Universidad de Buenos Aires Facultad de Ciencias Económicas AUDITORÍA DE SISTEMAS Profesor Titular: Contaldi, Arturo Grupo Nro. 5 Culla Bonzini, Iara - Reg. 85669 5 Ibañez, Mariela Alejandra – Reg.844013 Pala Montenegro, Mónica – Reg.177609 Niño de Guzmán , Ignacio – Reg. 843177 Segundo cuatrimestre – año 2009
INDICE INTRODUCCIÓN...................................................................... ................................ 3 PRIMERA PARTE: “LA AUDITORÍA DE SISTEMAS” ......... ...................................... 4 1.1 CONCEPTO .......................... ............................................................................. 1. 2 OBJETIVOS DE LA AUDITORÍA DE SISTEMAS .......................................... ............. 1.3 PROCESO DE AUDITORÍA ........................................... ........................................ 1.4 TIPOS DE AUDITORÍA .................. ...................................................................... 1.5 DESAR ROLLO DE UNA ESTRUCTURA DE CONTROL: COSTOS Y BENEFICIOS. ........... 1.6 SEGURID AD DE LOS SISTEMAS DE COMPUTACIÓN ............................................... 1.7 ESTRATEGIA DE LA SEGURIDAD ................................................. ........................ 1.8 ANÁLISIS DE LOS RIESGOS ............................. .................................................. 1.9 RIESGOS Y MEDIDAS A TOMAR .......................................................................... 1.9. 1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS ......................................... .......... 1.9.1.1 Estructura organizativa y procedimientos operativos no confia bles .................... 1.9.1.2 Procedimientos no autorizados para cambios en los programas: ....................... 1.9.1.3 Acceso general no autorizado, a l os datos o programas de aplicación: ............... 1.9.2 Seguridad física.......... ................................................................................ .... 1.9.3 Backup y recuperación ................................................. ................................... 1.9.4 Seguridad lógica ....................... ...................................................................... 1.9.5 Pla n de desastre .................................................................. ........................... 1.9.6 CALIDAD DE LOS SISTEMAS ...................... ...................................................... 1.9.6.1 AUDITORÍA DE LA CAL IDAD DE DATOS. ......................................................... 1.10 EL AUDITOR DE LOS SISTEMAS DE COMPUTACIÓN .......................................... ... 1.11 LA PRE-AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN ........................... ........ 4 4 4 4 5 5 6 6 6 6 6 7 7 7 8 8 8 8 8 9 9 PARTE II: “AUDITORÍA EN AMBIENTES COMPUTADORIZADOS” ........................ 10 2.1 IN TRODUCCIÓN ....................................................................... ........................ 10 2.2 CARACTERÍSTICAS DE LOS SISTEMAS COMPUTADORIZADOS.. ............................. 10 2.3 PROCESO DE AUDITORÍA ........................ .......................................................... 11 2.4 AUDITORÍA DE SIS TEMAS COMPUTADORIZADOS. PLANIFICACIÓN ESTRATÉGICA ..11 2.5 AUDITORÍA DE SISTEMAS COMPU TADORIZADOS. PLANIFICACIÓN DETALLADA ...... 12 2.6 RIESGOS DE APLICACIÓN ........... ...................................................................... 12 2.6.1 Acceso no autorizado al procesamiento y registro de datos: ..................... .......... 12 2.6.2 Datos no correctamente ingresados al sistema: .............. .................................. 13 2.6.3 Datos rechazados y en suspenso no ac larados:................................................. 13 2.6.4 Procesamiento y registración de transacciones incompletos y/o inoportunos: ....... 14 2.7 AUDIT ORÍAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS. ........................... 14 2.7 .1 Pruebas de Cumplimiento. .................................................... .......................... 14 2.7.1.1 Lotes de prueba .......................... ............................................................... 15 2.7.1.2 Minic ompañía ............................................................................ ................. 15 2.7.2 Pruebas sustantivas. ................................ ...................................................... 15 2.8 PROCEDIMIENTOS ADM INISTRATIVOS ............................................................... 16 2.9 PAPELES DE TRABAJO DEL AUDITOR ............................................. .....................17 CONCLUSIONES ........................................... .......................................................18 BIBLIOGRAFÍA ........... ................................................................................ ............ 19
2
INTRODUCCIÓN A finales del siglo XX, los sistemas informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial: los Sistemas de Información de la empresa. La informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones info rmáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa . Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la t oma de decisiones, pero no decide por sí misma, por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. Establecer u na directiva de auditoría es un aspecto importante en la seguridad. Supervisar la creación o la modificación de objetos permite hacer un seguimiento de los posibles p roblemas de seguridad, ayuda a asegurar la responsabilidad del usuario y proporc iona pruebas en caso de producirse una infracción en la seguridad. Por otra parte, este tipo de acciones y las medidas de prevención de los riesgos que puedan afect ar a la organización, junto a la pre-auditoría, concepto que describiremos en el tra bajo, darían las condiciones adecuadas para que el auditor pueda confiar en los si stemas. Esta confianza contribuye a la disminución de costos y tiempos en los cont roles que anualmente debe realizar sobre la información contable y financiera. En este contexto podrá limitarse a la realización de un grado menor de pruebas sustanti vas y en su lugar centrarse en las de cumplimiento. Finalmente daremos un pantal lazo de la conceptualización de las auditorías en ambientes computadorizados donde p odremos confirmar que, de contar con lo mencionado anteriormente, la tarea se ve rá reducida de manera significativa. 3
PRIMERA PARTE: “LA AUDITORÍA DE SISTEMAS”
1.1 CONCEPTO La auditoría de sistemas ha sido definida como la revisión sistemática, o rganizada, de los sistemas en funcionamiento. 1.2 OBJETIVOS DE LA AUDITORÍA DE SIS TEMAS Buscar una mejor relación Costo - Beneficio de los sistemas automáticos o utarizados diseñados e implementados. Incrementar la satisfacción de los usuarios de los sistemas computarizados. Asegurar mayor integridad y confidencialidad de la información mediante la recomendación de seguridades y controles. Seguridad de pers onal, datos, hardware, software e instalaciones. Apoyo de función informática a las metas y objetivos de la organización. Minimizar riesgos en el uso de Tecnología de i nformación. Capacitación y educación sobre controles en los sistemas de información 1.3 PROCESO DE AUDITORÍA La secuencia de pasos que implica llevar a cabo una audit oría, del tipo que sea, puede variar según diferentes circunstancias. No obstante el lo, usualmente se verifican tres etapas esenciales: planificación, ejecución y concl usión. Los límites de cada etapa no son tajantes ni excluyentes. Si bien la etapa de planificación pretende establecer todos los procedimientos de auditoría que se apli carán durante el examen, los resultados de las pruebas pueden hacer necesaria la m odificación de la planificación efectuada, cambiando el alcance o la naturaleza de l as pruebas a efectuar en etapas sucesivas. Planificación: el objetivo último de esta etapa es la determinación del enfoque de auditoría a aplicar y su consecuencia inme diata, la selección de los procedimientos particulares a ejecutar. Esto se verá refl ejado en el memorando de planificación que documenta las consideraciones analizada s durante toda la etapa, como asimismo los respectivos programas detallados de t rabajo que indican de qué forma, en qué momento y con qué alcance se ejecutarán los proc edimientos seleccionados. Ejecución: su finalidad será la de cumplimentar los proced imientos planificados para obtener elementos de juicio válidos y suficientes para sustentar una opinión. Todos esos elementos de juicio se traducirán en papeles de tr abajo que constituyen la documentación y evidencian el examen realizado. Es de des tacar que en esta etapa no sólo se realizarán los procedimientos previstos en la eta pa de planificación, sino también, todas aquellas pruebas alternativas que deban efe ctuarse reemplazando o complementando a las originalmente planificadas, ya sea p or dificultades propias de la empresa, de los sistemas, del resultado de los pro cedimientos realizados o por eficiencia en el examen. Conclusión: en esta etapa se evalúan todas las evidencias obtenidas durante la etapa de ejecución que deben perm itir formar un juicio o una opinión sobre la razonabilidad de los estados, emitien do el respectivo informe del auditor. 1.4 TIPOS DE AUDITORÍA Desde el punto de vis ta de la informática se pueden clasificar en: 4
Auditoría Informática de Explotación: se ocupa de producir resultados, tales como list ados, archivos soportados magnéticamente, órdenes automatizadas, modificación de proce sos, etc. Para realizar la explotación Informática se dispone de datos que sufren un a transformación y se someten a controles de integridad y calidad. Auditoría Informáti ca de Desarrollo de Proyectos o Aplicaciones: se ocupa del desarrollo de una eva luación del llamado Análisis de Programación y sistemas. Debe haber un exigente contro l interno, de lo contrario, pueden producirse insatisfacciones del cliente, insa tisfacción del usuario, altos costos, etc. Por lo tanto la Auditoría deberá comprobar la seguridad de los programas. Auditoría Informática de Sistemas: se ocupa de analiz ar la actividad que se conoce como técnica de sistemas, en todos sus factores. Aud itoría Informática de comunicación y Redes: deberá inquirir o actuar sobre índices de util ización de las líneas contratadas con información sobre tiempos de uso, deberá conocer l a topología de la red de comunicaciones. Todas las actividades deben estar coordin adas y dependientes de una sola organización. Auditoría de la Seguridad Informática: s e debe tener presente la cantidad de información almacenada en el computador, la c ual puede ser confidencial, lo que significa que se debe cuidar del mal uso de e sta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total, sin olvidar los virus informáticos. 1.5 DESARROLLO DE UNA ESTRUC TURA DE CONTROL: COSTOS Y BENEFICIOS. Seguridad: Políticas, procedimientos y medid as técnicas que se toman a fin de evitar el acceso no autorizado o la alteración, ro bo o daños físicos a los sistemas de información. Es importante realizar un análisis cos to/beneficio para determinar qué mecanismos de control ofrecen mayor seguridad sin menoscabar eficiencia operativa o incurrir en gastos excesivos. Uno de los crit erios a tener en cuenta es la importancia de los datos. En los sistemas de finan zas y contabilidad, por ejemplo, su estándar de control debe ser más estricto. Otro tema a analizar es que la eficacia de los costos de los controles depende también de la eficiencia, complejidad y costos de cada técnica de control. Por ejemplo, un sistema que apoya la transferencia de fondos tendría un alto riesgo, y por tanto, necesitaría un alto nivel de seguridad. Un tercer elemento a tener en cuenta es e l nivel de riesgo. Una evaluación de riesgos se realiza para determinar la posible frecuencia de un problema y los daños que podría causar si se presentara. También par a decidir qué controles usar los constructores de sistemas de información deben exam inar diversas técnicas de control, relacionarlas y su eficacia de costos relativa. 1.6 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN La seguridad absoluta es imposible, y ello por dos motivos: el primero de tipo práctico: aún suponiendo que ellos fuera factible, lo sería a un costo intolerable para la entidad, totalmente desproporcio nado con respecto a los eventuales daños a soportar. El segundo es de tipo concept ual. Dado las características de los sistemas de computación la seguridad absoluta e s imposible. Los sistemas de computación deben ser protegidos de tres tipos de pel igros: desastres naturales, errores y omisiones humanos y actos intencionales. 5
La seguridad en los sistemas abarca cinco funciones: tectar Recuperar corregir y
Evitar Disuadir
Prevenir De
1.7 ESTRATEGIA DE LA SEGURIDAD Ya se trate de actos naturales, errores u omision es humanos y actos intencionales, cada riesgo debería ser atacado de cuatro manera s: a. b. c. d. Minimizando la posibilidad de ocurrencia. Reduciendo al mínimo el p erjuicio sufrido, si no ha podido evitarse que ocurriera. Diseño de métodos para la más rápida recuperación de los daños experimentados. Corrección de las medidas de segurida d en función de la experiencia recogida. 1.8 ANÁLISIS DE LOS RIESGOS Los elementos claves en el análisis de riesgos son: Dete rminación del impacto que originaría un acontecimiento. Fijación de la probabilidad de ocurrencia de un hecho, dentro de un lapso especificado. Una vez listados y analizados los riesgos tenemos cuatro posibilidades: Eliminar el riesgo, con medidas adecuadas. Soportarlo o tolerarlo, con la debida concien cia, tratándose de casos en los que el perjuicio ocasionara efectos menores. Reduc irlo. Transferirlo, mediante seguros o convenios especiales. El problema consiste en hallar una combinación de estas variables, en forma tal de reducir los riesgos a un nivel aceptable y con costos mínimos. 1.9 RIESGOS Y MEDIDAS A TOMAR 1.9.1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS El audi tor debe evaluar los principales controles del Departamento de Sistemas. Esta ev aluación es necesaria para asegurarse de que los controles o las funciones en las que intenta confiar no hayan sufrido alteraciones que reduzcan o eliminen su cap acidad de evitar o detectar errores o irregularidades, o respaldar las afirmacio nes correspondientes. Categorías: 1.9.1.1 Estructura organizativa y procedimientos operativos no confiables Riesgo: si las funciones incompatibles del departament o de EDP no están segregadas existe el riesgo de que ocurran errores o irregularid ades que no sean detectadas durante el transcurso normal de las operaciones. Med ios de control: dentro de la organización del Departamento de Sistemas es convenie nte separar las principales responsabilidades de las actividades de operación y pr ogramación. 6
Evidencia de control: Indagación con los empleados del Departamento de Sistemas, p ara verificar las funciones de cada uno y sus limitaciones. Observación y prueba d e los medios existentes para la limitación del acceso físico a las instalaciones y r ecursos que deben estar protegidos. 1.9.1.2 Procedimientos no autorizados para cambios en los programas: Riesgo: los programadores pueden realizar cambios incorrectos no autorizados en el software de aplicación, lo cual reducirá la confiabilidad de la información procesada en el si stema. Medios de control: es esencial que los resultados de las modificaciones d e programas sean revisadas por el usuario y el supervisor del programador antes de ponerlo en funcionamiento. Evidencia de control: una forma de probar la exist encia de adecuados controles sobre el cambio a los programas es seleccionando ca mbios representativos y determinando si los procedimientos de revisión y aprobación fueron cumplidos. 1.9.1.3 Acceso general no autorizado, a los datos o programas de aplicación: Riesgo: personas no autorizadas pueden tener acceso directo a los a rchivos de datos o programas de aplicación utilizados para procesar transacciones, permitiéndoles realizar cambios no autorizados a los datos o programas. Medios de control: Software de seguridad: además de restringir el acceso a nivel de aplicac iones, pueden ser utilizados para controlar los riesgos de acceso general. Regis tro de operaciones (consola): es un registro completo de cada actividad de proce samiento realizada en el computador. Informes gerenciales especiales: para alert ar a la gerencia sobre la existencia de actividades inusuales o no autorizadas. Evidencia de control: Obtener copia de las tablas de contraseñas y verificar si lo s usuarios con acceso a determinadas aplicaciones guardan una lógica con sus funci ones específicas. Intentar llevar a cabo violaciones a la seguridad para probar si el software de seguridad restringe el acceso de manera efectiva. A continuación enumeraremos medidas que deberían tomarse en otros tipos de riesgos: 1.9.2 Seguridad física: El edificio, de ser posible, debe ser expresamente constru ido para el centro de cómputos. El área del computador debe estar en un local que no sea combustible. El local del computador no debe situarse encima, debajo o adya cente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, exp losivos, gases tóxicos, etc. El espacio entre el falso suelo y el normal debe limp iarse y pintarse antes de la instalación de los equipos. El piso y el techo deben ser impermeables. Debe existir prohibición absoluta de fumar en el área de Proceso. Protección contra incencios: o Sensores de temperatura 7
o Sensores de humo o Medios de extinción del fuego El almacenamiento de medios mag néticos deberá realizarse teniendo en cuenta la temperatura, humedad relativa, en lu gares especialmente preparados que no sean combustibles y estar a cargo de un re sponsable. 1.9.3 Backup y recuperación Backups de equipos Backups de archivos maes tros o bases de datos Backups del software 1.9.4 Seguridad lógica: la seguridad lógi ca se refiere a los controles de software o controles internos del hardware exis tentes en el sistema para prevenir o detectar el ingreso de la información no auto rizada al sistema o accesos no autorizados a la información de la empresa. Estas m edidas implican la identificación y autentificación de los usuarios al operar con el sistema. Existen diferentes métodos de definición de usuarios y claves que otorgan mayor seguridad. 1.9.5 Plan de desastre: es importante contar con un conjunto de disposiciones que contemplen todas las medidas preventivas, de recuperación y act uación del personal afectado, ante el caso de una emergencia. 