You are on page 1of 23

Universidad de Buenos Aires Facultad de Ciencias Económicas AUDITORÍA DE SISTEMAS Profesor Titular: Contaldi, Arturo Grupo Nro.

5 Culla Bonzini, Iara - Reg. 85669 5 Ibañez, Mariela Alejandra – Reg.844013 Pala Montenegro, Mónica – Reg.177609 Niño de Guzmán , Ignacio – Reg. 843177 Segundo cuatrimestre – año 2009

INDICE INTRODUCCIÓN...................................................................... ................................ 3 PRIMERA PARTE: “LA AUDITORÍA DE SISTEMAS” ......... ...................................... 4 1.1 CONCEPTO .......................... ............................................................................. 1. 2 OBJETIVOS DE LA AUDITORÍA DE SISTEMAS .......................................... ............. 1.3 PROCESO DE AUDITORÍA ........................................... ........................................ 1.4 TIPOS DE AUDITORÍA .................. ...................................................................... 1.5 DESAR ROLLO DE UNA ESTRUCTURA DE CONTROL: COSTOS Y BENEFICIOS. ........... 1.6 SEGURID AD DE LOS SISTEMAS DE COMPUTACIÓN ............................................... 1.7 ESTRATEGIA DE LA SEGURIDAD ................................................. ........................ 1.8 ANÁLISIS DE LOS RIESGOS ............................. .................................................. 1.9 RIESGOS Y MEDIDAS A TOMAR .......................................................................... 1.9. 1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS ......................................... .......... 1.9.1.1 Estructura organizativa y procedimientos operativos no confia bles .................... 1.9.1.2 Procedimientos no autorizados para cambios en los programas: ....................... 1.9.1.3 Acceso general no autorizado, a l os datos o programas de aplicación: ............... 1.9.2 Seguridad física.......... ................................................................................ .... 1.9.3 Backup y recuperación ................................................. ................................... 1.9.4 Seguridad lógica ....................... ...................................................................... 1.9.5 Pla n de desastre .................................................................. ........................... 1.9.6 CALIDAD DE LOS SISTEMAS ...................... ...................................................... 1.9.6.1 AUDITORÍA DE LA CAL IDAD DE DATOS. ......................................................... 1.10 EL AUDITOR DE LOS SISTEMAS DE COMPUTACIÓN .......................................... ... 1.11 LA PRE-AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN ........................... ........ 4 4 4 4 5 5 6 6 6 6 6 7 7 7 8 8 8 8 8 9 9 PARTE II: “AUDITORÍA EN AMBIENTES COMPUTADORIZADOS” ........................ 10 2.1 IN TRODUCCIÓN ....................................................................... ........................ 10 2.2 CARACTERÍSTICAS DE LOS SISTEMAS COMPUTADORIZADOS.. ............................. 10 2.3 PROCESO DE AUDITORÍA ........................ .......................................................... 11 2.4 AUDITORÍA DE SIS TEMAS COMPUTADORIZADOS. PLANIFICACIÓN ESTRATÉGICA ..11 2.5 AUDITORÍA DE SISTEMAS COMPU TADORIZADOS. PLANIFICACIÓN DETALLADA ...... 12 2.6 RIESGOS DE APLICACIÓN ........... ...................................................................... 12 2.6.1 Acceso no autorizado al procesamiento y registro de datos: ..................... .......... 12 2.6.2 Datos no correctamente ingresados al sistema: .............. .................................. 13 2.6.3 Datos rechazados y en suspenso no ac larados:................................................. 13 2.6.4 Procesamiento y registración de transacciones incompletos y/o inoportunos: ....... 14 2.7 AUDIT ORÍAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS. ........................... 14 2.7 .1 Pruebas de Cumplimiento. .................................................... .......................... 14 2.7.1.1 Lotes de prueba .......................... ............................................................... 15 2.7.1.2 Minic ompañía ............................................................................ ................. 15 2.7.2 Pruebas sustantivas. ................................ ...................................................... 15 2.8 PROCEDIMIENTOS ADM INISTRATIVOS ............................................................... 16 2.9 PAPELES DE TRABAJO DEL AUDITOR ............................................. .....................17 CONCLUSIONES ........................................... .......................................................18 BIBLIOGRAFÍA ........... ................................................................................ ............ 19

2 .

ayuda a asegurar la responsabilidad del usuario y proporc iona pruebas en caso de producirse una infracción en la seguridad.INTRODUCCIÓN A finales del siglo XX. En consecuencia. los sistemas informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial: los Sistemas de Información de la empresa. por ende. 3 . Esta confianza contribuye a la disminución de costos y tiempos en los cont roles que anualmente debe realizar sobre la información contable y financiera. y por eso las normas y estándares propiamente informáticos deben estar. El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. este tipo de acciones y las medidas de prevención de los riesgos que puedan afect ar a la organización. las organizaciones info rmáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa . debido a su importancia en el funcionamiento de una empresa. pero no decide por sí misma. Cabe aclarar que la Informática no gestiona propiamente la empresa. sometidos a los generales de la misma. por lo tanto. junto a la pre-auditoría. concepto que describiremos en el tra bajo. ayuda a la t oma de decisiones. La informática hoy. de contar con lo mencionado anteriormente. Finalmente daremos un pantal lazo de la conceptualización de las auditorías en ambientes computadorizados donde p odremos confirmar que. En este contexto podrá limitarse a la realización de un grado menor de pruebas sustanti vas y en su lugar centrarse en las de cumplimiento. está subsumida en la gestión integral de la empresa. Establecer u na directiva de auditoría es un aspecto importante en la seguridad. Por otra parte. la tarea se ve rá reducida de manera significativa. existe la Auditoria Informática. darían las condiciones adecuadas para que el auditor pueda confiar en los si stemas. Supervisar la creación o la modificación de objetos permite hacer un seguimiento de los posibles p roblemas de seguridad.

