Download - AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

Transcript
Page 1: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

AUDITORIA DE SISTEMAS

•Conceptos introductorios

•Auditoria de ambientes de sistemas de información

computarizados

•Evaluación del riesgo y el control interno en

sistemas de información computarizados

•Técnias de auditoría con ayuda de computadoras

•Algunos aspectos metodológicos

Page 2: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•CONCEPTOS INTRODUCTORIOS

� Examinar el sistema de control interno en general, evaluando la eficacia y eficiencia del sistema

� Estudio del sistema de control interno con el propósito de evaluar la confiabilidad de la información (controles contables) y el logro de la eficiencia de las operaciones (controles administrativos)

Objetivos:

Page 3: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

PROCEDIMIENTOS

� Conocimiento de la empresa

� Revisión de los controles generales

� Revisión detallada de los sistemas y documentación

� Pruebas

� Evaluación del sistema

� Informes

Page 4: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•AUDITORIA EN SISTEMAS DE INFORMACION COMPUTARIZADOS

•Habilidad y competencia del auditor

•Planeación

� Inportancia y complejidad del procedimiento� Estructura organizacional de las actividades� Disponibilidad de los datos

Page 5: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

�Características del control interno

0 Falta de rastro de las transacciones0 Procesamiento uniforme de transacciones0 Falta de segregación de funciones0 Potencial de errores e irregularidades0 Disminución de involucramiento humano0 Transacciones automáticas0 Dependencia de otros controles0 Potencial de incremento de la supervisión por parte de

la administración0 Potencial uso de TAACs

Page 6: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•EVALUACIÓN DEL RIESGO Y EL CONTROL INTERNO EN SISTEMAS DE

INFORMACION COMPUTARIZADOS

•Estructura de la organización

�Concentración de funciones y conocimiento

�Concentración de programas y datos

Page 7: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Naturaleza del procesamiento

� Ausencia de documentación de entrada� Falta de rastro visible de transacciones� Falta de datos de salida visibles� Factibilidad de acceso a datos y programas de

computadora

Page 8: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Aspectos de diseño y de procedimiento

� Consistencia de funcionamiento

� Procedimientos de control programados

� Actualización sencilla de una transaccion en

archivos múltiples o de base de datos

� Transacciones generadas por sistema

� Vulnerabilidad de datos y medios de

almacenamiento de programas

Page 9: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Controles generales

� Controles de organización y administración� Desarrollo de sistemas de aplicación y controles de

mantenimiento� Controles de operación de computadoras� Controles de software de sistemas� Controles de entrada de datos y programas � Otras salvaguardas

0Respaldo de datos0Procedimientos de recuperación0Provisión para el procesamiento externo

Page 10: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Controles de aplicación

� Controles sobre datos de entrada� contrles sobre el procesamiento y sobre archivos de

datos de la computadora� Controles sobre los datos de salida

•Revisión de controles de aplicación

� Controles manuales ejercidos por el usuario� Controles sobre los datos de salida del sistema� Procedimientos de control programados

Page 11: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•TECNICAS DE AUDITORIA CON AYUDA DE COMPUTADORAS (TAACs)

Software de auditoría y datos de prueba utilizados para propósitos de auditoría

� Software de auditoría

� Datos de prueba

Page 12: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Software de auditoria: programas de computadoras usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia

�Programas en paquetes

�Programas escritos para un propósito determinado

�Programas de utilería

Page 13: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Datos de prueba: se alimentan al sistema y se comparan los resultados con resultados predeterminados

� Prueba de controles específicos� Transacciones de prueba con determinadas

características� Transacciones de prueba para instalaciones

(unidad modelo)

Page 14: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Usos de TAACs

� Pruebas de detalle de transacciones y saldos� Procedimientos de revisión analítica� Pruebas de cumplimiento de controles

generales� Pruebas de cumplimiento de controles de

aplicación

Page 15: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Requisitos:

� Conocimiento, pericia y experiencia del auditor � Disponibilidad de TAACs e instalaciones

adecuadas� No factibilidad de pruebas manuales� Efectividad y eficiencia� Oportunidad

Page 16: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•ALGUNOS ASPECTOS METODOLOGICOS

� El objetivo primario de auditoría no cambia porque todo o parte de la información esté conservada en forma electrónica

� El alcance de la revisióndel auditor debe incluir sus sistemas, procedimientos y metodología y el control interno

� La evaluación del control interno ayuda al auditor a formarse una opinión sobre el nivel de confiabilidad a depositar en el sistema contable

Page 17: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Elementos del plan de auditoría:

�Alcance�Plan de trabajo�Procedimientos�Opinión preliminar�Presentación de conclusiones�Informe con conclusiones a autoridades�Revisión final

Page 18: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Necesidad de información del auditor:

� Disponibilidad, confiabilidad y origen de los

registros electrónicos� Existencia de controles internos y de seguridad� Documentación de los cambios de sistema � Reportes del sistema� Disponibilidad del auditor de hardware y software

para conducir la auditoría� Disposición de los sectores auditoría interna,

procesamiento de datos, etc.

Page 19: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

• Evidencias de auditoríaAICPA - SAS 80

14.- … el auditor puede determinar que no es práctico o posible reducir la identificación del riesgo a un nivel aceptable, desarrollando solamente pruebas sustantivas, en una o más afirmaciones de los estados financieros

Page 20: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

15.- alguna de la información contable y su relativa evidencia comprobatoria, está disponible solamente en forma electrónica …. Sin embargo, tal evidencia puede no ser recuperable después de un período específico de tiempo … Por lo tanto, el auditor deberá considerar el tiempo durante el cual la información existe o está disponible, para determinar la naturaleza , tiempo y extensión de sus pruebas, y si es aplicable, las pruebas de los controles.

Page 21: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Funciones de control interno

� Evaluación de amenazas del sistema y análisis de riesgo

� Acceso limitado a los registros electrónicos� Autorización de acceso con códigos de seguridad� Inalterabilidad de fechas y archivos� Revisión periódica de accesos� Archivos de registros electrónicos� Preservación de integridad de los datos� Almacenamiento histórico de las transacciones � Políticas de seguridad y/o procedimientos

manuales

Page 22: AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes de sistemas de información computarizados Evaluación del riesgo y el control interno.

•Políticas y procedimientos

� Análisis de confianza en los sistemas

� Confidencialidad de la información

� Políticas relativas a la integridad de las

transacciones

� Políticas de integridad vinculadas con el personal

� Monitoreo