Auditoria Unidad2

Auditoría de Sistemas y Legislación – Mg. Elsa Estévez – 2do. Cuatrimestre de 2006.
Departamento de Ciencias e Ingeniería de la Computación – Universidad Nacional del Sur
T. 2
Motivación
Felicitaciones!!! Lo han designado Gerente del Departamento
de Auditoría de la Empresa “X”.
La empresa posee:
• 520 programadores y analistas
Planificación de una Auditoría • 1245 PC’s conectadas en red
• 5378 bases de datos.
Pregunta: ¿cómo puede ejecutar la auditoría, de tal forma

de obtener una seguridad razonable sobre:
Departamento de Ciencias e Ingeniería de la
Computación 1) la salvaguarda de activos en el procesamiento de datos,
2) integridad de los datos,
3) la eficiencia y eficacia de los sistemas ?
T. 3 T. 4
Solución La Naturaleza de los Controles

Implementar sistemas de control. Definición.
Un control es un sistema que previene, detecta, o corrige
eventos ilegales.
1) saber qué es un control y cómo funcionan los controles
Hay tres aspectos claves en esta definición:
2) determinar qué controlar
1) un control es un sistema
3) estimar la confiabilidad de los controles
2) eventos ilegales
4) estimar el riesgo de la auditoría
3) los controles son usados para prevenir, detectar o
corregir eventos ilegales.
T. 5 T. 6
Un Control es un Sistema Se Controlan Eventos Ilegales

Una password, ¿es un control ? ¿Cómo puede surgir un evento ilegal?
1) si se ingresan al sistema inputs no autorizados,
Habitualmente, tendemos a nombrar los controles, teniendo en inexactos, incompletos, redundantes, ineficaces o
cuenta sólo un aspecto del control. ineficientes,
Una password se convierte en control, sólo en el contexto de 2) si el sistema transforma el input de una manera no
autorizada, inexacta, incompleta, ineficiente o ineficaz
un sistema que asegure:
1) seguridad para elegir passwords, Ejemplos:

2) correcta validación de passwords,
1) inputs incorrectos en un programa interactivo.
3) almacenamiento seguro de las passwords,
2) un programa que contiene instrucciones erróneas que
4) seguimiento en el uso indebido de passwords
resultan en una ejecución incorrecta.
5) ...
Las transparencias son una guía para los temas presentados en clase. Se recomienda la lectura de la bibliografía correspondiente.
T. 7 T. 8
Ejemplos de Tipos de Controles Objetivo de la Auditoría

Control Preventivo: instrucciones de cómo completar un Reducir las pérdidas esperadas por eventos ilegales mediante:
formulario.
Nota: las instrucciones no son el control. 1) controles preventivos: reducen la probabilidad que estos
eventos ocurran.
Control Detectivo: un programa que valida datos de input,

2) controles detectivos y correctivos: reducen la cantidad de
rechazando los erróneos.
pérdidas cuando los eventos ilegales ocurren.
Control Correctivo: un programa que detecta el ruido en La tarea del auditor es determinar si los controles están ubicados y
comunicaciones y permite corregir datos corruptos. funcionan para prevenir los eventos ilegales.
T. 9 T. 10
Cómo administrar la complejidad Factorización

Para administrar la complejidad, se sugiere: El primer paso para comprender un sistema complejo es
particionarlo en subsistemas.
1) factorizar el sistema en subsistemas
Un subsistema es un componente de un sistema que:
2) determinar la confiabilidad de cada subsistema, y las 1) realiza ciertas funciones básicas necesarias para el
implicancias de cada uno de ellos en el nivel de sistema en general,
confiabilidad general del sistema.
2) le permite atender sus objetivos fundamentales.
Los subsistemas son componentes lógicas y no físicas.
El proceso de particionar en subsistemas se denomina

factorización.
T. 11 T. 12
Cómo Factorizar Otros Criterios para Factorizar

Para poder factorizar, se necesita un criterio. Además de las funciones, existen otras dos guías:
Criterio: La esencia de un subsistema es la función que realiza. 1) acoplamiento
Los auditores deben identificar primero, las principales 2) cohesión

funciones que el sistema realiza para cumplir sus objetivos.
El proceso de factorización termina cuando se ha particionado

el sistema en partes lo suficientemente pequeñas, de tal modo
que puedan ser entendidas y evaluadas.
T. 13 T. 14
Acoplamiento Cohesión
Cada subsistema debería ser relativamente independiente de Cada subsistema debe ser internamente cohesivo.
otros subsistemas.
Todas las actividades realizadas por el sistema apuntan a
Si esto se cumple, el subsistema está poco acoplado. cumplir la función principal del subsistema.
Sistemas con poco acoplamiento son más fáciles de comprender.

función A
Función ABC
función C
función B
T. 15 T. 16
Acoplamiento y Cohesión Formas de Factorización

Se debe lograr: máxima cohesión y mínimo acoplamiento. 1) funciones gerenciales: las funciones que se deben realizar
[Coad-Yourdon] para asegurar que el desarrollo, la implementación,
operación y mantenimiento de los sistemas de información
Si no es así, intentar otra factorización. proceden de una forma planificada y controlada.
Maximizar la cohesión implica minimizar el acoplamiento. 2) funciones de aplicación: tareas que son necesarias ejecutar
para realizar un procesamiento de información confiable.
Relacionado con “ciclos”.
Minimizar el acoplamiento implica maximizar la cohesión.
T. 17 T. 18
En Base a Funciones Gerenciales 1 En Base a Funciones Gerenciales 2

Subsistema Gerencial Descripción
Gerencia de Responsable del diseño, implementación
Alta gerencia Debe asegurar que las funciones de los
Desarrollo de y mantenimiento de los sistemas.
SI estén bien administradas. Sistemas
Decisiones de políticas a largo plazo de Gerencia de Responsable de la programación de

cómo serán usados los SI. Programación nuevos sistemas, mantenimiento de los
Gerencia de Sistemas Responsabilidad general de planificar y viejos y soporte general.
de Información controlar todas las actividades de los
SI. Administración de Responsable de lograr los objetivos de
Datos planificación y control en relación al uso
Aconseja a la alta gerencia de las de los datos de la organización.
decisiones políticas de largo plazo y las
traduce en metas y objetivos de corto
plazo.
T. 19 T. 20
En Base a Funciones Gerenciales 3 Funciones Aplicativas 1

Los sistemas de información que soportan una organización,
se dividen en ciclos.
Gerencia de Responsable de asegurar que el
Aseguramiento de desarrollo, operación y mantenimiento
Calidad de los sistemas es conforme a los Los ciclos varían de acuerdo al tipo de organización: industria,
estándares de calidad establecidos. entidad financiera, etc.
Administración de Responsable por los controles de acceso

Seguridad y seguridad física de las funciones de los En general incluyen:
SI.
1) ventas y cobranzas,
Gerencia de Responsable de la planificación y control 2) administración de personal, sueldos y jornales,
Operaciones de las operaciones diarias.
3) compras y pagos,
4) producción, inventario y almacenaje,
5) tesorería (contabilidad).
T. 21 T. 22
Funciones Aplicativas 2 En Base a Funciones Aplicativas 1

Cada ciclo es factorizado en uno o más sistemas de aplicación. Subsistema de Descripción
Aplicación
Limítrofe Componentes que establecen las
interfaces entre el usuario y el sistema.
Ejemplo: Ventas puede subdividirse en:
1) captura de pedidos Input Componentes que capturan, preparan e
ingresan comandos y datos al sistema.
2) facturación
Comunicaciones Componentes que transmiten datos

El conjunto de subsistemas de aplicación incluyen lo siguiente: entre los subsistemas y sistemas.
T. 23 T. 24
En Base a Funciones Aplicativas 2 Confiabilidad de Subsistemas

Subsistema de Descripción Primero: determinar el menor nivel de los subsistemas.
Aplicación
Procesamiento Componentes que realizan toma de
decisiones, cálculos, clasificación, Segundo: evaluar la confiabilidad de los controles en cada
ordenamiento y sumarización de datos subsistema.
dentro del sistema.
Base de Datos Componentes que definen, agregan,

acceden, modifican o eliminan datos.
Output Componentes que buscan y presentan los

datos al usuario.
T. 25 T. 26
Confiabilidad de Controles Considerar las Principales Funciones

Para evaluar la confiabilidad de los controles: Para cada función:
1) se deben identificar todos los posibles tipos de eventos que 1) analizar cómo debería realizarse
pueden ocurrir en el subsistema.
2) evaluar cómo el subsistema cumple con esa visión
2) se deben considerar todos los eventos válidos o ilegales. normativa.
Para identificar los eventos, hay que considerar las principales Para determinar si un evento es legal o ilegal se deben
funciones que realiza el subsistema. considerar las transacciones que pueden ocurrir como input al
subsistema.
Todos los eventos en un sistema de aplicación deben surgir de

una transacción.
T. 27 T. 28
Eventos y Transacciones Procesamiento de Transacciones

Cuando un evento ocurre, el sistema recibe una transacción Generalmente los auditores aplican técnicas de walk-through:
de input.
1) se considera una transacción particular,
Cuando la transacción se recibe como input el sistema cambia
de estado. 2) se identifican todos los componentes del sistema que
procesan la transacción
Otros cambios de estado ocurren a medida que el sistema
procesa la transacción. Ejemplo: toma de pedidos.
3) se trata de entender cada paso de procesamiento que
ejecuta cada componente
Para identificar todos los eventos que pueden ocurrir en un
sistema como resultado de la transacción, se debe entender
4) se considera cualquier error o irregularidad (evento ilegal)
cómo el sistema procesa la transacción. que pueda ocurrir en el camino.
T. 29 T. 30
Clases de Transacciones Qué eventos?

Generalmente es muy costoso realizar este proceso para todas Usando esta técnica, no se identifican todos los eventos que
las transacciones. puedan surgir en un sistema.
Por eso, se trabaja con clases de transacciones: A pesar de esto, los auditores deberían examinar todas
aquellas transacciones y eventos que consideren importantes.
1) se agrupan transacciones que tengan un procesamiento
similar,
Una vez que se han identificado los eventos que pueden
ocurrir, los auditores deben evaluar:
2) se trata de entender estas transacciones, y los eventos que
puedan surgir como resultado de estas transacciones como 1) si los controles están correctamente ubicados, y
grupo, 2) si funcionan para detectar eventos ilegales.
3) se tratan sólo aquellas transacciones que se consideran

importantes para los objetivos de la auditoría.
T. 31 T. 32
Confiabilidad de los Controles 1 Confiabilidad de los Controles 2

Los auditores deben recolectar evidencias sobre la existencia y Se publican listas que ayudan a realizar esta tarea.
confiabilidad de los controles, para determinar si las pérdidas
por los eventos ilegales se reducen a niveles aceptables. Estas listas muestran por ejemplo:
1) las caídas en los sistemas de información,
Para cada evento ilegal, considerar:
2) errores e irregularidades que ocurren en diferentes tipos de
1) cómo los controles cubren a este tipo de evento, transacciones.
2) cuánto de confiable son los controles,
3) si puede ocurrir un error material o una irregularidad. Las listas muestran los controles que se pueden realizar para
reducir las pérdidas esperadas por estos errores o irregularidades.
T. 33 T. 34
Confiabilidad de Controles: Ejemplo Estimar la Confiabilidad

La evaluación de la confiabilidad procede de abajo hacia arriba
en el nivel de estructura de los sistemas.
Los subsistemas de menor nivel son componentes de los de

mayor nivel.
Cuando se haya evaluado la confiabilidad de los subsistemas

de menor nivel, se puede analizar:
1) el impacto
2) la naturaleza, y
3) la frecuencia de los eventos ilegales
en los sistemas de mayor nivel.
Efectividad del Control:
A: Alta M: Moderada B: Baja
T. 35 T. 36
Estimar la Confiabilidad: Pasos Detectar Nuevos Controles

A medida que se evaluan los sistemas de más alto nivel, se
En cualquier nivel de la estructura, los pasos de evaluación son: pueden encontrar nuevos controles debido a:
1) identificar las transacciones que ingresan al sistema. 1) Los controles en sistemas de bajo nivel pueden
funcionar mal. Ejemplo: se divide el trabajo en varias
personas y un superior controla el funcionamiento
2) considerar los eventos legales e ilegales que puedan general.
ocurrir. 2) Podría ser más efectivo en costos implementar
controles a alto nivel. Ejemplo: en lugar de que cada
uno controle su trabajo, un superior aleatoriamente
3) asegurar la confiabilidad de los controles que detectan supervisa el trabajo por muestreo.
los eventos ilegales.
3) Algunos eventos no se manifiestan como ilegales
excepto en los niveles altos. Ejemplo: consultas a una
base de datos sin violar confidencialidad.
T. 37 T. 38
Riesgos de la Auditoría Definición de Riesgo

Recordemos los objetivos de la auditoría:
Definición
1) salvaguardar activos El riesgo de auditoría es el riesgo de que un auditor fracase
2) asegurar integridad de los datos al detectar las pérdidas materiales reales, o potenciales, o
los registros incorrectos.
3) asegurar que los sistemas son efectivos
4) asegurar que los sistemas son eficaces
RDA = RI * RC * RD
RDA: Riesgo Deseado de Auditoría

Para poder cumplir con los objetivos, se debe recolectar
evidencia. RI: Riesgo Inherente
Para esto, se debe medir, y se podría fallar al detectar las RC: Riesgo de Control
pérdidas materiales reales o potenciales.
RD: Riesgo de Detección
T. 39 T. 40
Tipos de Riesgo 1 Tipos de Riesgo 2

1) Riesgo Deseado: el riesgo que se desea correr. 3) Riesgo de Control: refleja la probabilidad que en algún
segmento de la auditoría, los controles internos no
prevengan, detecten o corrijan pérdidas materiales o
2) Riesgo Inherente: refleja la probabilidad que una pérdida
imputaciones erróneas que puedan surgir.
material o una imputación errónea exista en algún
segmento de la auditoría, antes de que sea considerada la
4) Riesgo de Detección: refleja la probabilidad que los
confiabilidad de los controles internos.
procedimientos de auditoría utilizados en algún segmento,
fallen en detectar pérdidas materiales o imputaciones
erróneas.
T. 41 T. 42
Pasos para una Auditoría 1) Riesgo Deseado de Auditoría

Para planificar, se debe tener en cuenta: Primero los auditores eligen el nivel de RDA.
1) la naturaleza de los controles Evalúan las consecuencias de fracasar en detectar las pérdidas
materiales reales o potenciales.
2) la reducción de la complejidad mediante la factorización
3) los riesgos
4) los tipos de procedimientos de auditoría
Notas:
1) algunos pasos se pueden realizar en paralelo
2) la auditoría puede ser tanto externa como interna
T. 43 T. 44
2) Riesgo Inherente 2) Riesgo Inherente de Sistemas

Luego, consideran el nivel de RI. Se consideran luego los RI asociados con diferentes segmentos
de la auditoría (ciclos, sistemas de aplicación, ...).
Los auditores consideran factores generales tales como:
1) la naturaleza de la organización (la posición en el Para cada segmento, se consideran factores tales como:
mercado),
1) sistemas financieros
2) la industria en la que opera (¿la industria está sujeta a
cambios rápidos?) 2) sistemas estratégicos
3) las características del gerenciamiento (¿es agresivo y 3) sistemas de operación crítica
autocrático?)
4) sistemas de tecnología avanzada
4) intereses contables y de auditoría (¿se usan técnicas?)
T. 45 T. 46
Sistemas Financieros Sistemas Estratégicos

Proveen controles financieros sobre los principales activos de la Proveen ventajas competitivas para la organización.
organización.
Comprometen clientes, proveedores, secretos de marca.
Poseen alto RI.
Tienen alto RI.
Son el blanco de acciones delictivas y fraudes.
Son blanco de espionaje industrial, o acciones indebidas de la

Ejemplo: sistema de facturación.
competencia.
Ejemplo: el sistema que soporta la operatoria comercial de la

empresa.
T. 47 T. 48
Sistemas de Operación Crítica Sistemas de Tecnología Avanzada

Aquellos sistemas que pueden paralizar a la organización si Sistemas que usan tecnología de punta.
fallan.
Tienen alto RI, debido a la falta de experiencia en ese tipo de
Generalmente tienen alto RI. sistemas.
Ejemplo: sistemas de control de producción, sistemas de

reservas.
T. 49 T. 50
3) Riesgo de Control Controles Gerenciales 1

Los controles gerenciales actúan como capas de cebolla
Para evaluar el nivel de RC asociado con cada segmento de la
protectivas, por encima de los controles de aplicación.
auditoría, se debe considerar la confiabilidad de los controles
gerenciales y de aplicación.
Alta Gerencia
Generalmente, se identifican y evalúan primero los controles en Gerencia de Sistemas de Información
los subsistemas gerenciales.
Cont.Sist. Gerencia de Desarrollo de Sistemas
Aplicac. Gerencia de Programación
... Administración de Datos

... Aseguramiento de Calidad
Administración de Seguridad
Gerencia de Operaciones
T. 51 T. 52
Controles Gerenciales 2 Riesgo Deseado

El buen nivel de los controles externos garantizan el nivel de Finalmente, se calcula el nivel de RD que se debe lograr para
los controles internos. cumplir con el RDA.
Los controles gerenciales se evalúan en general, y no para Se diseñan procedimientos de recolección de evidencia para
cada aplicación. intentar lograr el nivel de RD.
En general:
1) los auditores no recolectan la cantidad de evidencia que
ellos desearían
2) deben ser astutos para determinar en dónde aplicar los
procedimientos de auditoría, y cómo interpretar la
evidencia recolectada.
T. 53 T. 54
Procedimientos de Auditoría Pérdidas o Información Errónea

Existen diferentes procedimientos de auditoría, dependiendo A fin de recolectar evidencia, para determinar si ocurrieron
de lo que se desee controlar: pérdidas materiales o la información financiera es errónea, se
usan los siguientes procedimientos:
1) determinar si ocurrieron pérdidas materiales o la
información financiera es errónea 1) procedimientos para comprender los controles
2) testeo de controles
2) determinar la eficiencia y eficacia de las operaciones 3) testeos substantivos de detalle de transacciones
4) testeos substantivos de detalle de balances contables
5) procedimientos de revisión analítica
T. 55 T. 56
Comprender los Controles Testeo de Controles

Los procedimientos incluyen: Son para evaluar si los controles estan actuando efectivamente.
1) cuestionarios,
Ejemplos:
2) inspecciones,
1) cuestionarios
3) observaciones
2) inspecciones
Para determinar: 3) observaciones
1) si los controles existen, 4) reprocesos
2) analizar cómo están diseñados,

3) si funcionan.
T. 57 T. 58
Detalle de Transacciones Detalle de Balances Contables

Los testeos substantivos de detalle de transacciones estan Los tests substantivos de detalle de balances contables se
diseñados para detectar: focalizan en los registros contables finales, en el balance.
1) errores monetarios o
2) irregularidades Ejemplo: se puede circularizar a una muestra de clientes para
en transacciones que afectan los estados financieros. controlar que los saldos registrados sean correctos.
Ejemplo: controlar la facturación
T. 59 T. 60
Revisión Analítica Eficiencia y Eficacia

Los procedimientos de revisión analítica se focalizan en las Para determinar la eficiencia y eficacia de las operaciones se
relaciones entre los items de datos. utilizan tipos de procedimientos similares:
El objetivo es identificar áreas que requieran un trabajo de 1) procedimientos para comprender los controles
auditoría posterior.
Ejemplo: medir ingresos por ventas durante un período. 3) testeos sustantivos de detalle de transacciones.
4) testeos sustantivos de resultados generales - la noción de
balances contables no es aplicable en este caso. Ejemplo:
testeos de performance.
5) procedimientos de revisión analítica. Ejemplo: modelos de
simulación.
T. 61 T. 62
Orden de los Testeos Pasos de una Auditoría

El orden de los testeos de menos costosos a más costosos es:
2) procedimientos para comprender los controles
4) testeos sustantivos de detalle de transacciones
5) testeos sustantivos de resultados generales/balances
contables
El orden es a la inversa si se evalúa la confiabilidad y el

contenido de la información de la evidencia provista por los
procedimientos.
T. 63 T. 64
Planificación de una Auditoría Auditoría Interna

La primera etapa es la planificación. La etapa de planificación incluye:
1) asignar personal adecuado a las auditorías
Las tareas que se realizan en la etapa de planificación varían
dependiendo si es una: 2) obtener información del cliente
3) realizar procedimientos de revisión analíticos para
1) auditoría interna comprender el negocio del cliente
2) auditoría externa 4) identificar áreas de riesgo
Los auditores internos se preocupan por el tamaño de las

pérdidas que pudiera haber por operaciones ineficientes o
ineficaces.
T. 65 T. 66
Auditoría Externa Tareas de Planificación

1) determinar el alcance de la auditoría,
La etapa de planificación incluye:
1) investigar nuevos clientes 2) emitir una opinión sobre el RDA,
2) asignar personal adecuado a las auditorías
3) emitir una opinión sobre el RI,
3) obtener el contrato
4) emitir una opinión sobre el RC,
4) obtener información del cliente
5) realizar procedimientos de revisión analíticos para 5) calcular el RD que se debe lograr para cumplir con el RDA,
comprender el negocio del cliente
6) identificar áreas de riesgo 6) recolectar evidencia
7) documentar evidencia
Los auditores externos se preocupan por el tamaño de los
errores en los estados financieros.
T. 67 T. 68
Alcance de la Auditoría Opinión de RDA

Determinar qué se va a auditar: Se emite un RDA en general para toda la tarea de auditoría.
1) un sistema
2) un conjunto de sistemas
3) un área del tecnología informática
T. 69 T. 70
Opinión sobre RI Opinión sobre RC

El RI depende del segmento a auditar. La decisión más difícil está en emitir el juicio en el nivel de RC
asociado con cada segmento de la auditoría.
Algunos segmentos son más susceptible a errores,
irregularidades, ineficiencias, o ineficacias. Para esto, los auditores deben comprender los controles internos
usados dentro de la organización.
Para cada segmento evaluar los factores que conducen a RI, por
ejemplo: Los controles internos (CI) comprenden 5 componentes
• sistema con manejo de efectivo: posibilidades de relacionados:
defraudaciones. 1) controles de entorno
• sistema complejo tecnológicamente: posibilidades de mal 2) evaluación de riesgo
uso de recursos.
3) actividades de control
4) información y comunicación
5) monitoreo
T. 71 T. 72
CI: Controles de Entorno CI: Evaluación de Riesgo

Incluye evaluar los elementos que establecen el contexto de Incluye evaluar:
control en el cual deben operar los sistemas y los procedimientos
de control.
1) los elementos que identifican y analizan los riesgos a
los cuales se enfrenta la organización y
Ejemplos:
2) cómo son administrados.

1) filosofía y estilo de gerenciamiento y operación,
2) formas de asignar autoridad y responsabilidad,
3) métodos para monitorear performance… Ejemplos:
1) planificaciones de proyectos
2) documentos de administración de riesgos
T. 73 T. 74
CI: Actividades de Control CI: Información y Comunicación

Incluye evaluar los elementos que operan para asegurar que: Incluye evaluar los elementos en los cuales se:
1) las transacciones son autorizadas, 1) identifica,
2) las responsabilidades se separan, 2) captura,
3) los documentos y registros se mantienen 3) intercambia información
adecuadamente, etc. en tiempo y forma.
Se clasifican en: Permite asignar responsabilidades del personal adecuadamente.

1) controles contables: elementos que operan para
asegurar distintos niveles de autorizaciones y Ejemplos: notificaciones, minutas de reuniones.
responsabilidades
2) controles administrativos: elementos para asegurar
eficiencia y eficacia.
T. 75 T. 76
CI: Monitoreo Comprender los Controles

Incluye evaluar los elementos que aseguran que los controles Comprender los controles internos incluye factorizar y examinar
internos operan de manera confiable en el tiempo. los controles gerenciales y de aplicación.
Ejemplos: Los controles gerenciales varían sustancialmente de organización

1) monitoreos de performance, a organización. Ejemplo: los controles gerenciales son distintos
si la empresa tiene:
2) control de calidad
1) sistemas centralizados,
2) sistemas descentralizados.
T. 77 T. 78
Ejemplo de Controles Recolectar Evidencia

Controles Internos Implementación Existen distintas técnicas para recolectar evidencia:
Actividades de Control Procedimiento para instalar programas 1) revisión de papeles de trabajo de auditorías previas
en producción (control gerencial) 2) entrevistas con alta gerencia y personal superior
Controles de Entorno y Existencia de comité de seguimiento de 3) observación de cómo se desarrollan las actividades
Evaluación de Riesgos proyectos (control gerencial) 4) revisión de documentación de sistemas
Información y Comunicación Procedimiento para comunicar

información (control gerencial)
Procedimiento para capturar, registrar y
procesar transacciones (control de
aplicación)
Monitoreo Procedimiento para medir la
productividad del personal (control
gerencial)
T. 79 T. 80
Documentar Evidencia Evaluación de Riesgo de Control 1

La evidencia se documenta: Si se evalua que el RC < el nivel máximo =>
1) completando cuestionarios 1) identificar los controles materiales que se relacionan
con la evaluación
2) construyendo diagramas de flujo de alto nivel 2) testear los controles para determinar si operan
3) construyendo tablas de decisión efectivamente.
4) redactando descripciones narrativas.
Premisa: los testeos de controles probarán, que si los
5) utilizando herramientas CASE controles funcionan correctamente, se puede reducir la
necesidad de un testeo sustantivo.
No invertir demasiado tiempo en esta estapa. El necesario para
comprender los controles internos y decidir cómo proseguir con la
auditoría.
Finalmente se debe evaluar el riesgo.
T. 81 T. 82
Evaluación de Riesgo de Control 2 Testeo de Controles 1

Si se evalua que el RC es de nivel máximo => El testeo de controles evalúa cuan confiables y específicos son
no se testean los controles. los controles.
Se testean, sólo si el RC se determinó menor al máximo.

Se podría concluir que los controles internos no son efectivos.
Se confía en los controles como una base para reducir el costo
Se debería realizar un testeo amplio. de un testeo más amplio.
A esta altura, los auditores no saben si los controles

identificados operan efectivamente.
T. 83 T. 84
Controles Gerenciales: Testeo Controles de Aplicación: Testeo

Se comienza por los controles gerenciales. Si los controles gerenciales funcionan efectivamente, se
procede a evaluar los controles de la aplicación.
Si los controles gerenciales, demuestran contrariamente a lo
supuesto, que no operan eficientemente => Ejemplo:
no tiene sentido testear los controles de aplicación.
Se limpian diariamente los errores pedir muestreo
Ejemplo: detectados
Existen niveles de autorización para pedir muestreo
Los gerentes afirman que se informa solicitar informes de realizar transacciones
periódicamente de los avances de proyectos avances o minutas de las
reuniones.
Los gerentes afirman que existen estándares de solicitar programas
desarrollo fuentes e inspeccionar Luego de evaluados los controles, se vuelve a estimar el
una muestra
riesgo.
T. 85 T. 86
Testeo de Controles: Conclusión Actitud del Auditor

Se puede concluir que los controles internos son más fuertes o Durante esta etapa los auditores externos e internos pueden
más débiles a lo anticipado. tener distintas actitudes.
Si los controles son más fuertes a lo pensado, se puede Situación: se detecta que los controles son débiles
pensar en reducir testeos.
1) auditor interno: puede expandir sus investigaciones
Si los controles son más débiles, se pueden ampliar los testeos. para lograr una mejor comprensión a cerca de la
naturaleza e implicancias de estas debilidades.
2) auditor externo: puede cortar sus investigaciones

(sobre causas) y realizar testeos más amplios.
T. 87 T. 88
Testeo de Transacciones Testeo de Resultados Generales

Se realiza para evaluar si un procesamiento erróneo o Se realizan con el fin de obtener evidencia suficiente para
irregular puede ocasionar pérdidas. Realizar un juicio final sobre el grado de pérdidas que podrían
ocurrir cuando el sistema falla en: salvaguardar activos,
Ejemplo: examinar cálculos, precios. mantener la integridad de los datos y lograr efectividad y
eficiencia.
Desde un punto de vista operativo, el testeo de transacciones
sirve para determinar si el procesamiento es efectivo y En general, este tipo de testeos, son los más caros de las
eficiente. auditorías.
Ejemplo: consultas a una base de datos, carga de máquina. Ejemplo:

Evaluar objetivos de salvaguarda de Testeos de control de inventario físico
activos e integridad de datos Confirmación de recepción de
mercaderías
Recálculo de amortizaciones
T. 89 T. 90
Testeo de Resultados ... Evaluar Efectividad y Eficiencia
Si los auditores confían en que los controles son confiables, Evaluar efectividad y eficiencia es más complejo.
pueden limitar el número y alcance de estos testeos.
Se puede trabajar con los usuarios estimando las pérdidas por
Si es a la inversa, aumentarán el grado de control para no haber tomado una decisión por no contar con la
estimar mejor las pérdidas. información en tiempo y forma.
Ejemplo: evaluar la ineficiencia por compra de hardware

inapropiado.
T. 91 T. 92
Completar la auditoría Opiniones de Auditoría

En la etapa final, se realizan testeos adicionales para cerrar la Los estándares en varios países requieren que la opinión sea:
evidencia.
1) opinión excusada: en base al trabajo realizado no se
puede emitir opinión.
Finalmente, se formula la opinión sobre cómo ocurrieron las
pérdidas materiales o registros incorrectos en un informe. 2) opinión adversa: se concluye que han ocurrido pérdidas
materiales o que los estados financieros están
distorsionados.
3) opinión con calificación: se concluye que han ocurrido
pérdidas materiales o existen registros incorrectos, pero
las cantidades no son considerables.
4) opinión sin calificación: el auditor considera que no han
ocurrido pérdidas materiales o no existen registros
incorrectos.
T. 93 T. 94
Informe de Auditoría Formas de Auditar Sistemas

