas de computadora,
puede ser posible probar dichos controles examinando los datos de salida del sistema
usando tcnicas de auditora ya sea manual o con ayuda de computadora. Dichos datos
de salida pueden ser en forma de medios magnticos, microfilm o impresos (por
ejemplo, el auditor puede probar los controles ejercidos por la organizacin sobre la
conciliacin de totales de reportes con las cuentas de control del libro mayor y puede
realizar pruebas manuales de dichas conciliaciones). Alternativamente, cuando la
conciliacin se realiza por computadora, el auditor puede desear probar la conciliacin
volviendo a ejecutar el control con el uso de tcnicas de auditora con ayuda de
computadora.
Procedimientos de control programados: En el caso de ciertos sistemas por
computadora, el auditor puede encontrar que no sea posible o, en algunos casos, no sea
prctico probar los controles examinando slo los controles del usuario o los datos de
salida del sistema (por ejemplo, en una aplicacin que no da resultados impresos de
aprobaciones crticas o violaciones a las polticas normales, el auditor puede querer
probar los procedimientos de control contenidos dentro del programa de aplicacin.) El
auditor puede considerar llevar a cabo pruebas de control con el uso de tcnicas de
auditora con ayuda de computadora, como prueba de los datos, reprocesamiento de
datos de transacciones o, en situaciones inusuales, examinar la codificacin del
programa de aplicacin.
Evaluacin
Los controles generales del CIS pueden tener un efecto significativo en el
procesamiento de transacciones en los sistemas de aplicacin. Si estos controles no son
efectivos, puede haber un riesgo de que pudieran ocurrir representaciones errneas y no
ser detectadas en los sistemas de aplicacin. As, las debilidades en los controles
generales del CIS pueden imposibilitar la prueba de ciertos controles de aplicacin del
CIS; sin embargo, los procedimientos manuales ejercidos por los usuarios pueden
proporcionar control efectivo al nivel de aplicacin.
DIPA 1009: Tcnicas de Auditoria con la ayuda de la computadora
Los objetivos y alcance global de una auditoria no cambian cuando se conduce una
auditoria en un ambiente de sistemas de informacin de cmputo (CIS). Sin embargo, la
aplicacin de procedimientos de auditora puede requerir que el auditor considere
tcnicas conocidas como Tcnicas de auditora con ayuda de computadora (TAACs) que
usan la computadora como una herramienta de auditora.
Las TAACs pueden mejorar la efectividad y eficiencia de los procedimientos de
auditora. Pueden tambin proporcionar pruebas de control efectivas y procedimientos
sustantivos cuando no haya documentos de entrada o un rastro visible de auditora, o
cuando la poblacin y tamaos de muestra sean muy grandes.
El propsito de esta declaracin es proporcionar lineamientos sobre el uso de TAACs.
Se aplica a todos los usos de TAACs que requieran el uso de una computadora de
cualquier tipo o tamao. Las consideraciones especiales que se refieren a ambientes de
CIS en entidades pequeas se describen ms adelante.
Descripcin de tcnicas de auditora con ayuda de computadora
Esta declaracin describe las tcnicas de auditora con ayuda de computadora
incluyendo herramientas de auditora, conocidas en forma colectiva como TAACs. Las
1. Fotos instantneas: Esta tcnica implica tomar una foto de una transaccin
mientras fluye por los sistemas de computadora. Las rutinas del software de auditoria
estn incorporadas en diferentes puntos de la lgica del procesamiento para capturar
imgenes de la transaccin mientras avanza por las diversas etapas del procesamiento.
Esta tcnica permite al auditor rastrear los datos y evaluar los procesos de computadora
aplicados a los datos.
2. Archivo de revisin de auditoria del control del sistema. Este implica incorporar
mdulos de software de auditoria dentro de un sistema de aplicaciones para
proporcionar monitoreo continuo de las transacciones del sistema. La informacin es
reunida en un archivo especial de computadora que el auditor puede examinar.
Las tcnicas de datos de prueba a veces se usan durante una auditoria, alimentando
datos (por ejemplo, una muestra de transacciones) en el sistema de computadora de una
entidad y comparando los resultados obtenidos con resultados predeterminados.
Un auditor podra usar datos de prueba para:
1. Poner a prueba controles especficos en programas de computadora, tales como
controles en lnea de contraseas y acceso a datos;
2. Poner a prueba transacciones seleccionadas de transacciones previamente
procesadas o creadas por el auditor para poner a prueba caractersticas especficas de
procesamiento de los sistemas de informacin de una entidad. Dichas transacciones
generalmente son procesadas por separado del procesamiento normal de la entidad; y
3. Poner a prueba transacciones usadas en un mecanismo integrado de pruebas
donde se establece una unidad modelo (por ejemplo, un departamento o empleado
ficticio), a la cual se le registran las transacciones durante el ciclo de procesamiento
normal.
Cuando se procesan los datos de prueba con el procesamiento normal de la entidad, el
auditor se asegura de que las transacciones de prueba sean eliminadas posteriormente de
los registros contables de la entidad.
El creciente poder y sofisticacin de las microcomputadoras, particularmente laptops, ha
dado como resultado otras herramientas para uso del auditor. En algunos casos, las
laptops sern enlazadas a los sistemas de computadora central del auditor.
Ejemplos de estas tcnicas incluyen:
Sistemas expertos, por ejemplo en el diseo de programas de auditoria y en la
planeacin de auditoria y evaluacin de riesgos
Herramientas para evaluar los procedimientos de un cliente para la administracin
de riesgos
Papeles de trabajo electrnicos, planeados para la extraccin directa de datos de los
registros de la computadora del cliente, por ejemplo: descargar el libro mayor para
pruebas de auditoria.
Programas de modelaje corporativo y financiero para usar como pruebas predecibles
de auditoria.
Estas tcnicas son ms comnmente conocidas como automatizacin de la
auditoria.
Consideraciones en el uso de TAACs
Al planear una auditoria, el auditor puede considerar una combinacin apropiada de
tcnicas de auditoria manuales y con ayuda de computadora. Al evaluar el uso de
TAACs, los factores a considerar incluyen:
Antes de usar TAACs el auditor considera los controles incorporados en el diseo de los
sistemas de computadora de la entidad a los que se aplicaran stas para determinar
cmo deberan emplearse.
1. Conocimiento, pericia y experiencia del equipo de auditora del ambiente de CIS