Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditori A
Auditori A
Podemos definir la seguridad como aquella actividad encaminada a dar al procesamiento de datos la
proteccin razonable. Y decimos razonable porque nunca existe certeza absoluta. El tema es fundamental pues
hoy en da, el mbito de sistemas constituye el punto donde se concentra la mayor parte de la informacin de la
empresa.
Es evidente que la informacin utilizada por los entes en general ha variado en la ltimas dcadas. Del mismo
modo lo han hecho las necesidades de generacin de esa informacin y los medios de procesarlas. Aunque se
observan ciertas diferencias entre los sistemas computarizados y los convencionales puede afirmarse que el
procesamiento electrnico de datos no afecta a los objetivos del control interno, la responsabilidad de la direccin
y las limitaciones inherentes al sistema de control interno, pero s afecta el enfoque para la evaluacin del mismo y
el tipo de evidencia de auditora que se obtiene.
Los enfoques de auditora que se utilizan en ambientes en los que una parte significativa de los procesos
administrativos son procesados electrnicamente han evolucionado con el tiempo. Se pueden clasificar as:
enfoque tradicional o externo
consiste en realizar los procedimientos de verificacin utilizando los datos de entrada al sistema y someter
estos datos al proceso lgico que se realiza en esa etapa especfica de procesamiento. Con estos
elementos se obtienen datos de salida procesados manualmente; se comparan con los generados por el
sistema y se concluye si el procesamiento electrnico llega a resultados razonables (por muestreo).
enfoque moderno
consiste en realizar los procedimientos de verificacin del correcto funcionamiento de los procesos
computarizados utilizando la computadora se seleccionan tcnicas de auditora que controlan la
forma en que la aplicacin contable computarizada funciona. Las tcnicas son variadas pero todas ellas
tienen en comn que no consideran el procedimiento como una caja negra. Consisten en revisar pasos
de programas, la lgica del lenguaje utilizado, re-procesar una serie de operaciones a travs del propio
sistema computarizado, etc.
El auditor pondr los objetivos del trabajo (evaluacin de riesgos), identificar procedimientos de auditora que se
aplicarn y avaluar los resultados de la aplicacin de los mismos.-
El Objetivo es, entonces, la seguridad de esa informacin, por lo que debemos implementar controles para
disminuir o evitar los riesgos. Dichos controles, determinarn el grado de confiabilidad de la informacin
suministrada.
Las organizaciones, sobre todo las pequeas y medianas, carecen de documentacin, estndares para la
elaboracin, como as tambin de controles internos.
No debera diferenciarse la estructura de controles internos a evaluar de acuerdo al tamao de la
empresa. La diferencia radica en la intensidad de algunos controles, en especial los de:
Separacin de funciones
Archivos
Seguridad fsica
Debe tenerse siempre presente el principio de economa de procesamiento (el costo de los controles debe
ser inferior al beneficio del proceso, y los controles su magnitud- debe estar relacionada con los riesgos a
evaluar).
Por ltimo, los avances en tecnologa de comunicaciones han ocasionado una nueva fuente de control: las
lneas de comunicacin.
Todos estos aspectos confluyen en un nico objetivo:
Evaluar el control interno de forma tal de asegurar que la informacin que se procesa sea toda la que se debe
procesar, sea debidamente autorizada, que se atienda a la conservacin y mantenimiento de los recursos de
sistemas y que exista una perfecta definicion de la separacin de responsabilidades por las operaciones
ejecutadas
Conceptos de auditora y control interno
Definicin de Control Interno
Est incorporado a la estructura de la organizacin, esto asegura la continuidad del control (no es
espordico). Es preventivo. Que se controle antes de los procesos hace ms probable que las cosas salgan mejor,
que mejore notablemente la calidad de lo producido. Bsicamente busca la prevencin y no la deteccin posterior.
Si los Controles internos son buenos, no har falta trabajar con toda la informacin, bastar con una muestra
significativa.
Una definicin acertada sera: es el conjunto de normas procedimientos existentes en el ente auditado,
implementados con el fin de alcanzar los objetivos para los cuales se creo el ente.
Definicin de Auditoria
La auditoria la definimos como un control destinado a evitar errores por negligencia y/o irregularidades
dentro del funcionamiento de los distintos entes u organizaciones. Por ello cuando se habla de auditoria en un
sentido general se entiende que implica examinar o revisar determinado objeto o atributo. Todo ente u
organizacin, ya sea con fin de lucro o sin l, posee ciertos controles o parmetros preestablecidos para permitir
su habitual funcionamiento. La auditoria controla dichos parmetros, razn por la cual, en forma rudimentaria, se
suele decir que la auditoria es el control de los controles o un control de los controles ya existentes en el ente
auditado.