Un informe típico debería incluir: La auditoría puede ser:
1) una introducción que describa los objetivos de la 1) alrededor del sistema informático
auditoría,
2) a través del sistema informático
2) el enfoque general utilizado,
3) un resumen de las conclusiones críticas,
4) recomendaciones para abordar las conclusiones críticas,
5) datos que respalden las conclusiones críticas.
T. 95 T. 96
Auditoría alrededor del Sistema Características del Sistema

Lograr una opinión de auditoría a través de examinar y evaluar El sistema debe presentar las siguientes características:
los controles gerenciales, y el input y output de los sistemas. 1) se utiliza un paquete como plataforma de software.
2) el sistema es simple y orientado a procesos batch.
Basándose en la calidad del input y output, el auditor infiere la
3) el riesgo inherente es bajo
calidad del procesamiento - el procesamiento no se examina.
4) la lógica es simple y no se existen rutinas especiales
El sistema es visto como una caja negra. 5) el input de transacciones es batch y el control se
mantiene usando métodos convencionales
Sólo se debe realizar esta estrategia cuando es más efectiva en 6) el procesamiento consiste fundamentalmente de ordenar
costo. las transacciones y actualizar la base de datos
7) existen registros de auditoría.
Se utiliza cuando se ubica gran confiabilidad en los usuarios en
lugar de en los sistemas - la auditoría se concentra en los 8) el entorno de tareas es relativamente constante y el
controles de los usuarios en lugar de los controles en sistemas. sistema rara vez se modifica.
T. 97 T. 98
Qué se Audita? Ventajas y Limitaciones

En estos casos, se debe auditar: Ventajas:
1) no requiere que el auditor posea conocimientos
1) que la organización no modificó el paquete, técnicos.
2) que existen controles sobre las modificaciones,
3) que existen controles de calidad sobre inputs y outputs del Limitaciones:
paquete 1) el tipo de sistemas donde es aplicable es restringido
4) los procesos especiales montados sobre el paquete -
programas confeccionados para combinar funcionalidad.
2) no provee información sobre la capacidad del sistema
para la mantenibilidad. Esto puede inicidir en la
eficiencia del sistema. Ejemplo: deja de ser
performante o efectivo luego de realizar determinados
cambios.
T. 99 T. 100
Auditoría a través del Sistema Características del Sistema

Se usa la computadora para testear: Es recomendable cuando:
1) el procesamiento de la lógica y los controles existentes 1) el riesgo inherente asociado con el sistema es alto
en el sistema,
2) se procesan grandes volúmenes de input y output
2) los resultados producidos por el sistema
3) partes significativas de los controles internos están
embebidas en el sistema
4) la lógica de la aplicación es compleja
5) es aconsejable por consideraciones de costo-beneficio
6) existen gaps en la auditoría visible.
T. 101 T. 102
Ventajas y Desventajas Resumen: Controles y Factorización

La ventaja es que los auditores tienen mayor poder para Un control es un sistema que previene, detecta y corrige
testear el sistema más eficientemente. eventos ilegales.
Se puede aumentar el alcance y la cantidad de testeos. Para realizar una auditoría se debe factorizar en subsistemas:
1) funciones gerenciales
Al examinar la lógica, se tiene mayor base para estimar la 2) funciones de aplicación
habilidad del sistema para modificaciones futuras.
Otro criterio para factorizar es considerar subsistemas que
Desventajas:
presenten mínimo acoplamiento y máxima cohesión.
1) puede ser más costoso (mayor demanda de horas)
Se debe evaluar la confiabilidad de los controles en cada
2) puede requerir demasiados conocimientos y experiencia
subsistema.
técnica.
T. 103 T. 104
Resumen: Evaluar Confiabilidad 1 Resumen: Evaluar Confiabilidad 2

Se deben evaluar los eventos. Cuando ocurre un evento el sistema recibe una transacción.
Para identificar eventos, se consideran las principales Pasos:

funciones del sistema. 1) identificar los componentes que procesan cada
transacción
Para cada función se debe:
1) definir cómo debería realizarse 2) comprender el procesamiento de cada componente
2) cómo el sistema cumple con esa función
3) considerar errores o irregularidades que puedan ocurrir
durante el procesamiento
4) trabajar con clases de transacciones.
T. 105 T. 106
Resumen: Riesgos Resumen: Pasos de una Auditoría

El riesgo de auditoría es el riesgo de que un auditor fracase
al detectar las pérdidas materiales reales, o potenciales, o
los registros incorrectos.
RDA = RI * RC * RD
RDA: Riesgo Deseado de Auditoría

RI: Riesgo Inherente
RC: Riesgo de Control
RD: Riesgo de Detección
T. 107 T. 108
Resumen: Procedimientos Rsumen: Informe de Auditoría

1) procedimientos para comprender los controles Un informe típico debería incluir:
2) testeo de controles 1) una introducción que describa los objetivos de la
auditoría,
3) testeos substantivos de detalle de transacciones
2) el enfoque general utilizado,
4) testeos substantivos de detalle de balances contables
3) un resumen de las conclusiones críticas,
4) recomendaciones para abordar las conclusiones críticas,
5) datos que respalden las conclusiones críticas.
T. 109 T. 110
Resumen: Opinión de Auditoría Resumen: Formas de Auditar

1) opinión excusada: en base al trabajo realizado no se puede 1) auditar alrededor del sistema
emitir opinión.
2) opinión adversa: se concluye que han ocurrido pérdidas 2) auditar a través del sistema
materiales o que los estados financieros están
distorsionados.
3) opinión con calificación: se concluye que han ocurrido
pérdidas materiales o existen registros incorrectos, pero las
cantidades no son considerables.
4) opinión sin calificación: el auditor considera que no han
ocurrido pérdidas materiales o no existen registros
incorrectos.

Auditoria Unidad2

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Auditoria Unidad2

Загружено:

Авторское право:

Доступные форматы

Auditoría de Sistemas y Legislación – Mg. Elsa Estévez – 2do. Cuatrimestre de 2006.

Departamento de Ciencias e Ingeniería de la Computación – Universidad Nacional del Sur

Pregunta: ¿cómo puede ejecutar la auditoría, de tal forma

Solución La Naturaleza de los Controles

Un Control es un Sistema Se Controlan Eventos Ilegales

1) seguridad para elegir passwords, Ejemplos:

Ejemplos de Tipos de Controles Objetivo de la Auditoría

Control Detectivo: un programa que valida datos de input,

Cómo administrar la complejidad Factorización

Los subsistemas son componentes lógicas y no físicas.

El proceso de particionar en subsistemas se denomina

Cómo Factorizar Otros Criterios para Factorizar

Criterio: La esencia de un subsistema es la función que realiza. 1) acoplamiento

Los auditores deben identificar primero, las principales 2) cohesión

El proceso de factorización termina cuando se ha particionado

Sistemas con poco acoplamiento son más fáciles de comprender.

Acoplamiento y Cohesión Formas de Factorización

En Base a Funciones Gerenciales 1 En Base a Funciones Gerenciales 2

Decisiones de políticas a largo plazo de Gerencia de Responsable de la programación de

En Base a Funciones Gerenciales 3 Funciones Aplicativas 1

Administración de Responsable por los controles de acceso

Funciones Aplicativas 2 En Base a Funciones Aplicativas 1

Comunicaciones Componentes que transmiten datos

En Base a Funciones Aplicativas 2 Confiabilidad de Subsistemas

Base de Datos Componentes que definen, agregan,

Output Componentes que buscan y presentan los

Confiabilidad de Controles Considerar las Principales Funciones

Todos los eventos en un sistema de aplicación deben surgir de

Eventos y Transacciones Procesamiento de Transacciones

Clases de Transacciones Qué eventos?

3) se tratan sólo aquellas transacciones que se consideran

Confiabilidad de los Controles 1 Confiabilidad de los Controles 2

Confiabilidad de Controles: Ejemplo Estimar la Confiabilidad

Los subsistemas de menor nivel son componentes de los de

Cuando se haya evaluado la confiabilidad de los subsistemas

Estimar la Confiabilidad: Pasos Detectar Nuevos Controles

Riesgos de la Auditoría Definición de Riesgo

RDA: Riesgo Deseado de Auditoría

Tipos de Riesgo 1 Tipos de Riesgo 2

Pasos para una Auditoría 1) Riesgo Deseado de Auditoría

2) Riesgo Inherente 2) Riesgo Inherente de Sistemas

Sistemas Financieros Sistemas Estratégicos

Son blanco de espionaje industrial, o acciones indebidas de la

Ejemplo: el sistema que soporta la operatoria comercial de la

Sistemas de Operación Crítica Sistemas de Tecnología Avanzada

Ejemplo: sistemas de control de producción, sistemas de

3) Riesgo de Control Controles Gerenciales 1

... Administración de Datos

Controles Gerenciales 2 Riesgo Deseado

Procedimientos de Auditoría Pérdidas o Información Errónea

Comprender los Controles Testeo de Controles

Para determinar: 3) observaciones

1) si los controles existen, 4) reprocesos

2) analizar cómo están diseñados,

Detalle de Transacciones Detalle de Balances Contables

Ejemplo: controlar la facturación

Revisión Analítica Eficiencia y Eficacia

Orden de los Testeos Pasos de una Auditoría

El orden es a la inversa si se evalúa la confiabilidad y el

Planificación de una Auditoría Auditoría Interna

Los auditores internos se preocupan por el tamaño de las

Auditoría Externa Tareas de Planificación

Alcance de la Auditoría Opinión de RDA

3) un área del tecnología informática