Está en la página 1de 23

Universidad de Buenos Aires Facultad de Ciencias Econmicas AUDITORA DE SISTEMAS Profesor Titular: Contaldi, Arturo Grupo Nro.

5 Culla Bonzini, Iara - Reg. 85669 5 Ibaez, Mariela Alejandra Reg.844013 Pala Montenegro, Mnica Reg.177609 Nio de Guzmn , Ignacio Reg. 843177 Segundo cuatrimestre ao 2009

INDICE INTRODUCCIN...................................................................... ................................ 3 PRIMERA PARTE: LA AUDITORA DE SISTEMAS ......... ...................................... 4 1.1 CONCEPTO .......................... ............................................................................. 1. 2 OBJETIVOS DE LA AUDITORA DE SISTEMAS .......................................... ............. 1.3 PROCESO DE AUDITORA ........................................... ........................................ 1.4 TIPOS DE AUDITORA .................. ...................................................................... 1.5 DESAR ROLLO DE UNA ESTRUCTURA DE CONTROL: COSTOS Y BENEFICIOS. ........... 1.6 SEGURID AD DE LOS SISTEMAS DE COMPUTACIN ............................................... 1.7 ESTRATEGIA DE LA SEGURIDAD ................................................. ........................ 1.8 ANLISIS DE LOS RIESGOS ............................. .................................................. 1.9 RIESGOS Y MEDIDAS A TOMAR .......................................................................... 1.9. 1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS ......................................... .......... 1.9.1.1 Estructura organizativa y procedimientos operativos no confia bles .................... 1.9.1.2 Procedimientos no autorizados para cambios en los programas: ....................... 1.9.1.3 Acceso general no autorizado, a l os datos o programas de aplicacin: ............... 1.9.2 Seguridad fsica.......... ................................................................................ .... 1.9.3 Backup y recuperacin ................................................. ................................... 1.9.4 Seguridad lgica ....................... ...................................................................... 1.9.5 Pla n de desastre .................................................................. ........................... 1.9.6 CALIDAD DE LOS SISTEMAS ...................... ...................................................... 1.9.6.1 AUDITORA DE LA CAL IDAD DE DATOS. ......................................................... 1.10 EL AUDITOR DE LOS SISTEMAS DE COMPUTACIN .......................................... ... 1.11 LA PRE-AUDITORA DE LOS SISTEMAS DE INFORMACIN ........................... ........ 4 4 4 4 5 5 6 6 6 6 6 7 7 7 8 8 8 8 8 9 9 PARTE II: AUDITORA EN AMBIENTES COMPUTADORIZADOS ........................ 10 2.1 IN TRODUCCIN ....................................................................... ........................ 10 2.2 CARACTERSTICAS DE LOS SISTEMAS COMPUTADORIZADOS.. ............................. 10 2.3 PROCESO DE AUDITORA ........................ .......................................................... 11 2.4 AUDITORA DE SIS TEMAS COMPUTADORIZADOS. PLANIFICACIN ESTRATGICA ..11 2.5 AUDITORA DE SISTEMAS COMPU TADORIZADOS. PLANIFICACIN DETALLADA ...... 12 2.6 RIESGOS DE APLICACIN ........... ...................................................................... 12 2.6.1 Acceso no autorizado al procesamiento y registro de datos: ..................... .......... 12 2.6.2 Datos no correctamente ingresados al sistema: .............. .................................. 13 2.6.3 Datos rechazados y en suspenso no ac larados:................................................. 13 2.6.4 Procesamiento y registracin de transacciones incompletos y/o inoportunos: ....... 14 2.7 AUDIT ORAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS. ........................... 14 2.7 .1 Pruebas de Cumplimiento. .................................................... .......................... 14 2.7.1.1 Lotes de prueba .......................... ............................................................... 15 2.7.1.2 Minic ompaa ............................................................................ ................. 15 2.7.2 Pruebas sustantivas. ................................ ...................................................... 15 2.8 PROCEDIMIENTOS ADM INISTRATIVOS ............................................................... 16 2.9 PAPELES DE TRABAJO DEL AUDITOR ............................................. .....................17 CONCLUSIONES ........................................... .......................................................18 BIBLIOGRAFA ........... ................................................................................ ............ 19

INTRODUCCIN A finales del siglo XX, los sistemas informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial: los Sistemas de Informacin de la empresa. La informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones info rmticas forman parte de lo que se ha denominado el management o gestin de la empresa . Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la t oma de decisiones, pero no decide por s misma, por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informtica. El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. Establecer u na directiva de auditora es un aspecto importante en la seguridad. Supervisar la creacin o la modificacin de objetos permite hacer un seguimiento de los posibles p roblemas de seguridad, ayuda a asegurar la responsabilidad del usuario y proporc iona pruebas en caso de producirse una infraccin en la seguridad. Por otra parte, este tipo de acciones y las medidas de prevencin de los riesgos que puedan afect ar a la organizacin, junto a la pre-auditora, concepto que describiremos en el tra bajo, daran las condiciones adecuadas para que el auditor pueda confiar en los si stemas. Esta confianza contribuye a la disminucin de costos y tiempos en los cont roles que anualmente debe realizar sobre la informacin contable y financiera. En este contexto podr limitarse a la realizacin de un grado menor de pruebas sustanti vas y en su lugar centrarse en las de cumplimiento. Finalmente daremos un pantal lazo de la conceptualizacin de las auditoras en ambientes computadorizados donde p odremos confirmar que, de contar con lo mencionado anteriormente, la tarea se ve r reducida de manera significativa. 3

PRIMERA PARTE: LA AUDITORA DE SISTEMAS

1.1 CONCEPTO La auditora de sistemas ha sido definida como la revisin sistemtica, o rganizada, de los sistemas en funcionamiento. 1.2 OBJETIVOS DE LA AUDITORA DE SIS TEMAS Buscar una mejor relacin Costo - Beneficio de los sistemas automticos o utarizados diseados e implementados. Incrementar la satisfaccin de los usuarios de los sistemas computarizados. Asegurar mayor integridad y confidencialidad de la informacin mediante la recomendacin de seguridades y controles. Seguridad de pers onal, datos, hardware, software e instalaciones. Apoyo de funcin informtica a las metas y objetivos de la organizacin. Minimizar riesgos en el uso de Tecnologa de i nformacin. Capacitacin y educacin sobre controles en los sistemas de informacin 1.3 PROCESO DE AUDITORA La secuencia de pasos que implica llevar a cabo una audit ora, del tipo que sea, puede variar segn diferentes circunstancias. No obstante el lo, usualmente se verifican tres etapas esenciales: planificacin, ejecucin y concl usin. Los lmites de cada etapa no son tajantes ni excluyentes. Si bien la etapa de planificacin pretende establecer todos los procedimientos de auditora que se apli carn durante el examen, los resultados de las pruebas pueden hacer necesaria la m odificacin de la planificacin efectuada, cambiando el alcance o la naturaleza de l as pruebas a efectuar en etapas sucesivas. Planificacin: el objetivo ltimo de esta etapa es la determinacin del enfoque de auditora a aplicar y su consecuencia inme diata, la seleccin de los procedimientos particulares a ejecutar. Esto se ver refl ejado en el memorando de planificacin que documenta las consideraciones analizada s durante toda la etapa, como asimismo los respectivos programas detallados de t rabajo que indican de qu forma, en qu momento y con qu alcance se ejecutarn los proc edimientos seleccionados. Ejecucin: su finalidad ser la de cumplimentar los proced imientos planificados para obtener elementos de juicio vlidos y suficientes para sustentar una opinin. Todos esos elementos de juicio se traducirn en papeles de tr abajo que constituyen la documentacin y evidencian el examen realizado. Es de des tacar que en esta etapa no slo se realizarn los procedimientos previstos en la eta pa de planificacin, sino tambin, todas aquellas pruebas alternativas que deban efe ctuarse reemplazando o complementando a las originalmente planificadas, ya sea p or dificultades propias de la empresa, de los sistemas, del resultado de los pro cedimientos realizados o por eficiencia en el examen. Conclusin: en esta etapa se evalan todas las evidencias obtenidas durante la etapa de ejecucin que deben perm itir formar un juicio o una opinin sobre la razonabilidad de los estados, emitien do el respectivo informe del auditor. 1.4 TIPOS DE AUDITORA Desde el punto de vis ta de la informtica se pueden clasificar en: 4

Auditora Informtica de Explotacin: se ocupa de producir resultados, tales como list ados, archivos soportados magnticamente, rdenes automatizadas, modificacin de proce sos, etc. Para realizar la explotacin Informtica se dispone de datos que sufren un a transformacin y se someten a controles de integridad y calidad. Auditora Informti ca de Desarrollo de Proyectos o Aplicaciones: se ocupa del desarrollo de una eva luacin del llamado Anlisis de Programacin y sistemas. Debe haber un exigente contro l interno, de lo contrario, pueden producirse insatisfacciones del cliente, insa tisfaccin del usuario, altos costos, etc. Por lo tanto la Auditora deber comprobar la seguridad de los programas. Auditora Informtica de Sistemas: se ocupa de analiz ar la actividad que se conoce como tcnica de sistemas, en todos sus factores. Aud itora Informtica de comunicacin y Redes: deber inquirir o actuar sobre ndices de util izacin de las lneas contratadas con informacin sobre tiempos de uso, deber conocer l a topologa de la red de comunicaciones. Todas las actividades deben estar coordin adas y dependientes de una sola organizacin. Auditora de la Seguridad Informtica: s e debe tener presente la cantidad de informacin almacenada en el computador, la c ual puede ser confidencial, lo que significa que se debe cuidar del mal uso de e sta informacin, de los robos, los fraudes, sabotajes y sobre todo de la destruccin parcial o total, sin olvidar los virus informticos. 1.5 DESARROLLO DE UNA ESTRUC TURA DE CONTROL: COSTOS Y BENEFICIOS. Seguridad: Polticas, procedimientos y medid as tcnicas que se toman a fin de evitar el acceso no autorizado o la alteracin, ro bo o daos fsicos a los sistemas de informacin. Es importante realizar un anlisis cos to/beneficio para determinar qu mecanismos de control ofrecen mayor seguridad sin menoscabar eficiencia operativa o incurrir en gastos excesivos. Uno de los crit erios a tener en cuenta es la importancia de los datos. En los sistemas de finan zas y contabilidad, por ejemplo, su estndar de control debe ser ms estricto. Otro tema a analizar es que la eficacia de los costos de los controles depende tambin de la eficiencia, complejidad y costos de cada tcnica de control. Por ejemplo, un sistema que apoya la transferencia de fondos tendra un alto riesgo, y por tanto, necesitara un alto nivel de seguridad. Un tercer elemento a tener en cuenta es e l nivel de riesgo. Una evaluacin de riesgos se realiza para determinar la posible frecuencia de un problema y los daos que podra causar si se presentara. Tambin par a decidir qu controles usar los constructores de sistemas de informacin deben exam inar diversas tcnicas de control, relacionarlas y su eficacia de costos relativa. 1.6 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIN La seguridad absoluta es imposible, y ello por dos motivos: el primero de tipo prctico: an suponiendo que ellos fuera factible, lo sera a un costo intolerable para la entidad, totalmente desproporcio nado con respecto a los eventuales daos a soportar. El segundo es de tipo concept ual. Dado las caractersticas de los sistemas de computacin la seguridad absoluta e s imposible. Los sistemas de computacin deben ser protegidos de tres tipos de pel igros: desastres naturales, errores y omisiones humanos y actos intencionales. 5

La seguridad en los sistemas abarca cinco funciones: tectar Recuperar corregir y

Evitar Disuadir

Prevenir De

1.7 ESTRATEGIA DE LA SEGURIDAD Ya se trate de actos naturales, errores u omision es humanos y actos intencionales, cada riesgo debera ser atacado de cuatro manera s: a. b. c. d. Minimizando la posibilidad de ocurrencia. Reduciendo al mnimo el p erjuicio sufrido, si no ha podido evitarse que ocurriera. Diseo de mtodos para la ms rpida recuperacin de los daos experimentados. Correccin de las medidas de segurida d en funcin de la experiencia recogida. 1.8 ANLISIS DE LOS RIESGOS Los elementos claves en el anlisis de riesgos son: Dete rminacin del impacto que originara un acontecimiento. Fijacin de la probabilidad de ocurrencia de un hecho, dentro de un lapso especificado. Una vez listados y analizados los riesgos tenemos cuatro posibilidades: Eliminar el riesgo, con medidas adecuadas. Soportarlo o tolerarlo, con la debida concien cia, tratndose de casos en los que el perjuicio ocasionara efectos menores. Reduc irlo. Transferirlo, mediante seguros o convenios especiales. El problema consiste en hallar una combinacin de estas variables, en forma tal de reducir los riesgos a un nivel aceptable y con costos mnimos. 1.9 RIESGOS Y MEDIDAS A TOMAR 1.9.1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS El audi tor debe evaluar los principales controles del Departamento de Sistemas. Esta ev aluacin es necesaria para asegurarse de que los controles o las funciones en las que intenta confiar no hayan sufrido alteraciones que reduzcan o eliminen su cap acidad de evitar o detectar errores o irregularidades, o respaldar las afirmacio nes correspondientes. Categoras: 1.9.1.1 Estructura organizativa y procedimientos operativos no confiables Riesgo: si las funciones incompatibles del departament o de EDP no estn segregadas existe el riesgo de que ocurran errores o irregularid ades que no sean detectadas durante el transcurso normal de las operaciones. Med ios de control: dentro de la organizacin del Departamento de Sistemas es convenie nte separar las principales responsabilidades de las actividades de operacin y pr ogramacin. 6

Evidencia de control: Indagacin con los empleados del Departamento de Sistemas, p ara verificar las funciones de cada uno y sus limitaciones. Observacin y prueba d e los medios existentes para la limitacin del acceso fsico a las instalaciones y r ecursos que deben estar protegidos. 1.9.1.2 Procedimientos no autorizados para cambios en los programas: Riesgo: los programadores pueden realizar cambios incorrectos no autorizados en el software de aplicacin, lo cual reducir la confiabilidad de la informacin procesada en el si stema. Medios de control: es esencial que los resultados de las modificaciones d e programas sean revisadas por el usuario y el supervisor del programador antes de ponerlo en funcionamiento. Evidencia de control: una forma de probar la exist encia de adecuados controles sobre el cambio a los programas es seleccionando ca mbios representativos y determinando si los procedimientos de revisin y aprobacin fueron cumplidos. 1.9.1.3 Acceso general no autorizado, a los datos o programas de aplicacin: Riesgo: personas no autorizadas pueden tener acceso directo a los a rchivos de datos o programas de aplicacin utilizados para procesar transacciones, permitindoles realizar cambios no autorizados a los datos o programas. Medios de control: Software de seguridad: adems de restringir el acceso a nivel de aplicac iones, pueden ser utilizados para controlar los riesgos de acceso general. Regis tro de operaciones (consola): es un registro completo de cada actividad de proce samiento realizada en el computador. Informes gerenciales especiales: para alert ar a la gerencia sobre la existencia de actividades inusuales o no autorizadas. Evidencia de control: Obtener copia de las tablas de contraseas y verificar si lo s usuarios con acceso a determinadas aplicaciones guardan una lgica con sus funci ones especficas. Intentar llevar a cabo violaciones a la seguridad para probar si el software de seguridad restringe el acceso de manera efectiva. A continuacin enumeraremos medidas que deberan tomarse en otros tipos de riesgos: 1.9.2 Seguridad fsica: El edificio, de ser posible, debe ser expresamente constru ido para el centro de cmputos. El rea del computador debe estar en un local que no sea combustible. El local del computador no debe situarse encima, debajo o adya cente a reas donde se procesen, fabriquen o almacenen materiales inflamables, exp losivos, gases txicos, etc. El espacio entre el falso suelo y el normal debe limp iarse y pintarse antes de la instalacin de los equipos. El piso y el techo deben ser impermeables. Debe existir prohibicin absoluta de fumar en el rea de Proceso. Proteccin contra incencios: o Sensores de temperatura 7

o Sensores de humo o Medios de extincin del fuego El almacenamiento de medios mag nticos deber realizarse teniendo en cuenta la temperatura, humedad relativa, en lu gares especialmente preparados que no sean combustibles y estar a cargo de un re sponsable. 1.9.3 Backup y recuperacin Backups de equipos Backups de archivos maes tros o bases de datos Backups del software 1.9.4 Seguridad lgica: la seguridad lgi ca se refiere a los controles de software o controles internos del hardware exis tentes en el sistema para prevenir o detectar el ingreso de la informacin no auto rizada al sistema o accesos no autorizados a la informacin de la empresa. Estas m edidas implican la identificacin y autentificacin de los usuarios al operar con el sistema. Existen diferentes mtodos de definicin de usuarios y claves que otorgan mayor seguridad. 1.9.5 Plan de desastre: es importante contar con un conjunto de disposiciones que contemplen todas las medidas preventivas, de recuperacin y act uacin del personal afectado, ante el caso de una emergencia. 1.9.6 CALIDAD DE LOS SISTEMAS Se basa en el uso de metodologas para asegurar la calidad del software y la mejora en la calidad de datos. Para asegurar la calidad del software se ten drn en cuenta: Metodologas: debe conferir disciplina a todo el proceso de desarrol lo. Debe estipular documentos de requisitos y especificaciones del sistema que s ean completos, detallados y exactos, adems que estn en un formato que los usuarios entiendan. Asignacin de recursos: tiempos, costos de mano de obra en el desarrol lo. Mtricas del software: evaluaciones objetivas del software con mediciones cuan tificadas. Pruebas: se inician en la fase de diseo. Se efectan para detectar los e rrores del software. Calidad: incluye Software de administracin de proyectos Herr amientas de programacin Diccionarios de datos Bibliotecas para manejar mdulos de p rogramas Herramientas que producen cdigos de programas Herramientas para automati zar pruebas 1.9.6.1 AUDITORA DE LA CALIDAD DE DATOS. Es el estudio de archivos, u n anlisis de la calidad de los datos, que se plasma en una revisin estructurada pa ra verificar qu tan exactos y completos son los datos en un sistema de informacin. Mtodos: Encuesta a los usuarios finales consultando su opinin acerca de la calida d de los datos. Examinar archivos de datos externos. Examinar muestras de archiv os de datos. 8

Es conveniente realizar regularmente auditoras de calidad de los datos para que l as organizaciones tengan la certeza de que los datos contenidos en sus sistemas estn completos y tienen un alto nivel de exactitud. La calidad de los sistemas de informacin tambin puede mejorarse al identificar y corregir los datos defectuosos y convertir la deteccin de errores en una meta de la organizacin (KLEIN, GOODHUE y DAVIS, 1997). Es responsabilidad de la gerencia desarrollar la estructura de c ontrol y las normas de calidad de la organizacin. La creacin de niveles altos de s eguridad y calidad en los sistemas de informacin puede ser un largo proceso de ca mbio en una organizacin. Las pautas que establecen el anlisis de la informacin en u n sistema computarizado se desarrollan en el informe N 6 CECYT, 1986. 1.10 EL AUDI TOR DE LOS SISTEMAS DE COMPUTACIN Segn EL Dr. Jorge Nardelli, opinin que compartimo s, el auditor debe poseer los siguientes conocimientos: Nociones amplias sobre rocesamiento electrnico de datos y, especficamente, de los controles a introducir en un sistema de informacin. Estar en condiciones de leer la codificacin de un pro grama de computador, desarrollado en un lenguaje simblico. Sistemas de captura de datos. Mini y microcomputadores, procesamiento distribuido, redes de transmisin de datos. Organizacin y actualizacin de archivos. Modalidades de procesamiento. Tcn icas de auditora de computador. 1.11 LA PRE-AUDITORA DE LOS SISTEMAS DE INFORMACIN Los expertos en sistemas no son especialistas en controles y no tienen por qu conocer las necesidades especficas de los auditores. Por otra parte, y desde un punto de vista estrictamente pragmti co, es muy costoso y en algunas situaciones prcticamente imposibles modificar los sistemas pura y exclusivamente para incluir en ellos algn control necesario para el auditor. Habr que esperar, casi seguramente, alguna modificacin mayor o manten imiento del sistema. Esto se podra evitar si se incorporara la participacin del aud itor durante la etapa de diseo del sistema. Procedimientos y actuacin del auditor durante la etapa de diseo del sistema: a. Revisin de los objetivos del sistema pro puesto y el enfoque global planteado para el logro de dichos objetivos. b. Deter minar el impacto que el sistema tendr sobre el rgimen contable de la entidad, eval uando si los errores que, eventualmente, se produzcan en el sistema podran tener un efecto significativo sobre los resultados (razonabilidad). c. Evaluar los pro cedimientos documentado el sistema. que se seguirn para dejar adecuadamente d. Determinar la filosofa general del control que imperar en el sistema. e. Identifi car las pistas de auditoras del sistema. 9

f. Determinar la naturaleza de la evidencia que para auditora dejarn las transaccione s procesadas. g. Examinar los procedimientos de programacin y prueba a seguirse. h. El examen d e la documentacin del sistema durante el desarrollo del mismo, puede proporcionar le una idea preliminar en cuanto a los relevamientos, verificaciones o pruebas d e procedimientos y las tcnicas de auditora a aplicar posteriormente, para la obten cin de los elementos de juicios vlidos y suficientes exigidos por las Normas de Au ditora Generalmente Aceptadas. i. El examen preliminar de la documentacin del sist ema puede ser empleado para la formulacin de un juicio previo en cuanto a la bond ad de los procedimientos y proporcionar al auditor una indicacin sobre aquellos c ontroles que deberan ser verificados (en cuanto a su existencia) y ser sometidos a un juicio posterior sobre su efectividad. La actuacin debera comprender (de acue rdo con la periodicidad fijada o las necesidades especiales resultantes), las et apas de diseo, programacin, prueba, conversin y paralelo (puede tambin ser convenien te en el perodo inicial del nuevo sistema), a efectos de obtener una razonable se guridad de que los cambios no afectan adversamente la efectividad de los control es o el enfoque previo de auditora. j. PARTE II: AUDITORA EN AMBIENTES COMPUTADORIZADOS 2.1 INTRODUCCIN El procesamiento el ectrnico de datos (EDP) ha cubierto un amplio espectro de aplicaciones debido a d os de sus caractersticas principales: generacin de informacin confiable y rapidez e n su elaboracin. En la dcada de los aos 1950, en el ambiente de aplicaciones contab les la informacin era en general procesada manualmente. Con la evolucin de la tecn ologa aplicada al desarrollo de equipos computadorizados se produjeron sucesivos progresos en relacin con el medio de procesamiento y lenguajes utilizados. Depend er de la envergadura de la organizacin y de la magnitud y complejidad de la inform acin que maneje el ente, el hecho de contar con sistemas computadorizados ms o men os complejos. El uso del procesamiento electrnico de datos es hoy un medio de gen eracin de informacin aplicado en la mayora de las empresas. Los auditores deben aco stumbrarse a realizar revisiones y emitir su opinin profesional sobre datos e inf ormacin que surgen de sistemas computadorizados. Auditora: es el examen de informa cin por parte de una tercera persona, distinta de la que la prepar y del usuario, con la intencin de establecer su razonabilidad dando a conocer los resultados de su examen, a fin de aumentar la utilidad que tal informacin posee. 2.2 CARACTERSTI CAS DE LOS SISTEMAS COMPUTADORIZADOS Caractersticas en comparacin con los sistemas convencionales (manuales) enfocadas hacia la evidencia de auditora que proporcio nan: En los sistemas computadorizados, la informacin almacenada y procesada est di sponible de manera tal que slo es analizable con ayuda del computador. 10

En los sistemas computadorizados no todos los procedimientos de control se evide ncian en forma expresa. Normalmente cuando se desliza un error, ste afecta a un m ayor volumen de transacciones. Debido a la poca participacin del elemento humano, ciertos tipos de errores que se producen en los sistemas computadorizados son d ifcilmente detectables. El procesamiento computadorizado somete uniformemente tod as las transacciones similares a las mismas instrucciones de procesamiento; por esta causa, la posibilidad de errores al azar queda sustancialmente reducida. No obstante, cabe la posibilidad de que los datos ingresados al computador para su procesamiento puedan incluir errores o ser incompletos. La posibilidad de que c iertos individuos accedan a los datos sin autorizacin, o los alteren sin dejar ev idencias visibles, puede ser mayor en los sistemas manuales, debido a que la inf ormacin es almacenada electrnicamente con una menor participacin del hombre en el p rocesamiento, reducindose por consiguiente la oportunidad e detectar manualmente los accesos no autorizados. Los sistemas computadorizados pueden permitir que se implante una segregacin de funciones incompatibles ms rigurosa ya que pueden exis tir controles basados en el software. 2.3 PROCESO DE AUDITORA Los enfoques de auditora que se utilizan en ambientes en l os que una parte signific ativa de los procesos administrativos son procesados e lectrnicamente pueden clasificarse bsicamente en: Enfoque externo o tradicional: c onsiste en realizar los procedimientos de verificacin utilizando los datos de ent rada al sistema y someter estos datos al proceso lgico que se realiza en esa etap a especfica del procesamiento. Con estos elementos se obtienen datos de salida pr ocesados manualmente. Esta informacin manual se compara con los datos de salida q ue genera el sistema computadorizado y se concluye si el procesamiento electrnico arriba a resultados razonables o no. Depender del alcance que se le otorgue a es ta prueba el grado de confianza que se obtiene sobre el sistema computadorizado. Enfoque moderno: consiste en realizar los procedimientos de verificacin del corr ecto funcionamiento de los procesos computadorizados utilizando el computador. C uando se planifica la revisin de circuitos administrativos donde las aplicaciones contables significativas son procesadas electrnicamente, se seleccionan tcnicas d e auditora que controlan la forma en que esa aplicacin computadorizada funciona. N o considera el procesamiento como una caja negra, consisten en revisar los pasos de los programas, revisar la lgica del lenguaje utilizado, procesar nuevamente u na determinada cantidad de operaciones a travs del propio sistema computadorizado , entre otras. DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIN

2.4 AUDITORA ESTRATGICA En la etapa de planificacin estratgica lo que se persigue es conocer cules son l as caractersticas generales del ente, a los efectos de establecer una estrategia de auditora o un enfoque preliminar para la revisin de los estados financieros a una fecha dada. Existen especficamente dos aspectos que el auditor debe tener en cue nta: a. Ambiente del sistema de informacin: est relacionado con el grado de utiliz acin del procesamiento electrnico de datos en aquellas aplicaciones financieras si gnificativas. Esta informacin deber ser suficiente para que el auditor pueda evalu ar hasta qu punto se han computadorizado los sistemas administrativos y el grado en que las operaciones del ente dependen de sistemas de procesamiento electrnico de datos. Para adquirir conocimiento sobre este ambiente, los principales temas a considerar son: 11

Conocimiento de la estructura organizativa de los sistemas: para lograr esto el auditor debe comenzar por un anlisis global de la estructura organizativa y admin istrativa del Departamento de Sistemas. Adems, es necesario identificar si se enc uentra organizado en forma centralizada o descentralizada. Conocimiento de la na turaleza de la configuracin de sistemas: el auditor deber adquirir un conocimiento global de las caractersticas de los sistemas, un conocimiento ms profundo lo debe r desarrollar durante el proceso de planificacin detallada. Alcance del procesamie nto computadorizado de la informacin para las principales reas de los estados fina ncieros o tipos de transacciones. El auditor en este caso debera considerar en qu grado las principales reas de los estados financieros son procesadas a travs siste mas computadorizados. Esta informacin ser til para evaluar el riesgo inherente y de control, e identificar la naturaleza de las pruebas de auditora a realizar.

b. Ambiente de control: est referido al conjunto de condiciones dentro de las cua les operan los sistemas de control. Este ambiente posee una gran influencia sobr e la decisin del auditor de confiar en los controles para obtener satisfaccin de a uditora. Cuando el ambiente de control es fuerte, permite al auditor depositar ma yor confianza en los controles del ente a ser auditado, seleccionar controles y funciones de procesamiento computadorizados como fuentes de satisfaccin de audito ra y posiblemente reducir la cantidad de evidencia necesari a para lograr el obje tivo de auditora. Los principales aspectos que deben ser tenidos en cuenta para e valuar la efectividad del ambiente de control son: El enfoque del control por pa rte del directorio y la gerencia superior Organizacin gerencial 2.5 AUDITORA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIN DETALLADA El anlisis de rie sgos inherentes globales y del ambiente de control que se efectuaron durante el proceso de planificacin estratgica es ahora reemplazado por un anlisis de riesgos e n mayor detalle, para cada componente, en relacin con cada una de las afirmacione s especficas y los factores especficos de riesgo. Los riesgos inherentes relaciona dos con las transacciones en un medio de procesamiento electrnico de datos, puede n ser clasificados de la siguiente manera: a. Riesgos de aplicacin: donde el nive l de riesgo y los controles establecidos para reducirlo a un nivel aceptable cam bian de una aplicacin a otra. b. Riegos generales del Departamento de Sistemas: d onde el nivel de riesgo y los controles establecidos para reducirlo a un nivel a ceptable, normalmente son similares o iguales para todas las aplicaciones que se procesan en ese mismo ambiente, el Centro de Cmputos. (fueron desarrollados en l a PARTE I de este trabajo. Cabe destacar que, de haberse realizado una correcta auditora de sistemas e implementado las medidas de control y seguridad adecuadas, daremos el marco de seguridad necesario para realizar la auditora contable en me nos tiempo y con menores costos) 2.6 RIESGOS DE APLICACIN 2.6.1 Acceso no autoriz ado al procesamiento y registro de datos: Riesgo: personas no autorizadas pueden tener acceso a las funciones de procesamiento de transacciones de los programas de aplicacin o registros de datos resultantes, permitindoles leer, modificar, agr egar o eliminar informacin de los archivos de datos o ingresar sin autorizacin tra nsacciones para su procesamiento. 12

Medios de control: segregacin de funciones controles de acceso segregacin de funci ones: la prueba de segregacin de funciones puede incluir: a. anlisis de las respon sabilidades de aquellos empleados a quienes se les asignan partes significativas del procesamiento de informacin. b. observar a los empleados mientras desempean s us tareas para determinar si cumplen con las responsabilidades asignadas. Contro les de acceso: la verificacin de la evidencia de adecuados procedimientos de cont roles de acceso pueden consistir en: a. obtener, revisar y analizar los perfiles o tablas de seguridad del sistema de control de acceso. b. intentar desplazarse de un men de aplicacin a otro para determinar si existe la posibilidad de realiza r funciones incompatibles c. determinar si el paquete de software de seguridad e n el cual se deposita confianza ha sido adecuadamente implantado desde el punto de vista tcnico. d. determinar la distribucin de funciones. Evidencia de control:

2.6.2 Datos no correctamente ingresados al sistema: Riesgo: los datos permanente y de transacciones ingresados para su procesamiento pueden ser imprecisos, inco mpletos o ser ingresados ms de una vez. Para que las transacciones sean registrad as en forma precisa los datos permanente y de transacciones deben tener el forma to correcto e incluir los elementos correctos, y las transacciones no deben ser duplicadas. Medios de control: controles sobre la precisin e integridad de los da tos ingresados para el procesamiento. Los controles de validacin se aplican norma lmente cuando los datos son ingresados por el usuario en una terminal. Evidencia de control: Verificar visualmente que durante el proceso de ingreso de datos se generen listados de excepciones por partidas no aceptadas Verificar que los emp leados autorizados han tomado las medidas necesarias con respecto a las excepcio nes o errores incluidos en los listados de excepciones de ingreso de datos. 2.6.3 Datos rechazados y en suspenso no aclarados: Riesgo: este tipo de datos pu eden no ser identificados, analizados y corregidos en forma oportuna. Ciertas tr ansacciones pueden ser identificadas y rechazadas por los sistemas computadoriza dos como incorrectas o inaceptables, de acuerdo a criterio prefijados. Las trans acciones pueden ser: aceptadas por el sistema y sealadas en un informe de excepcin , o destinadas a una cuenta en suspenso del sistema en lugar de ser procesadas, o tambin pueden ser completamente rechazadas. Normalmente cuando los datos son rech azados el sistema no retiene registro alguno de la partida y consecuentemente, e l dato rechazado deber ser controlado manualmente. El usuario es quien debe asegu rarse que todas estas transacciones sean luego corregidas. Medios de control: co ntroles sobre las transacciones rechazadas y partidas en suspenso, cuando los da tos son rechazados, se deber crear un registro que los incluya para que posterior correccin y procesamiento puedan ser controlados. Cuando los datos rechazados se an ingresados nuevamente, debern ser sometidos a los mismos controles de validacin que los datos originales. 13

Evidencia de control: Examinar las conciliaciones entre ingresos y egresos de re gistros efectuados por los responsables de la aclaracin de partidas en suspenso. Verificar que estos responsables cumplan con los procedimientos de revisin y acla racin de partidas en suspenso, en forma peridica. Obtener el listado de partidas e n suspenso a una fecha dad, seleccionar una muestra y verificar que hayan sido c orrectamente procesadas con posterioridad. 2.6.4 Procesamiento inoportunos: y registracin de transacciones incompletos y/o Riesgo: las transacciones reales que han sido ingresadas para su procesamiento o generadas por el sistema pueden perderse o ser procesadas o registradas en form a incompleta o inexacta o en el perodo contable incorrecto. Si el formato de dato s es incorrecto o no se ha verificado su consistencia con los archivos de datos existentes, es posible que los registros contables pertinentes sean actualizados en forma incorrecta o incompleta durante el procesamiento. Medios de control: C ontroles de procesamiento por lotes y de sesin: basados en la preparacin de totale s de control de campos de ingreso crticos antes del procesamiento. Estos totales de control son comparados posteriormente con los totales generados por el sistem a computadorizado. Controles de balanceo programados: incorporados al software d e aplicacin para asegurar la exactitud e integridad de la actualizacin de archivos y del procesamiento de informes. Controles de transmisin de datos: producen un cl culo de prueba para ser aplicado a la informacin incluida en la transmisin. Contro les de reenganche y recuperacin: ayudan a evitar la prdida de transacciones durant e el procesamiento si este fuera interrumpido. Controles de corte programados: e vitan un corte incorrecto y generalmente son comparables a controles similares d e un ambiente de procesamiento manual. Controles sobre los datos generados por e l sistema: incorporados a los sistemas que generan transacciones o realizan clcul os automticamente sin un revisin por parte de una persona. Estos controles validan la veracidad y razonabilidad de las transacciones generadas automticamente y evi tan o detectan transacciones errneas.

Evidencia de control: si se trata de controles por lotes sobre el ingreso de dat os y ello es considerado como un control clave, puede probarse su efectividad de diferentes maneras: recalculando los totales de control por lotes a partir de l os documentos fuente; probando los procedimiento de cancelacin de documentos en v igencia; verificando, para un perodo seleccionado, que el rea de control de datos haya comprobado la secuencia numrica de los lotes hasta su procesamiento final. E n el caso de controles de sesin o controles de balanceo programados, slo podrn ser probados utilizando tcnicas de lotes de prueba. 2.7 AUDITORAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS. 2.7.1 Pruebas de Cumplimiento. 14

El objetivo de estas pruebas es determinar si el sistema (como sistema en si) y ms precisamente respecto de los controles relevados, se comportan en la prctica de acuerdo a como se espera que lo hagan. Tcnicas principales: 2.7.1.1 Lotes de pru eba Propone que el auditor genere transacciones, a efectos de poner en evidencia qu relacin existe cuando esas transacciones se ejecuten en el sistema (sistema re al), con respecto a los resultados que se espera produzcan. Ventajas: Demanda es casa habilidad tcnica del auditor. Permite probar el circuito computarizado y el administrativo. Posibilita una prueba cuasi completa de todas las variantes que se deseen probar. Produce una evidencia completa de los resultados. Desventajas: Exige mucho tiempo dedicado a su elaboracin, al menos la primera vez. La prueba completa de todas las alternativas previsibles combinadas, es prcticamente irreal izable. Resulta difcil reproducir el ambiente operativo real. Da una imagen del s istema en el momento de la prueba. 2.7.1.2 Minicompaa Consiste en la incorporacin, dentro de los archivos normales de la institucin, de registros especialmente ingresados (dados de alta), para finali dades de auditora. Los resultado obtenidos del proceso de los registros de audito ra, permiten que el auditor exprese la inferencia vlida que si la minicompaa tiene ad ecuadamente controlados sus procedimientos, la compaa auditada tambin los tiene. Vent ajas: Demanda escasa habilidad tcnica del auditor. La prueba es concurrente con l a operacin (en lnea u en el mismo ambiente) y es ejecutable varia veces durante un ejercicio comercial, sin preparacin previa. Aunque los registros especiales se c onocen, el auditor cuenta con la sorpresa de su utilizacin. Se prueban situacione s de cambio, que el sistema tiene previsto resolver, por el mero transcurso del tiempo. Desventajas: Se pierde integridad de la base de datos. Pueden existir li mitaciones impositivas y de otras fuentes reglamentarias. El auditor queda compr ometido con el sistema. 2.7.2 Pruebas sustantivas. Esta auditora trata de obtener los elementos de juicio vlidos y suficientes para la emisin del Informe del Auditor. Esta comprobacin, se refiere a analizar la informacin procesada por el sistema. La planificacin de esta tarea se orientar para que, en las revisiones, se apliquen criterios de comparac in, confirmacin y razonabilidad. Tcnicas principales: Elaboracin de un programa. O s istema de programas, para la ejecucin de la actividad. Tambin propone adoptar los programas existentes en la instalacin, convenientemente adecuados a los objetivos del auditor. 15

Utilizacin de software. Especficamente desarrollado para el empleo por parte de lo s auditores. 2.8 PROCEDIMIENTOS ADMINISTRATIVOS Normalmente estas actividades se desarrollan fuera del ambiente de la Tecnologa Informtica. Los aspectos que se co ntemplan son los siguientes: 2.8.1 Informes de Auditora: El auditor vive de sus i nformes. Los tems que debe contener un informe, se expondrn con un criterio amplio y en forma generalizada, respetando los lineamientos de la RT n 7. 2.8.2 Planeam iento de la Actividad: La toma de conocimiento del Ente y su ambiente podr aceler arse, si contramos con documentacin que podra solicitarse al cliente, con antelacin a la realizacin de una primera e ineludible visita, para comenzar a idear el Plan de Actividades y el consiguiente presupuesto. El planeamiento de la actividad e st referido a establecer un procedimiento racional que nos permita identificar, a signar prioridades para su realizacin y establecer la naturaleza, extensin y oport unidad, con que debern ser revisados los distintos aspectos de la Tecnologa Informt ica. Esto es, en la Auditora sobre el Cumplimiento de los Controles existentes, i dentificar los Controles generales a revisar y sealar los Sistemas Aplicativos qu e sern ms importantes y representativos, que aporten un mayor valor a la labor de Auditora. En el caso de las Pruebas Sustantivas identificar en o los rubros de lo s estados Contables a revisar. 2.8.3 Matriz de Riesgo para los controles: Esta m atriz para el anlisis de riesgos est planteada para las Pruebas de Cumplimiento, y a que para las Pruebas Sustantivas, se podr pasar directamente a la etapa de las comprobaciones, considerando que ya se han seleccionado las partidas o rubros de l balance a analizar. Esta Matriz entonces, deber ser elaborada separadamente par a: Los Controles Generales y Los Controles sobre las aplicaciones. La informacin a incluir entonces, que se vuelca en columnas, ser la siguiente: Objetivo de cont rol Tratamiento que se prev le da el sistema o la organizacin. Riesgo advertido y calificacin subjetiva del nivel del riesgo. Recomendacin de acciones a emprender p ara su eliminacin o acotamiento, en el corto y mediano plazo. En las filas, se ub icarn los tems a analizar que sern distintos segn los tipos de controles que se anal icen. 2.8.4 Matriz para la prueba de controles: La planilla de trabajo que se pr opone en este tem, consiste en el agregado de nuevas columnas. Teniendo en consid eracin los aspectos que se han incluido en la planilla anterior a cada Objetivo d e Control, se crear un inventario de los aspectos que se habrn de comprobar. Convi ene sealar que, slo se habrn de comprobar aquellos aspectos que segn el relevamiento estn considerados por un control dentro del sistema o la organizacin. Pruebas a r ealizar: segn el conocimiento que se haya logrado del sistema, se desprender qu tip o de pruebas se podrn efectuar, de acuerdo con las tcnicas de verificacin disponibl es, con ayuda del computador. 16

La ejecucin de la prueba, considerar que el aplicativo a considerar se ha seleccio nado en funcin de su riesgo. Luego de desarrollada la prueba, se completar la Matr iz de Prueba antes elaborada, con los siguientes elementos: Observaciones: que r ecoger los resultados de las comprobaciones, con el detalle adecuado para que ya se obtengan elementos de juicio, til para la redaccin del Informe. Relacin a los pa peles de trabajo: que referenciarn a los elementos de la prueba que estarn archiva dos por separado de la matriz perfectamente ordenados y relacionados. 2.9 PAPELE S DE TRABAJO DEL AUDITOR Como corolario de todos los aspectos mencionados, nos r esta referirnos a los medios de respaldo que quedan en poder del auditor. Luego que ste ha emitido los documentos resultantes de su actividad. A estos medios de respaldo se los conoce genricamente como Papeles de Trabajo. Papeles de trabajo son todos aquellos objetos, documentos, listados y otras registraciones donde const an las tareas realizadas, elementos de juicio obtenidos y las conclusiones a las que arrib el auditor. Histricamente se han entendido como papeles de trabajo los soportes en papel donde figuran las anotaciones y cualquier otro vuelco de ideas surgidas del trabajo desarrollado. Ante el avance tecnolgico estos elementos pue den estar compuestos por otros medios tales como diskettes, cassetes, discos com pactos, etc. Siempre que los mismos resulten aptos para sustentar la evidencia q ue de ellos se pretenda obtener. La RT n 7 establece en el acpite B Normas para el Desarrollo de la auditora, en el tem Papeles de Trabajo. 17

CONCLUSIONES Si bien la empresa que ha implementado sistemas computadorizados pa ra el proceso de las operaciones diarias de la organizacin, podra optar por no rea lizar las auditoras de sistema, tal como hemos descripto en la primera parte de e ste trabajo. De optar por la opcin de no realizarla, al momento de tener que anal izar los estados contables debera realizar una innumerable cantidad de pruebas, t anto de cumplimiento como sustantivas, desaprovechando las facilidades y utilida des que hoy pone a disposicin la tecnologa. Con esto, la empresa incurrira anualmen te en costos altsimos tanto por tener un sistema (costo de mantenimiento), en el que no confa, como por tener que analizar la informacin generada por ste sin consid erarlo. De nada sirve implementar este tipo de sistemas si no vamos a realizarle s un seguimiento, con control de su funcionamiento, que nos permita verificar qu e los resultados que nos muestra son tiles para la toma de decisiones. Por otra p arte, tampoco es til que confiemos ciegamente en estos sistemas y no los protejam os de factores externos al mismo como humanos, accidentes, etc, que puedan compr ometer su integridad. La importancia de la informacin que hoy guardamos en el cibe respacio y el perjuicio que su prdida podra causarnos, motiva tomar medidas de segu ridad que intenten prevenir este tipo de situaciones. 18

BIBLIOGRAFA AUDITORA Y SEGURIDAD DE LOS SISTEMAS DE COMPUTACIN Jorge Nardelli Edito rial Cangallo SA.- Segunda edicin 1992 AUDITORA: UN NUEVO ENFOQUE EMPRESARIAL Carl os A. Slosse y otros Editorial Macchi.- 1990 GUIA PRCTICA PROFESIONAL Lepoldo Can sler.- Primera Edicin, agosto 2003 KENNETH C. LAUDON New York University JANE P. LAUDON Azimuth Information Systems SISTEMAS DE INFORMACIN GERENCIAL: Organizacin y tecnologa de la empresa conectada en red - 6ta edicin, Pearson educacin CECYT FEDE RACIN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONMICAS. INFORME NRO. 6. A uditora de Estados Contables en un contexto computadorizado.- Primera Edicin 1986 CECYT FEDERACIN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONMICAS. Informe Nro. 15 CECYT Auditora en ambientes computadorizados RT Nro. 7 FACPCE (1985) 19

ANEXO NORMATIVA APLICABLE RT Nro. 7 FACPCE (1985) Las normas incluidas en este informe abarcan aquellas ap licables a la auditora en general y, en particular, las concernientes a la audito ra externa de los estados contables, con la finalidad de asegurar un necesario gr ado de confiabilidad de la informacin contable. Informe Nro. 6 CECYT Pautas para e l examen de estados contables en un contexto computadorizado Brinda un conjunto d e pautas referenciales para la evaluacin de las actividades de control (control i nterno) y la obtencin de evidencia en un contexto computadorizado, como tareas in tegrantes del examen de estados contables destinado a emitir un informe sobre la razonabilidad con la que stos presentan la situacin del ente. Informe Nro. 15 CEC YT Auditora en ambientes computadorizados Este informe tiene como finalidad facilit ar la comprensin de los procedimientos de auditora en ambientes computadorizados p ara obtener comprobaciones vlidas y suficientes respecto de las afirmaciones cont enidas y la informacin expuesta en los estados contables. Tambin desarrolla proced imientos para evaluar el cumplimiento de los controles, la deteccin de riesgos y la validez de los saldos en los ambientes en los que se utilizan los Sistemas de informacin contable. 20