Pasos de la Auditoria
En cuanto a las etapas la Resolucin Tcnica N 7 aprobada por la Federacin Argentina de Consejos
Profesionales de Ciencias Econmicas nos da una pauta de los pasos a seguir al momento de llevar a cabo una
auditoria. Bsicamente son tres:
a. Planificacin (Predetermina tareas)
b. Ejecucin (Aplica procedimientos y los soporta)
c. Conclusin (Emite un informe)
Riesgos
Existen tipos y clases de riesgos, es decir, se puede hacer una diferenciacin de los errores y omisiones
en los cuales se puede incurrir.
Riesgo inherente
Es el riesgo innato o de origen que posee un dato por el simple hecho de su existencia y estar
dado por las caractersticas de lo auditado. Se podra decir que todo objeto de auditoria lleva
adjunto su riesgo inherente.
Riesgo de Control
Este riesgo estar dado por la ineficiencia de los procedimientos de control.
Riesgo de Deteccin.
El riesgo de deteccin afecta directamente a la figura del auditor como sujeto ejecutante de la
auditoria. Es decir este riesgo se presenta por la propia falta de capacidad del auditor para
detectar o percibir un error u omisin.
Los controles del departamento de sistemas involucran a ms de una aplicacin. Existen 3 tipos de riesgo:
Estructura organizativa y procedimientos operativos no confiables
Riesgo: cambios no autorizados en programas o en archivos de datos. Las medidas de prevencin se
tornan crticas para asegurar la confiabilidad de la informacin
Medios de Control: separar las principales responsabilidades de las actividades de operacin y
programacin. Diferentes personas deben desempear las funciones de: Gerencia del departamento,
anlisis - diseo y programacin de aplicaciones, mantenimiento de software de sistemas,
operaciones, control de datos, seguridad de datos. Controles sobre acceso fsico y sobre el desarrollo
de los programas.
Procedimientos no autorizados para cambios en los programas
Riesgo: los programadores pueden realizar cambios incorrectos en el software de aplicacin.
Medios de Control: los posibles controles son: los cambios deben ser iniciados y aprobados por los
usuarios, las modificaciones deben ser revisadas y aprobadas por la superioridad.
Acceso general no autorizado a los datos o programas de aplicacin
Riesgo: personas no autorizadas pueden tener acceso directo a los archivos de datos o programas de
aplicacin utilizados para procesar transacciones permitindoles realizar cambios no autorizados a los
datos o programas.
Medios de Control: los posibles controles son: software de seguridad, registro de operaciones
(consola), informes gerenciales especiales.
Tambin se debe tener en cuenta el control de concurrencia (acceso simultneo a los datos) y el control de
transacciones (asegurando que una transaccin pueda completarse totalmente o volverse hacia atrs luego de
producido un fallo)
Son los aspectos a ser tenidos en cuenta por el auditor, desde los siguientes puntos de vista:
Ambiente de sistema
Recabar informacin sobre el grado de utilizacin del procesamiento electrnico de datos en
aquellas aplicaciones financieras significativas. Principales temas a considerar para adquirir
conocimientos sobre el ambiente, son los siguientes:
Conocimiento de la estructura organizativa de los sistemas
Conocimiento de la naturaleza de la configuracin de sistemas
Alcance del procesamiento computarizado de la informacin
Ambiente de Control
Conjunto de condiciones dentro de las cuales operan los sistemas de control. Est referido al enfoque
que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que
ejerce ese control. Los aspectos a considerar para evaluar la efectividad del ambiente de control son:
El enfoque de control por parte del directorio y la gerencia superior
La organizacin gerencial: posicin del gerente de sistemas
El gerente de sistemas tiene como funcin crear y mantener un adecuado ambiente de control.
Hecha la planificacin estratgica, se documentan las decisiones preliminares para cada uno de los componentes
con un enfoque tentativo de auditora
Planificacin detallada
Es la seleccin de los procedimientos de auditora, que comunmente se traducen en la preparacin de los
programas de trabajo. El auditor se concentra en obtener y documentar una comprensin sobre los controles
directos y generales para los componentes significativos de los estados financieros-
Seguridad de sistemas con procesamiento en tiempo real
Los controles vistos anteriormente, deben aplicarse tambin en procesos en tiempo real, pero adems deben
agregarse otros que son propios de este tipo de procesamiento.
VERIFICACIN
Ya definidos cules deben ser los controles que una organizacin debe aplicar en cada uno de los
componentes de sus SI, debemos analizar los diferentes circuitos que existan para comprobar que esos controles
sean cumplidos.
Se pasa entonces a las etapas de verificacin en las cuales se debe obtener evidencia comprobatoria,
vlida y suficiente de que los controles funcionan adecuadamente. Son las denominadas pruebas de
cumplimiento, que determinarn la naturaleza, el alcance y oportunidad de los procedimientos de auditora a
aplicar en la informacin almacenada en el sistema de informacin.
Debe comprobarse la existencia de una estructura organizativa adecuada, mediante inspeccin de
manuales, perfiles de usuario, entrevistas, etc.
Debe comprobarse la existencia escrita y correcta actualizacin de normas y procedimientos de
programacin y tecnologa.
Debe verificarse la continuidad del procesamiento (planes de contingencia, polticas de back-up, etc)
Deben verificarse los controles del teleprocesamiento (funciones del administrador de red, criptografa)
Los controles en las aplicaciones pueden verificarse a travs de medidas de
documentacin, niveles medios de fallas, calidad de diseo, cantidad de usuarios,
complejidad, cantidad de transacciones, modalidades del procesamiento, estabilidad,
escalabilidad, etc (para reflejar estas medidas puede usarse una matriz de riesgo con sus
respectivas ponderaciones).
Para llevar a cabo las pruebas de cumplimiento de un sistema puede o no utilizarse una computadora. Las
pruebas de cumplimiento con el uso de una computadora pueden clasificarse en:
PRUEBAS SUSTANTIVAS
Una vez realizadas las pruebas de cumplimiento se debe analizar la informacin almacenada en el SI. Si la misma
se encuentra en soportes informticos puede ser analizada en su totalidad (el alcance ser total) puesto que ello
puede hacerse rpidamente. La informacin que no es encuentre almacenada digitalmente puede ser muestreada
segn el diagnstico hecho sobre los controles generales y los controles particulares.
Controles: construcciones adecuadas, desages aptos, bombas de desagote, sensores de lnea, generadores
propios, instalaciones antiincendios, UPS, grupos electrgenos, utilizacin de cable canal, cableado elctrico
adecuado, realizacin de back-ups, separacin fsica de copias de seguridad y equipos de contingencia,
identificacin del personal afectado y no afectado al rea de sistemas, etc.
Seguridad lgica
Los datos pueden sufrir consultas y modificaciones no autorizadas, adems de destrucciones.
Por ello se deben implementar medidas de seguridad lgica que hacen a la:
Identificacin: de la persona que quiere acceder a esos datos
Autenticacin: de esa persona. Se debe certificar que quien se identifica es quien dice ser (algo que
uno sabe, algo que uno tiene, algo que uno es). Si se utilizan claves las mismas deben ser nicas,
fciles de memorizar, expirables luego de un lapso determinado y deben aceptar una cantidad mnima
de intentos fallidos. Es recomendable contar con un sector que se encargue de la administracin de
todas las claves.
Autorizacin: se deben limitar las autorizaciones en el uso de los recursos del SI (tanto de los datos
como de las funciones que puedan realizarse con esos datos)
Documentacin: se deben llevar registros de todos los acontecimientos para tareas de vigilancia y
seguimiento estadstico.
PLAN DE CONTINGENCIA
La organizacin debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales o actos
intencionales que pongan en peligro su normal operatoria. Siempre se debe asegurar el COB ( continuity of
business). Las principales causas de la falta de prevencin son:
No nos puede pasar a nosotros
Apata en los cargos jerrquicos
Desconocimiento de cmo preparar un plan
Difcil cuantificacin de beneficios
Se deben analizar todos los riesgos, establecer los recursos crticos, elaborar un proyecto, desarrollar el plan y
realizar las pruebas pertinentes
Fase de emergencia: si se produce algn hecho grave, se debe establecer el ambiente de reconstruccin y
recuperacin y minimizar los daos ocurridos (las medidas de prevencin sern fundamentales para evitar daos
graves).
Fase de enlace: se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben
facilitar las tareas de recuperacin del ambiente.
Fase de back-up: es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias
de resguardo necesarios para ello.
Fase de recupero: se debe restaurar totalmente el SI a su normal funcionamiento, discontinuando la operacin con
el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal