Mdulo 2

Auditora Computacional

Profesor: Germn Muoz T.

Carrera: Contador Auditor

Contenidos
Concepto de Auditora
Tipos de Auditoras
Auditorias de S.I.

Concepto de Control
Tipos de Controles

Auditora Computacional Mdulo 2

Concepto de Auditora
Auditora
El Instituto Norteamericano de Contadores Pblicos
(AICPA) lo define como un examen que pretende servir
de base para expresar una opinin sobre la
razonabilidad, consistencia y apego a los principios
de contabilidad generalmente aceptados, de estados
financieros preparados por una empresa o por otra
entidad para su presentacin al Pblico o a otras partes
interesadas. [AICPA,1983]

Auditora Computacional Mdulo 2

Concepto de Auditora
Auditora Interna
La Auditora Interna, segn el IIA, es una actividad
independiente y objetiva de aseguramiento y consulta,
concebida para ayudar a una organizacin a cumplir con
sus objetivos, aportando un enfoque sistemtico y
disciplinado para evaluar y mejorar la eficacia de los
procesos de gestin de riesgos, control y gobierno
(direccin)

Fuente: http://www.sbif.cl/sbifweb3/internet/archivos/DISCURSOS_10018.pdf

Auditora Computacional Mdulo 2

Tipos de Auditoras
El auditor computacional debe entender
los diversos tipos de auditoras que se
pueden efectuar interna o externamente

Auditoras Financieras
Auditoras Operativas
Auditoras Integradas
Auditoras Administrativas
Auditoras de Sistemas de Informacin
Auditoras Especializadas
Auditoras Forenses

Auditora Computacional Mdulo 2

Auditoras Financieras
El propsito es determinar la exactitud de
los estados financieros de una
organizacin
Pruebas sustantivas detallada
Enfoque basado en riesgos
Integridad y confidencialidad de la informacin
financiera

Auditora Computacional Mdulo 2

Auditoras Operativas
Est diseada para evaluar la estructura de
control interno en un proceso o rea
determinada
Auditoras de Sistemas de Informacin (SI) sobre
controles de las aplicaciones
Auditoras de sistemas de seguridad lgica

Auditora Computacional Mdulo 2

Auditoras Integradas
Combina pasos de auditora financiera y
operativa
Tambin se utiliza para evaluar los
objetivos generales de una organizacin,
relacionados con la informacin financiera
y la salvaguarda de activos, la eficiencia y
el cumplimiento
Ejecutada por auditores externos o internos
Puede incluir pruebas de cumplimiento

Auditora Computacional Mdulo 2

Auditoras Administrativas
Evaluar aspectos relacionados con la
eficiencia de la productividad operativa de
una organizacin

Auditora Computacional Mdulo 2

Auditoras de Sist. de Inf. (SI)

Este proceso recolecta y evala la
evidencia para determinar si los sistemas
de informacin y los recursos relacionados
Protegen adecuadamente los activos
Mantienen la integridad y disponibilidad de los datos y del
sistema
Proveen informacin relevante y confiable
Logran de forma efectiva los objetivos de la empresa
Usan eficientemente los recursos
Tienen controles internos efectivos

Auditora Computacional Mdulo 2

10

Auditoras Especializadas
Dentro de las Auditoras de Sistema de
Informacin existen auditorias
especializadas
SSAE-16 (ex SAS 70 - Statement
on Auditing Standards),
desarrollada por el AICPA (Instituto
Norteamericano de Contadores
Pblicos), donde se definen los
estndares profesionales usados
por un auditor de servicios para
evaluar los controles internos de
una organizacin de servicios.
SSAE 16 - Statement on Standards for Attestation Engagements

Auditora Computacional Mdulo 2

11

Auditoras Forense
Auditora especializada en descubrir,
revelar y hacer seguimiento de fraudes y
crmenes
Desarrollo de evidencia para ser utilizada por
autoridades policiales y crmenes
El auditor forense es llamado a participar en
investigaciones relacionadas con fraude corporativo y
crimen ciberntico

Auditora Computacional Mdulo 2

12

Concepto de Control
Control
Funcin del proceso administrativo, que tiene por objetivo
asegurar que las cosas se hacen de acuerdo a lo
planeado

Auditora Computacional Mdulo 2

13

Concepto de Control
Control (otras definiciones)
Tiene como objetivo cerciorarse de que los hechos
vayan de acuerdo con los planes establecidos
Implica la medicin de lo logrado en relacin con lo
estndar y la correccin de las desviaciones, para
asegurar la obtencin de los objetivos de acuerdo
con el plan.

Auditora Computacional Mdulo 2

14

Concepto de Control
Control Interno
Proceso, efectuado por el consejo de administracin, la
direccin y el resto del personal de una entidad, diseado
con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecucin de objetivos
dentro de las siguientes categoras:

Eficacia y eficiencia de las operaciones

Fiabilidad de la informacin financiera
Cumplimiento de leyes y normas que
sean aplicables

Auditora Computacional Mdulo 2

15

Concepto de Control
Los controles internos estn normalmente
constituidos por polticas, procedimientos,
prcticas y estructuras organizacionales
implementados para reducir los riesgos de
la empresa
Las actividades de control interno y los
procesos que las respaldan pueden ser
manuales o manejadas por recursos de
informacin automatizados

Auditora Computacional Mdulo 2

16

Concepto de Control
El directorio y la alta administracin son
responsables de establecer la cultura
apropiada para facilitar un sistema efectivo
y eficiente de control interno y monitorear
continuamente la efectividad del sistema
de control interno, aunque toda persona
dentro de la organizacin debe participar
en este proceso

Auditora Computacional Mdulo 2

17

Tipos de Control
Existen 2 aspectos claves que los controles
debe atender: qu debera lograrse y qu
debera evitarse
Los controles internos deberan estar
preparados para tratar eventos no deseados
a travs de la prevencin, deteccin y
correccin
Controles Preventivos
Controles Detectivos
Controles Correctivos
Auditora Computacional Mdulo 2

18

Controles Preventivos
Detectan los problemas antes que aparezcan
Monitorean tanto la operacin como las
entradas
Intentan predecir los problemas potenciales
antes de que ocurran y realizan ajustes
Evitan que ocurra un error, omisin o acto
malicioso

Personal calificado
Segregacin de funciones
Control de acceso
Procedimientos
Auditora Computacional Mdulo 2

19

Controles Detectivos
Utilizan controles que detectan e informan la
ocurrencia de un error, omisin o acto
fraudulento

Totales de verificacin
Verificacin duplicada de clculos
Funciones de auditora interna
Informe de cuentas vencidas
Reporte de rendimiento de sistemas
Revisin de registros de actividad de sistemas (log)

Auditora Computacional Mdulo 2

20

Controles Correctivos
Minimizar el impacto de una amenaza
Remediar problemas descubiertos por
controles detectivos
Identificar la causa de un problema
Corregir errores que surgen de un problema
Modificar los sistemas de procesamiento para
minimizar futuras ocurrencias del problema
Planificacin de contingencia
Procedimientos de respaldos
Procedimientos de nueva ejecucin

Auditora Computacional Mdulo 2

21

Mdulo 2

Auditora Computacional

Profesor: Germn Muoz T.

Carrera: Contador Auditor

Contenidos
Control Interno
Normativa
Controles Generales
Sistemas TI
Niveles de Controles Generales
Pruebas CAAT

Auditora Computacional Mdulo 2

23

Auditoras Financieras
Una vez adquirido un conocimiento general de la entidad,
y antes de iniciar la revisin de los procesos y
aplicaciones de gestin significativas a los efectos de la
auditora financiera y de sus controles, se debe revisar
la situacin de los controles generales, ya que el
grado de confianza en los mismos determinar la
posterior estrategia de auditora.
En un entorno informatizado de complejidad media o alta,
la revisin de los controles generales (CGTI) requerir,
normalmente, la colaboracin de un experto en auditora
de sistemas de informacin y la aplicacin de una
metodologa especfica.

Auditora Computacional Mdulo 2

24

Normativa
NAGA 44 - Seccin 319 - Consideracin del control interno
en una auditoria de estados financieros

Procesamiento de informacin: Se realizan una variedad de

controles para revisar la exactitud, integridad y autorizacin de las
transacciones. Los dos agrupamientos amplios de actividades de
control de sistemas de informacin son los controles generales y los
controles de aplicacin. Los controles generales normalmente
incluyen controles sobre operaciones de centros de datos,
adquisicin y mantencin de software de sistemas, seguridad de
acceso, y desarrollo y mantencin de sistemas de aplicacin. Estos
controles se aplican a los computadores mainframe, a los
minicomputadores, y a los ambientes de usuario final. Los controles
de aplicacin se aplican al procesamiento de aplicaciones
individuales. Estos controles contribuyen a garantizar que las
transacciones sean vlidas, estn debidamente autorizadas, y sean
procesadas total y exactamente.

Auditora Computacional Mdulo 2

25

Normativa
NIA 315 (Norma Internacional de Auditora)
Entendimiento de la entidad y su entorno y evaluacin de los riesgos
de representacin errnea de importancia relativa

93El auditor considera si la entidad ha respondido de manera

adecuada a los riesgos que se originan de TI estableciendo
controles generales de TI efectivos y controles de aplicacin
94. Los controles generales de TI son polticas y procedimientos
que se relacionan con muchas aplicaciones y soportan el
funcionamiento efectivo de los controles de aplicacin al ayudar a
asegurar la operacin continua apropiada de los sistemas de
informacin. Los controles generales de TI que mantienen la
integridad de la informacin y seguridad de los datos comnmente
incluyen controles sobre lo siguiente:

Operaciones de centros de datos y redes

Adquisicin, cambio y mantenimiento de software del sistema
Seguridad de acceso
Adquisicin, desarrollo y mantenimiento de sist. de aplicacin
Auditora Computacional Mdulo 2

26

Controles Generales (CGTI)

Los controles incluyen polticas, procedimientos y
prcticas (tareas y actividades) que son establecidos
por la gerencia para proveer una certeza razonable de
que se alcanzarn los objetivos especficos
Los Controles Generales son aplicables a todas las
reas de la organizacin, incluyendo infraestructura y
servicios de soporte de TI. Los controles generales
incluyen:
Controles internos de
contabilidad
Controles operativos
Controles administrativos
Polticas y Procedimientos
organizacionales de seguridad

Polticas generales para el

diseo y uso de documentos y
registros
Procedimientos y prcticas
para la proteccin de acceso
Poltica de seguridad fsica y
lgica para centros de datos

Auditora Computacional Mdulo 2

27

Controles Generales (CGTI)

Controles internos de contabilidad dirigidos a las
operaciones contables. Salvaguardar los activos y la
confiabilidad de los registros financieros
Controles operativos relacionados con las operaciones,
funciones y actividades cotidianas, y aseguran que la
operacin est cumpliendo con el objetivo del negocio

Controles administrativos relacionados con la eficiencia

de gestin y la adhesin a las polticas
Polticas y procedimientos organizacionales de
seguridad para asegurar el uso apropiado de activos de
informacin y tecnologa

Auditora Computacional Mdulo 2

28

Controles Generales (CGTI)

Polticas generales para el diseo y uso de
documentos y registros (manuales / automatizados)
adecuados para ayudar a asegurar el registro apropiado
de las transacciones (pista de auditora de transacciones)
Procedimientos y prcticas para asegurar la
proteccin adecuada en el acceso y el uso de activos e
instalaciones
Polticas de seguridad fsica y lgica para todos lo
centros de datos y recursos TI (ejemplo: servidores e
infraestructura de telecomunicaciones)

Auditora Computacional Mdulo 2

29

Controles de Sist. de Inf. (SI)

Cada control general puede ser traducido a un control
especfico. Un sistema de informacin bien diseado
debera contar con controles construidos en el mismo
para todas sus funciones sensitivas o crticas.
Por ejemplo, el procedimiento general para asegurar la
adecuada custodia del acceso a los activos e
instalaciones puede traducirse en un conjunto de
procedimientos de control relacionados con el Sistema
de Informacin, que abarque controles de acceso a los
programas de computacin.

Auditora Computacional Mdulo 2

30

Controles de Sist. de Inf. (SI)

Los procedimientos de control de SI incluyen:

Estrategia y direccin
Organizacin general y gestin
Acceso a los recursos de TI, incluyendo datos y programas
Metodologa de desarrollo de sistemas y control de cambios
Procedimientos de operaciones
Programacin de sistemas y funciones de soporte tcnico
Procedimientos de aseguramiento de la calidad (QA)
Controles de acceso fsico
Planificacin de continuidad de negocio (BCP) / recuperacin en
caso de desastre (DRP)
Redes y comunicaciones
Administracin de base de datos
Proteccin y mecanismos de deteccin contra ataques internos y
externos

Auditora Computacional Mdulo 2

31

Sistemas TI

Auditora Computacional Mdulo 2

32

Sistemas TI
Los controles generales afectan a todos los niveles de
los sistemas de informacin, si bien estn relacionados
con mucha mayor intensidad con aquellos niveles de
carcter general que afectan a toda la organizacin y a
los sistemas TI. Es decir, los controles generales
existentes en el sistema de informacin de una entidad
pueden establecerse en los siguientes niveles:
Nivel de la entidad
Nivel de los sistemas TI
Nivel de procesos/aplicaciones de gestin

Auditora Computacional Mdulo 2

33

Niveles de CGTI
Nivel de la entidad: reflejan en la forma de funcionar de una
organizacin, e incluyen polticas, procedimientos y otras prcticas
de alto nivel que marcan las pautas de la organizacin. Son un
componente fundamental del modelo COSO y deben tener en cuenta
las operaciones TI que respaldan la informacin financiera.

Nivel de los sistemas TI: Los servicios de tecnologa de la

informacin constituyen la base de las operaciones y son prestados
a travs de toda la organizacin. Los servicios TI normalmente
incluyen la gestin de redes, la gestin de bases de datos, la
gestin de sistemas operativos, la gestin de almacenamiento,
la gestin de las instalaciones y sus servicios y la
administracin de seguridad. Todo ello est gestionado
generalmente por un departamento TI centralizado.

Auditora Computacional Mdulo 2

34

Niveles de CGTI
Hay tres subniveles o capas tecnolgicas que el auditor debe evaluar
separadamente:
Sistemas TI de base
Sistemas operativos
Infraestructura fsica

Nivel de procesos/aplicaciones de gestin: Los procesos

de gestin (o procesos de negocio) son los mecanismos que emplea
una entidad para desarrollar su misin y prestar un servicio a los
destinatarios del mismo o usuarios.

Auditora Computacional Mdulo 2

35

Categoras de CGTI
La falta de normas tcnicas de auditora de general
aceptacin para la revisin de los CGTI en las auditoras
financieras provoca que, dependiendo del marco
conceptual que se adopte como referencia, los CGTI se
agrupan en categoras diferentes, no existiendo
unanimidad en cuanto a la clasificacin o categoras a
establecer de dichos controles

Auditora Computacional Mdulo 2

36

Categoras de CGTI

INTOSAI aprob en 2004 la Gua para las normas de control interno del sector pblico,
que forma parte de las Normas Internacionales de las Entidades Fiscalizadoras
Superiores (ISSAI) con el cdigo INTOSAI GOV 9100
Government Accountability Office (GAO) aprob en febrero de 2009 la ltima versin del
Federal Information System Controls Manual (FISCAM)
Norma Tcnica de Auditora del ICAC sobre la auditora de cuentas en entornos
informatizados

Auditora Computacional Mdulo 2

37

Pruebas CAATs
CAATs: Tcnicas de Auditoras asistidas por Computador
Cuando los sistemas tienen diferentes ambientes de
hardware y software, diferentes estructuras de datos,
formatos de registros y funciones es casi imposible para el
auditor recopilar evidencia sin una herramienta de
software para recolectar y analizar los registros.
Las CAATs incluyen las siguientes herramientas y
tcnicas: software de uso generalizado de auditora
(GAS); software de depuracin y escaneo (scanning);
datos de prueba, rastreo y mapeo (mapping) de software
de aplicaciones y sistemas expertos.

Auditora Computacional Mdulo 2

38

Pruebas CAATs
Funciones ms comunes:
Acceso a archivos
Reorganizacin de archivos
Seleccin de datos
Funciones estadsticas
Funciones aritmticas
Software ms utilizados

Auditora Computacional Mdulo 2

39