Tecnologa de la Informacin

PwC Argentina Auditora de Sistemas Octubre 2012

Agenda

Introduccin Marco conceptual Auditora de sistemas en la prctica

Marco conceptual

Auditora Contable vs Auditora de Sistemas

La auditora contable es una herramienta de control que se utiliza para realizar un examen sistemtico de los estados financieros, registros y operaciones de un Ente pblico o privado.

Personas Intervienen Procesos Sistemas de Informacin

La auditora de sistemas tiene como objetivo verificar la exactitud, integridad y autenticidad de la informacin que conforma los estados financieros.

Para cumplir con dicho objetivo, la auditora de sistemas valida que determinados controles operen correctamente en el perodo bajo anlisis.

CONFIABILIDAD DE LOS DATOS QUE SE REGISTRAN EN LOS SISTEMAS DE INFORMACIN

Auditora de Sistemas Octubre 2012

Marco conceptual

Riesgo y control

Riesgo Control

Posibilidad de ocurrencia de un evento con impacto negativo en el logro de los objetivos de una organizacin. Medido en trminos de probabilidad e impacto.

Actividad dispuesta por la organizacin para mitigar un determinado riesgo.

Auditora de Sistemas

Octubre 2012

Marco conceptual

Tipos de control

Auditora de Sistemas

Octubre 2012

Marco conceptual

Objetivos de procesamiento de la informacin

Los controles buscan asegurar el cumplimiento de los siguientes objetivos de procesamiento de la informacin:

Asegurar que las transacciones autorizadas son registradas de manera completa y exacta, y que los datos son protegidos contra el acceso no autorizado una vez que han sido registrados.
Auditora de Sistemas

Octubre 2012

Marco conceptual

Controles generales de Tecnologa Informtica (CGTI)

Polticas y procedimientos relacionados con varias aplicaciones/sistemas, que contribuyen a asegurar la continua y apropiada operacin de los sistemas de informacin.

Auditora de Sistemas

Octubre 2012

Marco conceptual

Controles generales de Tecnologa Informtica (CGTI)

Transacciones y sub-procesos de negocio Objetivos de procesamiento de la informacin (CAVR) Aserciones sobre los estados financieros Valuacin Corte Integridad etc. Controles de aplicacin Automticos Manuales dependientes de reportes de los sistemas Revisiones de Performance del Negocio Procesos de Negocio

Estados Financieros

Controles Generales de TI
Auditora de Sistemas Octubre 2012

Auditora de sistemas en la prctica

Auditoras por industria

Financiera Banco Central de la Repblica Argentina (BCRA)

Seguros Superintendencia de Seguros de la Nacin (SSN)

Comerciales Industriales Servicios Normas ISO

SEC CNV Mejores prcticas (COSO, COBIT, etc.) - Normas corporativas

Auditora de Sistemas

Octubre 2012

Auditora de sistemas en la prctica

El proceso de auditora de sistemas

Auditora de Sistemas

Anlisis de la estructura organizacional de la compaa Identificacin de las tecnologas y sistemas aplicativos utilizados por la compaa Obtencin y anlisis de polticas y procedimientos Identificacin de procesos/subprocesos significativos en los estados contables Identificacin de sistemas y plataformas que soportan los procesos incluidos en el alcance Identificacin de controles Definicin de los procedimientos de prueba a ejecutar Emisin de requerimientos al cliente Anlisis de informacin y realizacin de las pruebas en ambiente de testing/produccin Documentacin de resultados en matrices de control Formulacin de observaciones/hallazgos encontrados Discusin de hallazgos con la gerencia Emisin de informe final
Octubre 2012

Auditora de sistemas en la prctica

Tipos de trabajo Ejemplos

Reprocesos de informacin Reclculo de previsiones por riesgo de incobrabilidad Reclculo de deudores por premio Revisiones de Control Interno Prueba de controles en procesos de negocio (Ventas, Prstamos, Crditos, Tesorera, etc) Evaluacin de perfiles de usuario/segregacin de funciones en SAP, Oracle, AS/400, Mainframe Revisin tcnica de sistema operativo Unix Validacin de controles de pruebas de aceptacin de usuario
Auditora de Sistemas Octubre 2012

Auditora de sistemas en la prctica

Matriz de controles (ejemplo)

Objetivo de control
Prueba y autorizacin previa a la implementacin en produccin de los cambios realizados a los programas.

Descripcin del control

Todos los cambios realizados a los programas son probados en ambiente de testing por el usuario responsable, dejando constancia de esto y autorizando el pasaje a produccin mediante la firma del formulario F500.

Procedimiento de prueba
Para una muestra de 25 cambios realizados al sistema Bantotal entre el 01/01/2009 y el 31/12/2009 verificar que los mismos hayan sido probados y autorizados por el usuario previamente a su implementacin en produccin.

Resultado obtenido
No satisfactorio. Hemos verificado que para 6 de los 25 casos analizados con se cumpli con el procedimiento definido, no existiendo evidencia de la prueba y autorizacin de la implementacin en produccin por parte del usuario responsable.

Observacin
Hemos observado que el procedimiento de implementacin de programas en produccin no se cumple en todos los casos, existiendo modificaciones realizadas al sistema Bantotal que no han sido probadas y autorizadas por el usuario responsable. No surgen observaciones que formular

Autorizacin de las rdenes de compra.

Todas la rdenes de compra ingresadas en el sistema CM deben ser autorizadas en lnea por un supervisor de compras, teniendo ste asignado el perfil SUP_compras.

Verificar que el sistema CM impide confirmar una orden de compra sin la autorizacin de un supervisor. Verificar que el perfil SUP_compras del sistema CM se encuentra asignado nicamente a usuarios supervisores de compras.

Satisfactorio. Mediante prueba realizada en ambiente de testing hemos verificado que las rdenes de compra quedan en estado ingresada hasta tanto el supervisor las confirme y autorice. Hemos verificado que el perfil SUP_compras se encuentra asignado nicamente a personal con cargo supervisor de compras.

Auditora de Sistemas

Octubre 2012

Auditora de sistemas en la prctica

Informe

Resumen ejecutivo Alcance Debilidades y hallazgos Descripcin de la situacin observada Descripcin del efecto / riesgo Recomendacin Comentarios de la gerencia

Auditora de Sistemas

Octubre 2012

Preguntas

pablo.gil@ar.pwc.com

2012 PricewaterhouseCoopers. All rights reserved. Price Waterhouse & Co. S.R.L., Price Waterhouse & Co. Asesores de Empresas S.R.L., PricewaterhouseCoopers Jurdico Fiscal S.R.L. y PricewaterhouseCoopers Asesores Gerenciales S.R.L. Todos los derechos reservados. PricewaterhouseCoopers se refiere a las firmas argentinas de Price Waterhouse & Co. S.R.L., Price Waterhouse & Co. Asesores de Empresas S.R.L., PricewaterhouseCoopers Jurdico Fiscal S.R.L. y PricewaterhouseCoopers Asesores Gerenciales S.R.L. o, segn requiera el contexto, a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente.