AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información...

22
AUDITORIA DE SISTEMAS •Conceptos introductorios •Auditoria de ambientes de sistemas de información computarizados •Evaluación del riesgo y el control interno en sistemas de información computarizados •Técnias de auditoría con ayuda de computadoras •Algunos aspectos metodológicos

Transcript of AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información...

Page 1: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

AUDITORIA DE SISTEMAS

•Conceptos introductorios

•Auditoria de ambientes de sistemas de información

computarizados

•Evaluación del riesgo y el control interno en

sistemas de información computarizados

•Técnias de auditoría con ayuda de computadoras

•Algunos aspectos metodológicos

Page 2: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•CONCEPTOS INTRODUCTORIOS

� Examinar el sistema de control interno en general, evaluando la eficacia y eficiencia del sistema

� Estudio del sistema de control interno con el propósito de evaluar la confiabilidad de la información (controles contables) y el logro de la eficiencia de las operaciones (controles administrativos)

Objetivos:

Page 3: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

PROCEDIMIENTOS

� Conocimiento de la empresa

� Revisión de los controles generales

� Revisión detallada de los sistemas y documentación

� Pruebas

� Evaluación del sistema

� Informes

Page 4: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•AUDITORIA EN SISTEMAS DE INFORMACION COMPUTARIZADOS

•Habilidad y competencia del auditor

•Planeación

� Inportancia y complejidad del procedimiento� Estructura organizacional de las actividades� Disponibilidad de los datos

Page 5: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

�Características del control interno

0 Falta de rastro de las transacciones0 Procesamiento uniforme de transacciones0 Falta de segregación de funciones0 Potencial de errores e irregularidades0 Disminución de involucramiento humano0 Transacciones automáticas0 Dependencia de otros controles0 Potencial de incremento de la supervisión por parte de

la administración0 Potencial uso de TAACs

Page 6: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•EVALUACIÓN DEL RIESGO Y EL CONTROL INTERNO EN SISTEMAS DE

INFORMACION COMPUTARIZADOS

•Estructura de la organización

�Concentración de funciones y conocimiento

�Concentración de programas y datos

Page 7: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Naturaleza del procesamiento

� Ausencia de documentación de entrada� Falta de rastro visible de transacciones� Falta de datos de salida visibles� Factibilidad de acceso a datos y programas de

computadora

Page 8: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Aspectos de diseño y de procedimiento

� Consistencia de funcionamiento

� Procedimientos de control programados

� Actualización sencilla de una transaccion en

archivos múltiples o de base de datos

� Transacciones generadas por sistema

� Vulnerabilidad de datos y medios de

almacenamiento de programas

Page 9: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Controles generales

� Controles de organización y administración� Desarrollo de sistemas de aplicación y controles de

mantenimiento� Controles de operación de computadoras� Controles de software de sistemas� Controles de entrada de datos y programas � Otras salvaguardas

0Respaldo de datos0Procedimientos de recuperación0Provisión para el procesamiento externo

Page 10: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Controles de aplicación

� Controles sobre datos de entrada� contrles sobre el procesamiento y sobre archivos de

datos de la computadora� Controles sobre los datos de salida

•Revisión de controles de aplicación

� Controles manuales ejercidos por el usuario� Controles sobre los datos de salida del sistema� Procedimientos de control programados

Page 11: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•TECNICAS DE AUDITORIA CON AYUDA DE COMPUTADORAS (TAACs)

Software de auditoría y datos de prueba utilizados para propósitos de auditoría

� Software de auditoría

� Datos de prueba

Page 12: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Software de auditoria: programas de computadoras usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia

�Programas en paquetes

�Programas escritos para un propósito determinado

�Programas de utilería

Page 13: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Datos de prueba: se alimentan al sistema y se comparan los resultados con resultados predeterminados

� Prueba de controles específicos� Transacciones de prueba con determinadas

características� Transacciones de prueba para instalaciones

(unidad modelo)

Page 14: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Usos de TAACs

� Pruebas de detalle de transacciones y saldos� Procedimientos de revisión analítica� Pruebas de cumplimiento de controles

generales� Pruebas de cumplimiento de controles de

aplicación

Page 15: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Requisitos:

� Conocimiento, pericia y experiencia del auditor � Disponibilidad de TAACs e instalaciones

adecuadas� No factibilidad de pruebas manuales� Efectividad y eficiencia� Oportunidad

Page 16: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•ALGUNOS ASPECTOS METODOLOGICOS

� El objetivo primario de auditoría no cambia porque todo o parte de la información esté conservada en forma electrónica

� El alcance de la revisióndel auditor debe incluir sus sistemas, procedimientos y metodología y el control interno

� La evaluación del control interno ayuda al auditor a formarse una opinión sobre el nivel de confiabilidad a depositar en el sistema contable

Page 17: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Elementos del plan de auditoría:

�Alcance�Plan de trabajo�Procedimientos�Opinión preliminar�Presentación de conclusiones�Informe con conclusiones a autoridades�Revisión final

Page 18: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Necesidad de información del auditor:

� Disponibilidad, confiabilidad y origen de los

registros electrónicos� Existencia de controles internos y de seguridad� Documentación de los cambios de sistema � Reportes del sistema� Disponibilidad del auditor de hardware y software

para conducir la auditoría� Disposición de los sectores auditoría interna,

procesamiento de datos, etc.

Page 19: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

• Evidencias de auditoríaAICPA - SAS 80

14.- … el auditor puede determinar que no es práctico o posible reducir la identificación del riesgo a un nivel aceptable, desarrollando solamente pruebas sustantivas, en una o más afirmaciones de los estados financieros

Page 20: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

15.- alguna de la información contable y su relativa evidencia comprobatoria, está disponible solamente en forma electrónica …. Sin embargo, tal evidencia puede no ser recuperable después de un período específico de tiempo … Por lo tanto, el auditor deberá considerar el tiempo durante el cual la información existe o está disponible, para determinar la naturaleza , tiempo y extensión de sus pruebas, y si es aplicable, las pruebas de los controles.

Page 21: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Funciones de control interno

� Evaluación de amenazas del sistema y análisis de riesgo

� Acceso limitado a los registros electrónicos� Autorización de acceso con códigos de seguridad� Inalterabilidad de fechas y archivos� Revisión periódica de accesos� Archivos de registros electrónicos� Preservación de integridad de los datos� Almacenamiento histórico de las transacciones � Políticas de seguridad y/o procedimientos

manuales

Page 22: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Políticas y procedimientos

� Análisis de confianza en los sistemas

� Confidencialidad de la información

� Políticas relativas a la integridad de las

transacciones

� Políticas de integridad vinculadas con el personal

� Monitoreo