AUDITORIA DE SISTEMAS

•Conceptos introductorios
•Auditoria de ambientes de sistemas de información
computarizados
•Evaluación del riesgo y el control interno en
sistemas de información computarizados
•Técnias de auditoría con ayuda de computadoras
•Algunos aspectos metodológicos
•CONCEPTOS INTRODUCTORIOS
Objetivos:

•Examinar el sistema de control interno en general,

evaluando la eficacia y eficiencia del sistema

•Estudio del sistema de control interno con el

propósito de evaluar la confiabilidad de la
información (controles contables) y el logro de la
eficiencia de las operaciones (controles
administrativos)
 PROCEDIMIENTOS

• Conocimiento de la empresa
• Revisión de los controles generales
• Revisión detallada de los sistemas y documentación
• Pruebas
• Evaluación del sistema
• Informes
 •AUDITORIA EN SISTEMAS DE
INFORMACION COMPUTARIZADOS

•Habilidad y competencia del auditor

•Planeación

•Inportancia y complejidad del procedimiento

•Estructura organizacional de las actividades
•Disponibilidad de los datos
•Características del control interno

0 Falta de rastro de las transacciones

0 Procesamiento uniforme de transacciones
0 Falta de segregación de funciones
0 Potencial de errores e irregularidades
0 Disminución de involucramiento humano
0 Transacciones automáticas
0 Dependencia de otros controles
0 Potencial de incremento de la supervisión por parte de
la administración
0 Potencial uso de TAACs
 •EVALUACIÓN DEL RIESGO Y EL
CONTROL INTERNO EN SISTEMAS DE
INFORMACION COMPUTARIZADOS
•Estructura de la organización

•Concentración de funciones y conocimiento

•Concentración de programas y datos
•Naturaleza del procesamiento

• Ausencia de documentación de entrada

• Falta de rastro visible de transacciones
• Falta de datos de salida visibles
• Factibilidad de acceso a datos y programas de
computadora
•Aspectos de diseño y de procedimiento

• Consistencia de funcionamiento
• Procedimientos de control programados
• Actualización sencilla de una transaccion en
archivos múltiples o de base de datos
• Transacciones generadas por sistema
• Vulnerabilidad de datos y medios de
almacenamiento de programas
•Controles generales

• Controles de organización y administración

• Desarrollo de sistemas de aplicación y controles de
mantenimiento
• Controles de operación de computadoras
• Controles de software de sistemas
• Controles de entrada de datos y programas
• Otras salvaguardas

0Respaldo de datos
0Procedimientos de recuperación
0Provisión para el procesamiento externo
•Controles de aplicación

• Controles sobre datos de entrada

• contrles sobre el procesamiento y sobre archivos de
datos de la computadora
• Controles sobre los datos de salida
•Revisión de controles de aplicación

• Controles manuales ejercidos por el usuario

• Controles sobre los datos de salida del sistema
• Procedimientos de control programados
•TECNICAS DE AUDITORIA CON
AYUDA DE COMPUTADORAS (TAACs)

Software de auditoría y datos de prueba utilizados

para propósitos de auditoría

• Software de auditoría
• Datos de prueba
•Software de auditoria: programas de
computadoras usados por el auditor, como
parte de sus procedimientos de auditoría,
para procesar datos de importancia

•Programas en paquetes
•Programas escritos para un propósito determinado
•Programas de utilería
•Datos de prueba: se alimentan al sistema
y se comparan los resultados con
resultados predeterminados

• Prueba de controles específicos

• Transacciones de prueba con determinadas
características
• Transacciones de prueba para instalaciones
(unidad modelo)
•Usos de TAACs

• Pruebas de detalle de transacciones y saldos

• Procedimientos de revisión analítica
• Pruebas de cumplimiento de controles
generales
• Pruebas de cumplimiento de controles de
aplicación
•Requisitos:

• Conocimiento, pericia y experiencia del auditor

• Disponibilidad de TAACs e instalaciones
adecuadas
• No factibilidad de pruebas manuales
• Efectividad y eficiencia
• Oportunidad
•ALGUNOS ASPECTOS
METODOLOGICOS
•El objetivo primario de auditoría no cambia porque
todo o parte de la información esté conservada en
forma electrónica
•El alcance de la revisióndel auditor debe incluir sus
sistemas, procedimientos y metodología y el
control interno
•La evaluación del control interno ayuda al auditor
a formarse una opinión sobre el nivel de
confiabilidad a depositar en el sistema contable
•Elementos del plan de auditoría:

• Alcance
• Plan de trabajo
• Procedimientos
• Opinión preliminar
• Presentación de conclusiones
• Informe con conclusiones a autoridades
• Revisión final
•Necesidad de información del auditor:

• Disponibilidad, confiabilidad y origen de los

registros electrónicos
• Existencia de controles internos y de seguridad
• Documentación de los cambios de sistema
• Reportes del sistema
• Disponibilidad del auditor de hardware y software
para conducir la auditoría
• Disposición de los sectores auditoría interna,
procesamiento de datos, etc.
• Evidencias de auditoría
AICPA - SAS 80

14.- … el auditor puede determinar que no es

práctico o posible reducir la identificación del riesgo
a un nivel aceptable, desarrollando solamente
pruebas sustantivas, en una o más afirmaciones de
los estados financieros
15.- alguna de la información contable y su relativa
evidencia comprobatoria, está disponible solamente
en forma electrónica …. Sin embargo, tal evidencia
puede no ser recuperable después de un período
específico de tiempo … Por lo tanto, el auditor
deberá considerar el tiempo durante el cual la
información existe o está disponible, para determinar
la naturaleza , tiempo y extensión de sus pruebas, y
si es aplicable, las pruebas de los controles.
•Funciones de control interno
• Evaluación de amenazas del sistema y análisis de
riesgo
• Acceso limitado a los registros electrónicos
• Autorización de acceso con códigos de seguridad
• Inalterabilidad de fechas y archivos
• Revisión periódica de accesos
• Archivos de registros electrónicos
• Preservación de integridad de los datos
• Almacenamiento histórico de las transacciones
• Políticas de seguridad y/o procedimientos
manuales
•Políticas y procedimientos

•Análisis de confianza en los sistemas

•Confidencialidad de la información
•Políticas relativas a la integridad de las
transacciones
•Políticas de integridad vinculadas con el personal
•Monitoreo