puede variar según diferentes circunstancias. de los sistemas. Esto se verá refl ejado en el memorando de planificación que documenta las consideraciones analizada s durante toda la etapa. Planificación: el objetivo último de esta etapa es la determinación del enfoque de auditoría a aplicar y su consecuencia inme diata. Los límites de cada etapa no son tajantes ni excluyentes. Ejecución: su finalidad será la de cumplimentar los proced imientos planificados para obtener elementos de juicio válidos y suficientes para sustentar una opinión.1 CONCEPTO La auditoría de sistemas ha sido definida como la revisión sistemática. 1. Todos esos elementos de juicio se traducirán en papeles de tr abajo que constituyen la documentación y evidencian el examen realizado. sino también. Asegurar mayor integridad y confidencialidad de la información mediante la recomendación de seguridades y controles. de los sistemas en funcionamiento. en qué momento y con qué alcance se ejecutarán los proc edimientos seleccionados.3 PROCESO DE AUDITORÍA La secuencia de pasos que implica llevar a cabo una audit oría. la selección de los procedimientos particulares a ejecutar. del resultado de los pro cedimientos realizados o por eficiencia en el examen. como asimismo los respectivos programas detallados de t rabajo que indican de qué forma.2 OBJETIVOS DE LA AUDITORÍA DE SIS TEMAS Buscar una mejor relación Costo . Apoyo de función informática a las metas y objetivos de la organización. Seguridad de pers onal. cambiando el alcance o la naturaleza de l as pruebas a efectuar en etapas sucesivas.4 TIPOS DE AUDITORÍA Desde el punto de vis ta de la informática se pueden clasificar en: 4 . Capacitación y educación sobre controles en los sistemas de información 1. No obstante el lo. software e instalaciones. Si bien la etapa de planificación pretende establecer todos los procedimientos de auditoría que se apli carán durante el examen. datos. Minimizar riesgos en el uso de Tecnología de i nformación. todas aquellas pruebas alternativas que deban efe ctuarse reemplazando o complementando a las originalmente planificadas. 1.PRIMERA PARTE: “LA AUDITORÍA DE SISTEMAS” 1. Conclusión: en esta etapa se evalúan todas las evidencias obtenidas durante la etapa de ejecución que deben perm itir formar un juicio o una opinión sobre la razonabilidad de los estados. ya sea p or dificultades propias de la empresa.Beneficio de los sistemas automáticos o utarizados diseñados e implementados. ejecución y concl usión. del tipo que sea. los resultados de las pruebas pueden hacer necesaria la m odificación de la planificación efectuada. usualmente se verifican tres etapas esenciales: planificación. hardware. Incrementar la satisfacción de los usuarios de los sistemas computarizados. o rganizada. Es de des tacar que en esta etapa no sólo se realizarán los procedimientos previstos en la eta pa de planificación. emitien do el respectivo informe del auditor.

6 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN La seguridad absoluta es imposible. Debe haber un exigente contro l interno. relacionarlas y su eficacia de costos relativa. archivos soportados magnéticamente. Todas las actividades deben estar coordin adas y dependientes de una sola organización. sabotajes y sobre todo de la destrucción parcial o total. altos costos. deberá conocer l a topología de la red de comunicaciones. y por tanto. Los sistemas de computación deben ser protegidos de tres tipos de pel igros: desastres naturales.Auditoría Informática de Explotación: se ocupa de producir resultados. 1. sin olvidar los virus informáticos. Uno de los crit erios a tener en cuenta es la importancia de los datos. lo que significa que se debe cuidar del mal uso de e sta información. de los robos. complejidad y costos de cada técnica de control. por ejemplo. 1. Auditoría Informática de Sistemas: se ocupa de analiz ar la actividad que se conoce como técnica de sistemas. etc. los fraudes. lo sería a un costo intolerable para la entidad. la c ual puede ser confidencial. Aud itoría Informática de comunicación y Redes: deberá inquirir o actuar sobre índices de util ización de las líneas contratadas con información sobre tiempos de uso. y ello por dos motivos: el primero de tipo práctico: aún suponiendo que ellos fuera factible. totalmente desproporcio nado con respecto a los eventuales daños a soportar. También par a decidir qué controles usar los constructores de sistemas de información deben exam inar diversas técnicas de control. modificación de proce sos. El segundo es de tipo concept ual. tales como list ados. en todos sus factores. Dado las características de los sistemas de computación la seguridad absoluta e s imposible.5 DESARROLLO DE UNA ESTRUC TURA DE CONTROL: COSTOS Y BENEFICIOS. 5 . En los sistemas de finan zas y contabilidad. Otro tema a analizar es que la eficacia de los costos de los controles depende también de la eficiencia. Un tercer elemento a tener en cuenta es e l nivel de riesgo. Seguridad: Políticas. Auditoría Informáti ca de Desarrollo de Proyectos o Aplicaciones: se ocupa del desarrollo de una eva luación del llamado Análisis de Programación y sistemas. Para realizar la explotación Informática se dispone de datos que sufren un a transformación y se someten a controles de integridad y calidad. procedimientos y medid as técnicas que se toman a fin de evitar el acceso no autorizado o la alteración. pueden producirse insatisfacciones del cliente. etc. órdenes automatizadas. Auditoría de la Seguridad Informática: s e debe tener presente la cantidad de información almacenada en el computador. su estándar de control debe ser más estricto. un sistema que apoya la transferencia de fondos tendría un alto riesgo. ro bo o daños físicos a los sistemas de información. Por lo tanto la Auditoría deberá comprobar la seguridad de los programas. necesitaría un alto nivel de seguridad. Una evaluación de riesgos se realiza para determinar la posible frecuencia de un problema y los daños que podría causar si se presentara. de lo contrario. errores y omisiones humanos y actos intencionales. Es importante realizar un análisis cos to/beneficio para determinar qué mecanismos de control ofrecen mayor seguridad sin menoscabar eficiencia operativa o incurrir en gastos excesivos. Por ejemplo. insa tisfacción del usuario.

8 ANÁLISIS DE LOS RIESGOS Los elementos claves en el análisis de riesgos son: Dete rminación del impacto que originaría un acontecimiento.9 RIESGOS Y MEDIDAS A TOMAR 1. Soportarlo o tolerarlo. Med ios de control: dentro de la organización del Departamento de Sistemas es convenie nte separar las principales responsabilidades de las actividades de operación y pr ogramación. Reduc irlo. Reduciendo al mínimo el p erjuicio sufrido. Transferirlo. El problema consiste en hallar una combinación de estas variables.La seguridad en los sistemas abarca cinco funciones: tectar Recuperar corregir y Evitar Disuadir Prevenir De 1.1 Estructura organizativa y procedimientos operativos no confiables Riesgo: si las funciones incompatibles del departament o de EDP no están segregadas existe el riesgo de que ocurran errores o irregularid ades que no sean detectadas durante el transcurso normal de las operaciones. o respaldar las afirmacio nes correspondientes. b. Minimizando la posibilidad de ocurrencia. d. Fijación de la probabilidad de ocurrencia de un hecho. en forma tal de reducir los riesgos a un nivel aceptable y con costos mínimos. Categorías: 1. con medidas adecuadas.9. Esta ev aluación es necesaria para asegurarse de que los controles o las funciones en las que intenta confiar no hayan sufrido alteraciones que reduzcan o eliminen su cap acidad de evitar o detectar errores o irregularidades. tratándose de casos en los que el perjuicio ocasionara efectos menores. errores u omision es humanos y actos intencionales. 1. cada riesgo debería ser atacado de cuatro manera s: a. Corrección de las medidas de segurida d en función de la experiencia recogida.1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS El audi tor debe evaluar los principales controles del Departamento de Sistemas.7 ESTRATEGIA DE LA SEGURIDAD Ya se trate de actos naturales.9. 1. Diseño de métodos para la más rápida recuperación de los daños experimentados. mediante seguros o convenios especiales. con la debida concien cia. dentro de un lapso especificado. c.1. Una vez listados y analizados los riesgos tenemos cuatro posibilidades: Eliminar el riesgo. si no ha podido evitarse que ocurriera. 6 .

1. de ser posible. Protección contra incencios: o Sensores de temperatura 7 . Medios de control: Software de seguridad: además de restringir el acceso a nivel de aplicac iones.3 Acceso general no autorizado. gases tóxicos. Evidencia de control: Obtener copia de las tablas de contraseñas y verificar si lo s usuarios con acceso a determinadas aplicaciones guardan una lógica con sus funci ones específicas.2 Seguridad física: El edificio.1.1. a los datos o programas de aplicación: Riesgo: personas no autorizadas pueden tener acceso directo a los a rchivos de datos o programas de aplicación utilizados para procesar transacciones.9. exp losivos.2 Procedimientos no autorizados para cambios en los programas: Riesgo: los programadores pueden realizar cambios incorrectos no autorizados en el software de aplicación.Evidencia de control: Indagación con los empleados del Departamento de Sistemas. pueden ser utilizados para controlar los riesgos de acceso general. El local del computador no debe situarse encima. El área del computador debe estar en un local que no sea combustible. etc. permitiéndoles realizar cambios no autorizados a los datos o programas. 1.9. debajo o adya cente a áreas donde se procesen. Medios de control: es esencial que los resultados de las modificaciones d e programas sean revisadas por el usuario y el supervisor del programador antes de ponerlo en funcionamiento. Regis tro de operaciones (consola): es un registro completo de cada actividad de proce samiento realizada en el computador. p ara verificar las funciones de cada uno y sus limitaciones. Informes gerenciales especiales: para alert ar a la gerencia sobre la existencia de actividades inusuales o no autorizadas. lo cual reducirá la confiabilidad de la información procesada en el si stema.9. Observación y prueba d e los medios existentes para la limitación del acceso físico a las instalaciones y r ecursos que deben estar protegidos. El espacio entre el falso suelo y el normal debe limp iarse y pintarse antes de la instalación de los equipos. A continuación enumeraremos medidas que deberían tomarse en otros tipos de riesgos: 1. Debe existir prohibición absoluta de fumar en el área de Proceso. El piso y el techo deben ser impermeables. Evidencia de control: una forma de probar la exist encia de adecuados controles sobre el cambio a los programas es seleccionando ca mbios representativos y determinando si los procedimientos de revisión y aprobación fueron cumplidos. Intentar llevar a cabo violaciones a la seguridad para probar si el software de seguridad restringe el acceso de manera efectiva. fabriquen o almacenen materiales inflamables. debe ser expresamente constru ido para el centro de cómputos.

3 Backup y recuperación Backups de equipos Backups de archivos maes tros o bases de datos Backups del software 1. Examinar archivos de datos externos. Pruebas: se inician en la fase de diseño. Métricas del software: evaluaciones objetivas del software con mediciones cuan tificadas.4 Seguridad lógica: la seguridad lógi ca se refiere a los controles de software o controles internos del hardware exis tentes en el sistema para prevenir o detectar el ingreso de la información no auto rizada al sistema o accesos no autorizados a la información de la empresa. costos de mano de obra en el desarrol lo.o Sensores de humo o Medios de extinción del fuego El almacenamiento de medios mag néticos deberá realizarse teniendo en cuenta la temperatura. de recuperación y act uación del personal afectado. Calidad: incluye Software de administración de proyectos Herr amientas de programación Diccionarios de datos Bibliotecas para manejar módulos de p rogramas Herramientas que producen códigos de programas Herramientas para automati zar pruebas 1.9.9.9.6 CALIDAD DE LOS SISTEMAS Se basa en el uso de metodologías para asegurar la calidad del software y la mejora en la calidad de datos. en lu gares especialmente preparados que no sean combustibles y estar a cargo de un re sponsable.1 AUDITORÍA DE LA CALIDAD DE DATOS. Se efectúan para detectar los e rrores del software. 1. ante el caso de una emergencia. Métodos: Encuesta a los usuarios finales consultando su opinión acerca de la calida d de los datos. Debe estipular documentos de requisitos y especificaciones del sistema que s ean completos. Examinar muestras de archiv os de datos. Es el estudio de archivos. 1. detallados y exactos. humedad relativa. además que estén en un formato que los usuarios entiendan. u n análisis de la calidad de los datos.6.9. Para asegurar la calidad del software se ten drán en cuenta: Metodologías: debe conferir disciplina a todo el proceso de desarrol lo.5 Plan de desastre: es importante contar con un conjunto de disposiciones que contemplen todas las medidas preventivas. Estas m edidas implican la identificación y autentificación de los usuarios al operar con el sistema.9. que se plasma en una revisión estructurada pa ra verificar qué tan exactos y completos son los datos en un sistema de información. 8 . 1. Existen diferentes métodos de definición de usuarios y claves que otorgan mayor seguridad. Asignación de recursos: tiempos.

11 LA PRE-AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Los expertos en sistemas no son especialistas en controles y no tienen por qué conocer las necesidades específicas de los auditores. procesamiento distribuido. Estar en condiciones de leer la codificación de un pro grama de computador. Organización y actualización de archivos. es muy costoso y en algunas situaciones prácticamente imposibles modificar los sistemas pura y exclusivamente para incluir en ellos algún control necesario para el auditor. específicamente. Identifi car las pistas de auditorías del sistema. 9   . de los controles a introducir en un sistema de información. Mini y microcomputadores. y desde un punto de vista estrictamente pragmáti co. Procedimientos y actuación del auditor durante la etapa de diseño del sistema: a. GOODHUE y DAVIS. se produzcan en el sistema podrían tener un efecto significativo sobre los resultados (razonabilidad).Es conveniente realizar regularmente auditorías de calidad de los datos para que l as organizaciones tengan la certeza de que los datos contenidos en sus sistemas están completos y tienen un alto nivel de exactitud. el auditor debe poseer los siguientes conocimientos: Nociones amplias sobre rocesamiento electrónico de datos y. Técn icas de auditoría de computador. que se seguirán para dejar adecuadamente d. opinión que compartimo s. eventualmente. casi seguramente. 1. 1986. b. eval uando si los errores que. Revisión de los objetivos del sistema pro puesto y el enfoque global planteado para el logro de dichos objetivos. La calidad de los sistemas de información también puede mejorarse al identificar y corregir los datos defectuosos y convertir la detección de errores en una meta de la organización (KLEIN. 1. Por otra parte. Determinar la “filosofía” general del control que imperará en el sistema. desarrollado en un lenguaje simbólico. e. Modalidades de procesamiento. Habrá que esperar. Esto se podría evitar si se incorporaría la participación del aud itor durante la etapa de diseño del sistema.10 EL AUDI TOR DE LOS SISTEMAS DE COMPUTACIÓN Según EL Dr. Es responsabilidad de la gerencia desarrollar la estructura de c ontrol y las normas de calidad de la organización. La creación de niveles altos de s eguridad y calidad en los sistemas de información puede ser un largo proceso de ca mbio en una organización. 1997). redes de transmisión de datos. Sistemas de captura de datos. Evaluar los pro cedimientos documentado el sistema. Deter minar el impacto que el sistema tendrá sobre el régimen contable de la entidad. Jorge Nardelli. c. Las pautas que establecen el análisis de la información en u n sistema computarizado se desarrollan en el informe N 6 CECYT. alguna modificación mayor o manten imiento del sistema.

conversión y paralelo (puede también ser convenien te en el período inicial del nuevo sistema). j. El examen d e la documentación del sistema durante el desarrollo del mismo. i. programación. En la década de los años 1950. 2. la información almacenada y procesada está di sponible de manera tal que sólo es analizable con ayuda del computador.2 CARACTERÍSTI CAS DE LOS SISTEMAS COMPUTADORIZADOS Características en comparación con los sistemas convencionales (manuales) enfocadas hacia la evidencia de auditoría que proporcio nan: En los sistemas computadorizados. h. g. Depend erá de la envergadura de la organización y de la magnitud y complejidad de la inform ación que maneje el ente. Con la evolución de la tecn ología aplicada al desarrollo de equipos computadorizados se produjeron sucesivos progresos en relación con el medio de procesamiento y lenguajes utilizados. para la obten ción de los elementos de juicios válidos y suficientes exigidos por las Normas de Au ditoría Generalmente Aceptadas. Examinar los procedimientos de programación y prueba a seguirse. a fin de aumentar la utilidad que tal información posee. en el ambiente de aplicaciones contab les la información era en general procesada manualmente. La actuación debería comprender (de acue rdo con la periodicidad fijada o las necesidades especiales resultantes). PARTE II: “AUDITORÍA EN AMBIENTES COMPUTADORIZADOS” 2. Auditoría: es el examen de informa ción por parte de una tercera persona.1 INTRODUCCIÓN El procesamiento el ectrónico de datos (EDP) ha cubierto un amplio espectro de aplicaciones debido a d os de sus características principales: generación de información confiable y rapidez e n su elaboración. El examen preliminar de la documentación del sist ema puede ser empleado para la formulación de un juicio previo en cuanto a la bond ad de los procedimientos y proporcionar al auditor una indicación sobre aquellos c ontroles que deberían ser verificados (en cuanto a su existencia) y ser sometidos a un juicio posterior sobre su efectividad. 10 . Los auditores deben aco stumbrarse a realizar revisiones y emitir su opinión profesional sobre datos e inf ormación que surgen de sistemas computadorizados. con la intención de establecer su razonabilidad dando a conocer los resultados de su examen. puede proporcionar le una idea preliminar en cuanto a los relevamientos. a efectos de obtener una razonable se guridad de que los cambios no afectan adversamente la efectividad de los control es o el enfoque previo de auditoría. El uso del procesamiento electrónico de datos es hoy un medio de gen eración de información aplicado en la mayoría de las empresas. Determinar la naturaleza de la evidencia que para auditoría dejarán las transaccione s procesadas.f. distinta de la que la preparó y del usuario. las et apas de diseño. el hecho de contar con sistemas computadorizados más o men os complejos. prueba. verificaciones o pruebas d e procedimientos y las técnicas de auditoría a aplicar posteriormente.

