Documente Academic
Documente Profesional
Documente Cultură
INFORME N 15
REA AUDITORA
AUDITORA EN AMBIENTES
COMPUTARIZADOS
AUTORES
Leopoldo Cansler
Luis Elissondo
Luis A. Godoy
Ricardo Rivas
1
PRLOGO
El trabajo desarrollado por los Investigadores del CECYT viene
a remplazar el Informe N 6 del rea de Auditora denominado
Pautas para el examen de estados contables en un contexto
computadorizado que fuera realizado muchos aos atrs, por
un numeroso grupo de profesionales especializados en Sistemas
y en Auditoria de Estados contables y del que tuve el honor de
formar parte.
Aquel informe pudo cumplir acabadamente su cometido
llenando un vaco doctrinario en un rea particularmente sensible
pero como ocurre a menudo, con el correr de los tiempos qued
parcialmente desactualizado.
Por tal motivo, se solicit a los colegas Cansler, Elissondo,
Rivas y Godoy aggiornar aquel trabajo incorporando los nuevos
conceptos y desarrollos reconociendo la importancia creciente
de la tecnologa de la informacin. As entonces, el Informe COSO
(Committee of Sponsoring Organizations of the Treadway
Commission), COBIT (Control Objectives for Information and
related Technology), SAC (Systems Auditability and Control
Report), las normas y declaraciones internacionales de auditora
y mucho otro material han sido tenidos en cuenta para preparar
el presente trabajo.
Este informe tiene como objetivo ayudar al Contador en su
trabajo de auditora en entes con sistemas de informacin por
computadora sin que se requiera para ello ser un especialista en
sistemas. Se trata, entonces, de una obra corta, de fcil lectura y
rpida comprensin que contiene lo esencial, lo importante, lo
significativo.
Desde que un ambiente como el sealado puede afectar los
procedimientos seguidos por el auditor para obtener una
comprensin suficiente de los sistemas de contabilidad y control
interno, la consideracin del riesgo inherente y del riesgo de control
a travs de la cual el auditor llega a la evaluacin del riesgo y el
3
NDICE
1.
Introduccin ...............................................................
7
1.1.
Objetivos y alcances. ....................................
7
1.2.
Descripcin del ambiente de sistemas de
informacin computarizada (SIC). ................
8
1.2.1. Elementos que componen el ambiente SIC..
8
1.2.2. Elementos que determinan el grado de impacto
del ambiente SIC .......................................... 14
1.2.3. Efectos sobre el trabajo del auditor .............. 15
1.3.
Impacto sobre la estructura de control de las
organizaciones. ............................................. 15
19
20
20
24
25
25
27
28
29
29
29
2.3.3.
3.
4.
31
31
31
32
33
34
36
36
39
42
43
46
53
54
54
57
58
59
61
61
Datos
Es el elemento bsico de los sistemas de informacin.
De su adecuado tratamiento depende la calidad de la
informacin que luego se genere.
Debe encontrarse claramente establecida la responsabilidad
por el ingreso de los datos. Sobre este punto hay que tener
presente que el ingreso de los datos puede ser realizado
desde distintas fuentes:
Por empleados de la organizacin que deben tener la
autorizacin (el perfil de seguridad) requerida para
realizar dichas tareas.
Por terceros ajenos a la organizacin: clientes o
proveedores que realizan operaciones a travs de
internet, u otros dispositivos destinados a tal fin, tales
como, entre otros: cajeros automticos, terminales de
autoconsulta, etc.
A travs del intercambio de datos con otras
organizaciones. (Intercambio electrnico de datos EDI). Por medios magnticos que contengan
informacin para ser incorporada a los sistemas de
informacin (SIC) de la organizacin.
Documentacin de Respaldo: la informacin ingresada debe
encontrarse sustentada en transacciones debidamente
acreditadas, con los comprobantes respectivos, o a travs
de medios de efecto equivalente (en el caso de transacciones
electrnicas).
Control en el ingreso de los datos: Los sistemas tienen que
contemplar controles (validaciones y consistencias) que
permitan asegurar la calidad de la informacin que se esta
ingresando.
10
13
16
19
CIS-Organizacin y Operaciones
- Existen controles diarios apropiados a las operaciones del
computador.
- Existen controles para asegurarse de que se usan las
versiones correctas de los archivos de datos y de los
programas de produccin durante el procesamiento.
- Existen procedimientos adecuados para enfrentar cualquier
interrupcin temporaria del procesamiento.
- La administracin de redes y las funciones de transmisin
aseguran que los datos transmitidos se reciben de manera
completa y exacta.
- La funcin de gestin de base de datos est organizada
apropiadamente.
- Las actividades del departamento de Sistemas estn
organizadas de manera tal que brindan una adecuada
segregacin de tareas.
Desarrollo de sistemas
- Las especificaciones de los paquetes de software adquiridos
a proveedores externos coincide con las necesidades de la
organizacin.
- Se controla adecuadamente la implementacin de nuevas
aplicaciones.
- Se emplean procedimientos y metodologas de desarrollo
de sistemas apropiados para todas las nuevas aplicaciones.
- Se usan estndares de documentacin adecuados.
Microcomputadores
- Existen controles adecuados sobre el uso de
microcomputadoras.
- Existen controles adecuados sobre los microcomputadores
usados como terminales.
- Los microcomputadores usados en aplicaciones comerciales
crticas estn sujetos a controles adicionales.
23
Recuperacin de desastres
- Existe adecuada cobertura de seguros para cubrir los costos
de implementacin del plan de contingencias.
- Se ha desarrollado un amplio plan de contingencias
conteniendo los procedimientos a ser adoptados en caso
de que ocurriera un desastre.
- Se han hecho preparativos adecuados para asegurarse de
la continuidad del procesamiento en caso de que ocurriera
un desastre.
2.2.1 Sobre las operaciones del rea de Sistemas de
Informacin Computarizada (SIC). Organizacin y
Planificacin (actividades estratgicas y tcticas)
Los procedimientos de control se aplican uniformemente sobre
la totalidad de las actividades desarrolladas por los SIC y pueden,
a su vez subdividirse, por los objetivos que persiguen, relacionados
con:
a. La asignacin de responsabilidades con oposicin de
intereses
Se debe evaluar la segregacin de funciones en las
organizaciones, las que quedan reflejadas en los organigramas
que corresponden a las reas del SIC, por una parte, en relacin
con las restantes reas de los entes, y por otra, con la atribucin
de responsabilidades internas dentro del propio SIC.
Esta distincin busca, en todo momento, disminuir la
concentracin de autoridad en una funcin, sin la incorporacin
de los controles adecuados.
En todos los casos, ser necesario analizar la posibilidad de aplicar
el principio de oposicin de intereses, respetando una
adecuada separacin de funciones.
Se tendr especialmente en cuenta que el rea del SIC no tenga
dependencia con ninguna de las reas usuarias de sus servicios,
cuidando muy particularmente, que no pueda iniciar transacciones,
realizar conciliaciones, ni custodiar otra clase de activos fsicos,
que los puestos expresamente bajo su responsabilidad.
24
32
39
funciones de ellos.
Este procedimiento depender de la forma cmo se realizar la
prueba. Esto es,
empleando transacciones simuladas sobre el sistema real
(Lote de Prueba o Caso Base o Minicompaa), o bien
seleccionando transacciones existentes del sistema real y
emulando el comportamiento del sistema (Simulacin en
Paralelo o Minicompaa).
Si los anteriores procedimientos no son viables, hay que
considerar la posibilidad de observar la realizacin de una
operatoria real y tomar evidencias de su comportamiento,
como prueba de cumplimiento.
Como mtodo menos ortodoxo, podra utilizarse la revisin
de los procedimientos a travs de la seleccin (por
mecanismos de muestreo estadstico) y extraer
transacciones de la realidad. Con ellas, se podr revisar la
situacin real en el sistema real y analizar con criterio crtico
cmo el sistema ha tratado las transacciones seleccionadas.
En operatorias complejas, donde algunas herramientas de
las expuestas no pueden ser aplicadas por problemas
prcticos, es un mtodo alternativo que puede permitir
avanzar en revisiones y documentarlas.
Para preparar las transacciones a simular, deben cubrirse las
siguientes etapas:
- Identificar qu controles comprobar. Para entender su
alcance se mencionan algunos ejemplos: verificar si al
intentar dar de alta nuevamente un cliente existente el
sistema lo rechaza, como debiera, o bien lo admite;
comprobar cmo suma el sistema para emitir los totales
finales del ingreso de datos; revisar la determinacin de
impuestos por parte del sistema de facturacin, entre otros.
- Aislar las transacciones a travs de las cuales es posible
comprobar tales controles. Por ejemplo: qu transaccin
permite darle de alta a un cliente en el archivo de clientes.
44
A m b ie n te d e la
p ru e b a
D e n tro d el m b ito
o p e ra tiv o
T ra nsacciones a
utilizar
D esarrolladas
e specialm e nte para
la prue ba
(sim ula das).
A prov echan do la s
transacciones rea les
proce sad as en e l sistem a
(una co pia d e ellas).
S istem a
em pleado
S istem a real
T cnica s
aplicables
Lo te d e prueba
M inicom paa
C a so ba se
T cnicas
concurrentes.
O bserv acin
S im ulacin e n paralelo
(*) Ello no implica qu computador se emplear, sino que puede ser el que se
emplea en la operacin diaria, pero en un rea del ambiente adecuadamente
separado.
51
Tcnica
Ventajas
LOTE DE PRUEBA.
En procedimientos muy
complejos, donde se cuenta
con poca documentacin,
puede resultar de utilidad la
tcnica, simulando qu
debe hacer el sistema, an
sin poder conocerlo.
La prueba es concurrente
con la operacin (en lnea y
en el mismo ambiente) y es
ejecutable varias veces
durante un ejercicio
comercial, sin preparacin
previa (idea de pelcula).
Aunque los registros
especiales se conocen, el
auditor cuenta con la
sorpresa de su utilizacin.
Se prueban situaciones de
cambio, que el sistema tiene
previsto resolver, por el mero
transcurso del tiempo
MINICOMPAIA.
52
SIMULACIN EN
PARALELO.
OBSERVACIN
Limitaciones
CASO BASE.
TCNICAS
CONCURRENTES
Posibilita un monitoreo
excelente de las condiciones
que el auditor desee.
La prueba es concurrente
con la operacin (en lnea y
en el mismo ambiente), sin
preparacin previa, lo cual
facilita el factor sorpresa.
Puede dificultar el
desenvolvimiento normal de
los operadores.
62
63
Se termin de imprimir
en el mes de abril de 2007 en
Amalevi
Mendoza 1851/ 53 - Rosario - Santa Fe
Tel. (0341) 4213900 / 4242293 / 4218682
e-mail: amalevi@citynet.net.ar
64