ciertos tipos de errores que se producen en los sistemas computadorizados son d ifícilmente detectables. No obstante. debido a que la inf ormación es almacenada electrónicamente con una menor participación del hombre en el p rocesamiento. Ambiente del sistema de información: está relacionado con el grado de utiliz ación del procesamiento electrónico de datos en aquellas aplicaciones financieras si gnificativas. a los efectos de establecer una estrategia de auditoría o un enfoque preliminar para la revisión de los estados financieros a una fecha dada. éste afecta a un m ayor volumen de transacciones. por esta causa. Con estos elementos se obtienen datos de salida pr ocesados manualmente. la posibilidad de errores al azar queda sustancialmente reducida. C uando se planifica la revisión de circuitos administrativos donde las aplicaciones contables significativas son procesadas electrónicamente. cabe la posibilidad de que los datos ingresados al computador para su procesamiento puedan incluir errores o ser incompletos. los principales temas a considerar son: 11 .3 PROCESO DE AUDITORÍA Los enfoques de auditoría que se utilizan en ambientes en l os que una parte signific ativa de los procesos administrativos son procesados e lectrónicamente pueden clasificarse básicamente en: Enfoque externo o tradicional: c onsiste en realizar los procedimientos de verificación utilizando los datos de ent rada al sistema y someter estos datos al proceso lógico que se realiza en esa etap a específica del procesamiento. entre otras. puede ser mayor en los sistemas manuales.En los sistemas computadorizados no todos los procedimientos de control se evide ncian en forma expresa. Debido a la poca participación del elemento humano. Los sistemas computadorizados pueden permitir que se implante una segregación de funciones incompatibles más rigurosa ya que pueden exis tir controles basados en el software. La posibilidad de que c iertos individuos accedan a los datos sin autorización. Esta información deberá ser suficiente para que el auditor pueda evalu ar hasta qué punto se han computadorizado los sistemas administrativos y el grado en que las operaciones del ente dependen de sistemas de procesamiento electrónico de datos. se seleccionan técnicas d e auditoría que controlan la forma en que esa aplicación computadorizada funciona. consisten en revisar los pasos de los programas. revisar la lógica del lenguaje utilizado. Para adquirir conocimiento sobre este ambiente.4 AUDITORÍA ESTRATÉGICA En la etapa de planificación estratégica lo que se persigue es conocer cuáles son l as características generales del ente. N o considera el procesamiento como una caja negra. Existen específicamente dos aspectos que el auditor debe tener en cue nta: a. PLANIFICACIÓN 2. Dependerá del alcance que se le otorgue a es ta prueba el grado de confianza que se obtiene sobre el sistema computadorizado. 2. procesar nuevamente u na determinada cantidad de operaciones a través del propio sistema computadorizado . El procesamiento computadorizado somete uniformemente tod as las transacciones similares a las mismas instrucciones de procesamiento. o los alteren sin dejar ev idencias visibles. DE SISTEMAS COMPUTADORIZADOS. Esta información manual se compara con los datos de salida q ue genera el sistema computadorizado y se concluye si el procesamiento electrónico arriba a resultados razonables o no. Enfoque moderno: consiste en realizar los procedimientos de verificación del corr ecto funcionamiento de los procesos computadorizados utilizando el computador. reduciéndose por consiguiente la oportunidad e detectar manualmente los accesos no autorizados. Normalmente cuando se desliza un error.

.

un conocimiento más profundo lo debe rá desarrollar durante el proceso de planificación detallada. PLANIFICACIÓN DETALLADA El análisis de rie sgos inherentes globales y del ambiente de control que se efectuaron durante el proceso de planificación estratégica es ahora reemplazado por un análisis de riesgos e n mayor detalle. 12 . normalmente son similares o iguales para todas las aplicaciones que se procesan en ese mismo ambiente. El auditor en este caso debería considerar en qué grado las principales áreas de los estados financieros son procesadas a través siste mas computadorizados.6.5 AUDITORÍA DE SISTEMAS COMPUTADORIZADOS. permite al auditor depositar ma yor confianza en los controles del ente a ser auditado. en relación con cada una de las afirmacione s específicas y los factores específicos de riesgo.6 RIESGOS DE APLICACIÓN 2. Riesgos de aplicación: donde el nive l de riesgo y los controles establecidos para reducirlo a un nivel aceptable cam bian de una aplicación a otra. de haberse realizado una correcta auditoría de sistemas e implementado las medidas de control y seguridad adecuadas. Alcance del procesamie nto computadorizado de la información para las principales áreas de los estados fina ncieros o tipos de transacciones. Cuando el ambiente de control es fuerte. Este ambiente posee una gran influencia sobr e la decisión del auditor de confiar en los controles para obtener satisfacción de a uditoría. Además. modificar. Los riesgos inherentes relaciona dos con las transacciones en un medio de procesamiento electrónico de datos. es necesario identificar si se enc uentra organizado en forma centralizada o descentralizada. Esta información será útil para evaluar el riesgo inherente y de control. daremos el marco de seguridad necesario para realizar la auditoría contable en me nos tiempo y con menores costos) 2.Conocimiento de la estructura organizativa de los sistemas: para lograr esto el auditor debe comenzar por un análisis global de la estructura organizativa y admin istrativa del Departamento de Sistemas.1 Acceso no autoriz ado al procesamiento y registro de datos: Riesgo: personas no autorizadas pueden tener acceso a las funciones de procesamiento de transacciones de los programas de aplicación o registros de datos resultantes. Riegos generales del Departamento de Sistemas: d onde el nivel de riesgo y los controles establecidos para reducirlo a un nivel a ceptable. para cada componente. b. el Centro de Cómputos. Cabe destacar que. Conocimiento de la na turaleza de la configuración de sistemas: el auditor deberá adquirir un conocimiento global de las características de los sistemas. Los principales aspectos que deben ser tenidos en cuenta para e valuar la efectividad del ambiente de control son: El enfoque del control por pa rte del directorio y la gerencia superior Organización gerencial 2. agr egar o eliminar información de los archivos de datos o ingresar sin autorización tra nsacciones para su procesamiento. puede n ser clasificados de la siguiente manera: a. b. Ambiente de control: está referido al conjunto de condiciones dentro de las cua les operan los sistemas de control. permitiéndoles leer. (fueron desarrollados en l a PARTE I de este trabajo. seleccionar controles y funciones de procesamiento computadorizados como fuentes de satisfacción de audito ría y posiblemente reducir la cantidad de evidencia necesari a para lograr el obje tivo de auditoría. e identificar la naturaleza de las pruebas de auditoría a realizar.

deberán ser sometidos a los mismos controles de validación que los datos originales. revisar y analizar los perfiles o tablas de seguridad del sistema de control de acceso. 2. Ciertas tr ansacciones pueden ser identificadas y rechazadas por los sistemas computadoriza dos como incorrectas o inaceptables. e l dato rechazado deberá ser controlado manualmente. b. intentar desplazarse de un menú de aplicación a otro para determinar si existe la posibilidad de realiza r funciones incompatibles c. Normalmente cuando los datos son rech azados el sistema no retiene registro alguno de la partida y consecuentemente. obtener. Las trans acciones pueden ser: aceptadas por el sistema y señaladas en un informe de excepción .6. 13 . Para que las transacciones sean registrad as en forma precisa los datos permanente y de transacciones deben tener el forma to correcto e incluir los elementos correctos. analizados y corregidos en forma oportuna. Medios de control: co ntroles sobre las transacciones rechazadas y partidas en suspenso. determinar si el paquete de software de seguridad e n el cual se deposita confianza ha sido adecuadamente implantado desde el punto de vista técnico. Cuando los datos rechazados se an ingresados nuevamente. Los controles de validación se aplican norma lmente cuando los datos son ingresados por el usuario en una terminal. Contro les de acceso: la verificación de la evidencia de adecuados procedimientos de cont roles de acceso pueden consistir en: a.6. b. inco mpletos o ser ingresados más de una vez. d.3 Datos rechazados y en suspenso no aclarados: Riesgo: este tipo de datos pu eden no ser identificados. observar a los empleados mientras desempeñan s us tareas para determinar si cumplen con las responsabilidades asignadas.Medios de control: segregación de funciones controles de acceso segregación de funci ones: la prueba de segregación de funciones puede incluir: a. determinar la distribución de funciones. Medios de control: controles sobre la precisión e integridad de los da tos ingresados para el procesamiento. se deberá crear un registro que los incluya para que posterior corrección y procesamiento puedan ser controlados. análisis de las respon sabilidades de aquellos empleados a quienes se les asignan partes significativas del procesamiento de información. El usuario es quien debe asegu rarse que todas estas transacciones sean luego corregidas. Evidencia de control: 2. o también pueden ser completamente rechazadas. de acuerdo a criterio prefijados. o destinadas a una cuenta “en suspenso” del sistema en lugar de ser procesadas.2 Datos no correctamente ingresados al sistema: Riesgo: los datos permanente y de transacciones ingresados para su procesamiento pueden ser imprecisos. Evidencia de control: Verificar visualmente que durante el proceso de ingreso de datos se generen listados de excepciones por partidas no aceptadas Verificar que los emp leados autorizados han tomado las medidas necesarias con respecto a las excepcio nes o errores incluidos en los listados de excepciones de ingreso de datos. cuando los da tos son rechazados. y las transacciones no deben ser duplicadas.

en forma periódica.6. Estos controles validan la veracidad y razonabilidad de las transacciones generadas automáticamente y evi tan o detectan transacciones erróneas. 2.7 AUDITORÍAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS. es posible que los registros contables pertinentes sean actualizados en forma incorrecta o incompleta durante el procesamiento. Contro les de reenganche y recuperación: ayudan a evitar la pérdida de transacciones durant e el procesamiento si este fuera interrumpido. probando los procedimiento de cancelación de documentos en v igencia. para un período seleccionado. seleccionar una muestra y verificar que hayan sido c orrectamente procesadas con posterioridad. Evidencia de control: si se trata de controles por lotes sobre el ingreso de dat os y ello es considerado como un control clave. Si el formato de dato s es incorrecto o no se ha verificado su consistencia con los archivos de datos existentes. sólo podrán ser probados utilizando técnicas de lotes de prueba. Obtener el listado de partidas e n suspenso a una fecha dad.4 Procesamiento inoportunos: y registración de transacciones incompletos y/o Riesgo: las transacciones reales que han sido ingresadas para su procesamiento o generadas por el sistema pueden perderse o ser procesadas o registradas en form a incompleta o inexacta o en el período contable incorrecto.1 Pruebas de Cumplimiento. puede probarse su efectividad de diferentes maneras: recalculando los totales de control por lotes a partir de l os documentos fuente. Controles de corte programados: e vitan un corte incorrecto y generalmente son comparables a controles similares d e un ambiente de procesamiento manual. E n el caso de controles de sesión o controles de balanceo programados. Controles sobre los datos generados por e l sistema: incorporados a los sistemas que generan transacciones o realizan cálcul os automáticamente sin un revisión por parte de una persona. Medios de control: C ontroles de procesamiento por lotes y de sesión: basados en la preparación de totale s de control de campos de ingreso críticos antes del procesamiento.Evidencia de control: Examinar las conciliaciones entre ingresos y egresos de re gistros efectuados por los responsables de la aclaración de partidas en suspenso. Controles de balanceo programados: incorporados al software d e aplicación para asegurar la exactitud e integridad de la actualización de archivos y del procesamiento de informes. 14 . Estos totales de control son comparados posteriormente con los totales generados por el sistem a computadorizado. Controles de transmisión de datos: producen un cál culo de prueba para ser aplicado a la información incluida en la transmisión. 2.7. verificando. Verificar que estos responsables cumplan con los procedimientos de revisión y acla ración de partidas en suspenso. que el área de control de datos haya comprobado la secuencia numérica de los lotes hasta su procesamiento final. 2.

El objetivo de estas pruebas es determinar si el sistema (como sistema en si) y más precisamente respecto de los controles relevados.7.7. a efectos de poner en evidencia qué relación existe cuando esas transacciones se ejecuten en el sistema (sistema re al). se refiere a analizar la información procesada por el sistema. es prácticamente irreal izable. La planificación de esta tarea se orientará para que. de registros especialmente ingresados (dados de alta). permiten que el auditor exprese la inferencia válida que si la “minicompaía” tiene ad ecuadamente controlados sus procedimientos.2 Pruebas sustantivas. O s istema de programas. se apliquen criterios de comparac ión. Esta auditoría trata de obtener los elementos de juicio válidos y suficientes para la emisión del Informe del Auditor. la “compañía” auditada también los tiene. por el mero transcurso del tiempo. en las revisiones. convenientemente adecuados a los objetivos del auditor. Ventajas: Demanda es casa habilidad técnica del auditor. para finali dades de auditoría. Técnicas principales: 2. Desventajas: Se pierde integridad de la base de datos. para la ejecución de la actividad. 15 . También propone adoptar los programas existentes en la instalación. El auditor queda compr ometido con el sistema. Da una imagen del s istema en el momento de la prueba. 2. La prueba completa de todas las alternativas previsibles combinadas.7. Esta comprobación. La prueba es concurrente con l a operación (en línea u en el mismo ambiente) y es ejecutable varia veces durante un ejercicio comercial. Produce una evidencia completa de los resultados. Los resultado obtenidos del proceso de los registros de audito ría.1. Pueden existir li mitaciones impositivas y de otras fuentes reglamentarias. Posibilita una prueba cuasi completa de todas las variantes que se deseen probar.2 Minicompañía Consiste en la incorporación. con respecto a los resultados que se espera produzcan. Permite probar el circuito computarizado y el administrativo. Se prueban situacione s de cambio. dentro de los archivos normales de la institución. Vent ajas: Demanda escasa habilidad técnica del auditor. 2. se comportan en la práctica de acuerdo a como se espera que lo hagan. Aunque los registros especiales se c onocen. sin preparación previa. Resulta difícil reproducir el ambiente operativo real.1 Lotes de pru eba Propone que el auditor genere transacciones. confirmación y razonabilidad.1. Desventajas: Exige mucho tiempo dedicado a su elaboración. el auditor cuenta con la sorpresa de su utilización. Técnicas principales: Elaboración de un programa. que el sistema tiene previsto resolver. al menos la primera vez.

8. con que deberán ser revisados los distintos aspectos de la Tecnología Informát ica.8. que aporten un mayor valor a la labor de Auditoría.8. si contáramos con documentación que podría solicitarse al cliente. Convi ene señalar que. se desprenderá qué tip o de pruebas se podrán efectuar. que se vuelca en columnas. consiste en el agregado de nuevas columnas. 16   . Esta Matriz entonces. extensión y oport unidad. La información a incluir entonces.8 PROCEDIMIENTOS ADMINISTRATIVOS Normalmente estas actividades se desarrollan fuera del ambiente de la Tecnología Informática. 2. con antelación a la realización de una primera e ineludible visita. Específicamente desarrollado para el empleo por parte de lo s auditores. sólo se habrán de comprobar aquellos aspectos que según el relevamiento están considerados por un control dentro del sistema o la organización. a signar prioridades para su realización y establecer la naturaleza. 2. con ayuda del computador. se ub icarán los ítems a analizar que serán distintos según los tipos de controles que se anal icen.8. en el corto y mediano plazo. y a que para las Pruebas Sustantivas. se expondrán con un criterio amplio y en forma generalizada. considerando que ya se han seleccionado las partidas o rubros de l balance a analizar. Riesgo advertido y calificación subjetiva del nivel del riesgo.2 Planeam iento de la Actividad: La toma de conocimiento del Ente y su ambiente podrá aceler arse. 2. En el caso de las Pruebas Sustantivas identificar en o los rubros de lo s estados Contables a revisar. Los aspectos que se co ntemplan son los siguientes: 2. Los ítems que debe contener un informe.Utilización de software. i dentificar los Controles generales a revisar y señalar los Sistemas Aplicativos qu e serán más importantes y representativos. se creará un inventario de los aspectos que se habrán de comprobar. Recomendación de acciones a emprender p ara su eliminación o acotamiento.4 Matriz para la prueba de controles: La planilla de trabajo que se pr opone en este ítem. Teniendo en consid eración los aspectos que se han incluido en la planilla anterior a cada Objetivo d e Control. para comenzar a idear el Plan de Actividades y el consiguiente presupuesto. de acuerdo con las técnicas de verificación disponibl es. Esto es. deberá ser elaborada separadamente par a: Los Controles Generales y Los Controles sobre las aplicaciones. será la siguiente: Objetivo de cont rol Tratamiento que se prevé le da el sistema o la organización.3 Matriz de Riesgo para los controles: Esta m atriz para el análisis de riesgos está planteada para las Pruebas de Cumplimiento. en la Auditoría sobre el Cumplimiento de los Controles existentes.1 Informes de Auditoría: El auditor vive de sus i nformes. se podrá pasar directamente a la etapa de las comprobaciones. Pruebas a r ealizar: según el conocimiento que se haya logrado del sistema. 2. En las filas. respetando los lineamientos de la RT n 7. El planeamiento de la actividad e stá referido a establecer un procedimiento racional que nos permita identificar.

etc. Siempre que los mismos resulten aptos para sustentar la evidencia q ue de ellos se pretenda obtener. en el ítem Papeles de Trabajo. con el detalle adecuado para que ya se obtengan elementos de juicio. Luego de desarrollada la prueba. Luego que éste ha emitido los documentos resultantes de su actividad. útil para la redacción del Informe. La RT n 7 establece en el acápite B –Normas para el Desarrollo de la auditoría. considerará que el aplicativo a considerar se ha seleccio nado en función de su riesgo. Papeles de trabajo son todos aquellos objetos. discos com pactos. documentos. nos r esta referirnos a los medios de respaldo que quedan en poder del auditor. elementos de juicio obtenidos y las conclusiones a las que arribó el auditor. se completará la Matr iz de Prueba antes elaborada. Ante el avance tecnológico estos elementos pue den estar compuestos por otros medios tales como diskettes. 2.La ejecución de la prueba. Relación a los pa peles de trabajo: que referenciarán a los elementos de la prueba que estarán archiva dos por separado de la matriz perfectamente ordenados y relacionados.9 PAPELE S DE TRABAJO DEL AUDITOR Como corolario de todos los aspectos mencionados. 17   . con los siguientes elementos: Observaciones: que r ecogerá los resultados de las comprobaciones. listados y otras registraciones donde const an las tareas realizadas. A estos medios de respaldo se los conoce genéricamente como “Papeles de Trabajo”. Históricamente se han entendido como papeles de trabajo los soportes en papel donde figuran las anotaciones y cualquier otro vuelco de ideas surgidas del trabajo desarrollado. cassetes.

18 . tampoco es útil que confiemos ciegamente en estos sistemas y no los protejam os de factores externos al mismo como humanos. De optar por la opción de no realizarla. al momento de tener que anal izar los estados contables debería realizar una innumerable cantidad de pruebas. Por otra p arte. que puedan compr ometer su integridad. Con esto. motiva tomar medidas de segu ridad que intenten prevenir este tipo de situaciones. t anto de cumplimiento como sustantivas. De nada sirve implementar este tipo de sistemas si no vamos a realizarle s un seguimiento. tal como hemos descripto en la primera parte de e ste trabajo. La importancia de la información que hoy guardamos en el “cibe respacio” y el perjuicio que su pérdida podría causarnos. podría optar por no rea lizar las auditorías de sistema. como por tener que analizar la información generada por éste sin consid erarlo. etc. la empresa incurriría anualmen te en costos altísimos tanto por tener un sistema (costo de mantenimiento). con control de su funcionamiento. que nos permita verificar qu e los resultados que nos muestra son útiles para la toma de decisiones. desaprovechando las facilidades y utilida des que hoy pone a disposición la tecnología. en el que no confía.CONCLUSIONES Si bien la empresa que ha implementado sistemas computadorizados pa ra el proceso de las operaciones diarias de la organización. accidentes.

Primera Edición 1986 CECYT FEDERACIÓN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONÓMICAS. LAUDON Azimuth Information Systems SISTEMAS DE INFORMACIÓN GERENCIAL: Organización y tecnología de la empresa conectada en red .Segunda edición 1992 AUDITORÍA: UN NUEVO ENFOQUE EMPRESARIAL – Carl os A.BIBLIOGRAFÍA AUDITORÍA Y SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN – Jorge Nardelli – Edito rial Cangallo SA... agosto 2003 KENNETH C. A uditoría de Estados Contables en un contexto computadorizado.1990 GUIA PRÁCTICA PROFESIONAL – Lepoldo Can sler. Informe Nro. Slosse y otros – Editorial Macchi. 7 – FACPCE (1985) 19 . 6.6ta edición. LAUDON New York University JANE P. Pearson educación CECYT FEDE RACIÓN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONÓMICAS.. INFORME NRO.Primera Edición. 15 CECYT “Auditoría en ambientes computadorizados” RT Nro..

También desarrolla proced imientos para evaluar el cumplimiento de los controles. las concernientes a la audito ría externa de los estados contables. Informe Nro. en particular. con la finalidad de asegurar un necesario gr ado de confiabilidad de la información contable. 6 CECYT “Pautas para e l examen de estados contables en un contexto computadorizado” Brinda un conjunto d e pautas referenciales para la evaluación de las actividades de control (control i nterno) y la obtención de evidencia en un contexto computadorizado.ANEXO – NORMATIVA APLICABLE RT Nro. 15 CEC YT “Auditoría en ambientes computadorizados” Este informe tiene como finalidad facilit ar la comprensión de los procedimientos de auditoría en ambientes computadorizados p ara obtener comprobaciones válidas y suficientes respecto de las afirmaciones cont enidas y la información expuesta en los estados contables. la detección de riesgos y la validez de los saldos en los ambientes en los que se utilizan los Sistemas de información contable. 7 – FACPCE (1985) Las normas incluidas en este informe abarcan aquellas ap licables a la auditoría en general y. Informe Nro. como tareas in tegrantes del examen de estados contables destinado a emitir un informe sobre la razonabilidad con la que éstos presentan la situación del ente. 20 .