1.9.6 CALIDAD DE LOS SISTEMAS Se basa en el uso de metodologías para asegurar la calidad del software y la mejora en la calidad de datos. Para asegurar la calidad del software se ten drán en cuenta: Metodologías: debe conferir disciplina a todo el proceso de desarrol lo. Debe estipular documentos de requisitos y especificaciones del sistema que s ean completos, detallados y exactos, además que estén en un formato que los usuarios entiendan. Asignación de recursos: tiempos, costos de mano de obra en el desarrol lo. Métricas del software: evaluaciones objetivas del software con mediciones cuan tificadas. Pruebas: se inician en la fase de diseño. Se efectúan para detectar los e rrores del software. Calidad: incluye Software de administración de proyectos Herr amientas de programación Diccionarios de datos Bibliotecas para manejar módulos de p rogramas Herramientas que producen códigos de programas Herramientas para automati zar pruebas 1.9.6.1 AUDITORÍA DE LA CALIDAD DE DATOS. Es el estudio de archivos, u n análisis de la calidad de los datos, que se plasma en una revisión estructurada pa ra verificar qué tan exactos y completos son los datos en un sistema de información. Métodos: Encuesta a los usuarios finales consultando su opinión acerca de la calida d de los datos. Examinar archivos de datos externos. Examinar muestras de archiv os de datos. 8
Es conveniente realizar regularmente auditorías de calidad de los datos para que l as organizaciones tengan la certeza de que los datos contenidos en sus sistemas están completos y tienen un alto nivel de exactitud. La calidad de los sistemas de información también puede mejorarse al identificar y corregir los datos defectuosos y convertir la detección de errores en una meta de la organización (KLEIN, GOODHUE y DAVIS, 1997). Es responsabilidad de la gerencia desarrollar la estructura de c ontrol y las normas de calidad de la organización. La creación de niveles altos de s eguridad y calidad en los sistemas de información puede ser un largo proceso de ca mbio en una organización. Las pautas que establecen el análisis de la información en u n sistema computarizado se desarrollan en el informe N 6 CECYT, 1986. 1.10 EL AUDI TOR DE LOS SISTEMAS DE COMPUTACIÓN Según EL Dr. Jorge Nardelli, opinión que compartimo s, el auditor debe poseer los siguientes conocimientos: Nociones amplias sobre rocesamiento electrónico de datos y, específicamente, de los controles a introducir en un sistema de información. Estar en condiciones de leer la codificación de un pro grama de computador, desarrollado en un lenguaje simbólico. Sistemas de captura de datos. Mini y microcomputadores, procesamiento distribuido, redes de transmisión de datos. Organización y actualización de archivos. Modalidades de procesamiento. Técn icas de auditoría de computador. 1.11 LA PRE-AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Los expertos en sistemas no son especialistas en controles y no tienen por qué conocer las necesidades específicas de los auditores. Por otra parte, y desde un punto de vista estrictamente pragmáti co, es muy costoso y en algunas situaciones prácticamente imposibles modificar los sistemas pura y exclusivamente para incluir en ellos algún control necesario para el auditor. Habrá que esperar, casi seguramente, alguna modificación mayor o manten imiento del sistema. Esto se podría evitar si se incorporaría la participación del aud itor durante la etapa de diseño del sistema. Procedimientos y actuación del auditor durante la etapa de diseño del sistema: a. Revisión de los objetivos del sistema pro puesto y el enfoque global planteado para el logro de dichos objetivos. b. Deter minar el impacto que el sistema tendrá sobre el régimen contable de la entidad, eval uando si los errores que, eventualmente, se produzcan en el sistema podrían tener un efecto significativo sobre los resultados (razonabilidad). c. Evaluar los pro cedimientos documentado el sistema. que se seguirán para dejar adecuadamente d. Determinar la “filosofía” general del control que imperará en el sistema. e. Identifi car las pistas de auditorías del sistema. 9
f. Determinar la naturaleza de la evidencia que para auditoría dejarán las transaccione s procesadas. g. Examinar los procedimientos de programación y prueba a seguirse. h. El examen d e la documentación del sistema durante el desarrollo del mismo, puede proporcionar le una idea preliminar en cuanto a los relevamientos, verificaciones o pruebas d e procedimientos y las técnicas de auditoría a aplicar posteriormente, para la obten ción de los elementos de juicios válidos y suficientes exigidos por las Normas de Au ditoría Generalmente Aceptadas. i. El examen preliminar de la documentación del sist ema puede ser empleado para la formulación de un juicio previo en cuanto a la bond ad de los procedimientos y proporcionar al auditor una indicación sobre aquellos c ontroles que deberían ser verificados (en cuanto a su existencia) y ser sometidos a un juicio posterior sobre su efectividad. La actuación debería comprender (de acue rdo con la periodicidad fijada o las necesidades especiales resultantes), las et apas de diseño, programación, prueba, conversión y paralelo (puede también ser convenien te en el período inicial del nuevo sistema), a efectos de obtener una razonable se guridad de que los cambios no afectan adversamente la efectividad de los control es o el enfoque previo de auditoría. j. PARTE II: “AUDITORÍA EN AMBIENTES COMPUTADORIZADOS” 2.1 INTRODUCCIÓN El procesamiento el ectrónico de datos (EDP) ha cubierto un amplio espectro de aplicaciones debido a d os de sus características principales: generación de información confiable y rapidez e n su elaboración. En la década de los años 1950, en el ambiente de aplicaciones contab les la información era en general procesada manualmente. Con la evolución de la tecn ología aplicada al desarrollo de equipos computadorizados se produjeron sucesivos progresos en relación con el medio de procesamiento y lenguajes utilizados. Depend erá de la envergadura de la organización y de la magnitud y complejidad de la inform ación que maneje el ente, el hecho de contar con sistemas computadorizados más o men os complejos. El uso del procesamiento electrónico de datos es hoy un medio de gen eración de información aplicado en la mayoría de las empresas. Los auditores deben aco stumbrarse a realizar revisiones y emitir su opinión profesional sobre datos e inf ormación que surgen de sistemas computadorizados. Auditoría: es el examen de informa ción por parte de una tercera persona, distinta de la que la preparó y del usuario, con la intención de establecer su razonabilidad dando a conocer los resultados de su examen, a fin de aumentar la utilidad que tal información posee. 2.2 CARACTERÍSTI CAS DE LOS SISTEMAS COMPUTADORIZADOS Características en comparación con los sistemas convencionales (manuales) enfocadas hacia la evidencia de auditoría que proporcio nan: En los sistemas computadorizados, la información almacenada y procesada está di sponible de manera tal que sólo es analizable con ayuda del computador. 10
En los sistemas computadorizados no todos los procedimientos de control se evide ncian en forma expresa. Normalmente cuando se desliza un error, éste afecta a un m ayor volumen de transacciones. Debido a la poca participación del elemento humano, ciertos tipos de errores que se producen en los sistemas computadorizados son d ifícilmente detectables. El procesamiento computadorizado somete uniformemente tod as las transacciones similares a las mismas instrucciones de procesamiento; por esta causa, la posibilidad de errores al azar queda sustancialmente reducida. No obstante, cabe la posibilidad de que los datos ingresados al computador para su procesamiento puedan incluir errores o ser incompletos. La posibilidad de que c iertos individuos accedan a los datos sin autorización, o los alteren sin dejar ev idencias visibles, puede ser mayor en los sistemas manuales, debido a que la inf ormación es almacenada electrónicamente con una menor participación del hombre en el p rocesamiento, reduciéndose por consiguiente la oportunidad e detectar manualmente los accesos no autorizados. Los sistemas computadorizados pueden permitir que se implante una segregación de funciones incompatibles más rigurosa ya que pueden exis tir controles basados en el software. 2.3 PROCESO DE AUDITORÍA Los enfoques de auditoría que se utilizan en ambientes en l os que una parte signific ativa de los procesos administrativos son procesados e lectrónicamente pueden clasificarse básicamente en: Enfoque externo o tradicional: c onsiste en realizar los procedimientos de verificación utilizando los datos de ent rada al sistema y someter estos datos al proceso lógico que se realiza en esa etap a específica del procesamiento. Con estos elementos se obtienen datos de salida pr ocesados manualmente. Esta información manual se compara con los datos de salida q ue genera el sistema computadorizado y se concluye si el procesamiento electrónico arriba a resultados razonables o no. Dependerá del alcance que se le otorgue a es ta prueba el grado de confianza que se obtiene sobre el sistema computadorizado. Enfoque moderno: consiste en realizar los procedimientos de verificación del corr ecto funcionamiento de los procesos computadorizados utilizando el computador. C uando se planifica la revisión de circuitos administrativos donde las aplicaciones contables significativas son procesadas electrónicamente, se seleccionan técnicas d e auditoría que controlan la forma en que esa aplicación computadorizada funciona. N o considera el procesamiento como una caja negra, consisten en revisar los pasos de los programas, revisar la lógica del lenguaje utilizado, procesar nuevamente u na determinada cantidad de operaciones a través del propio sistema computadorizado , entre otras. DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN
2.4 AUDITORÍA ESTRATÉGICA En la etapa de planificación estratégica lo que se persigue es conocer cuáles son l as características generales del ente, a los efectos de establecer una estrategia de auditoría o un enfoque preliminar para la revisión de los estados financieros a una fecha dada. Existen específicamente dos aspectos que el auditor debe tener en cue nta: a. Ambiente del sistema de información: está relacionado con el grado de utiliz ación del procesamiento electrónico de datos en aquellas aplicaciones financieras si gnificativas. Esta información deberá ser suficiente para que el auditor pueda evalu ar hasta qué punto se han computadorizado los sistemas administrativos y el grado en que las operaciones del ente dependen de sistemas de procesamiento electrónico de datos. Para adquirir conocimiento sobre este ambiente, los principales temas a considerar son: 11
Conocimiento de la estructura organizativa de los sistemas: para lograr esto el auditor debe comenzar por un análisis global de la estructura organizativa y admin istrativa del Departamento de Sistemas. Además, es necesario identificar si se enc uentra organizado en forma centralizada o descentralizada. Conocimiento de la na turaleza de la configuración de sistemas: el auditor deberá adquirir un conocimiento global de las características de los sistemas, un conocimiento más profundo lo debe rá desarrollar durante el proceso de planificación detallada. Alcance del procesamie nto computadorizado de la información para las principales áreas de los estados fina ncieros o tipos de transacciones. El auditor en este caso debería considerar en qué grado las principales áreas de los estados financieros son procesadas a través siste mas computadorizados. Esta información será útil para evaluar el riesgo inherente y de control, e identificar la naturaleza de las pruebas de auditoría a realizar.
b. Ambiente de control: está referido al conjunto de condiciones dentro de las cua les operan los sistemas de control. Este ambiente posee una gran influencia sobr e la decisión del auditor de confiar en los controles para obtener satisfacción de a uditoría. Cuando el ambiente de control es fuerte, permite al auditor depositar ma yor confianza en los controles del ente a ser auditado, seleccionar controles y funciones de procesamiento computadorizados como fuentes de satisfacción de audito ría y posiblemente reducir la cantidad de evidencia necesari a para lograr el obje tivo de auditoría. Los principales aspectos que deben ser tenidos en cuenta para e valuar la efectividad del ambiente de control son: El enfoque del control por pa rte del directorio y la gerencia superior Organización gerencial 2.5 AUDITORÍA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN DETALLADA El análisis de rie sgos inherentes globales y del ambiente de control que se efectuaron durante el proceso de planificación estratégica es ahora reemplazado por un análisis de riesgos e n mayor detalle, para cada componente, en relación con cada una de las afirmacione s específicas y los factores específicos de riesgo. Los riesgos inherentes relaciona dos con las transacciones en un medio de procesamiento electrónico de datos, puede n ser clasificados de la siguiente manera: a. Riesgos de aplicación: donde el nive l de riesgo y los controles establecidos para reducirlo a un nivel aceptable cam bian de una aplicación a otra. b. Riegos generales del Departamento de Sistemas: d onde el nivel de riesgo y los controles establecidos para reducirlo a un nivel a ceptable, normalmente son similares o iguales para todas las aplicaciones que se procesan en ese mismo ambiente, el Centro de Cómputos. (fueron desarrollados en l a PARTE I de este trabajo. Cabe destacar que, de haberse realizado una correcta auditoría de sistemas e implementado las medidas de control y seguridad adecuadas, daremos el marco de seguridad necesario para realizar la auditoría contable en me nos tiempo y con menores costos) 2.6 RIESGOS DE APLICACIÓN 2.6.1 Acceso no autoriz ado al procesamiento y registro de datos: Riesgo: personas no autorizadas pueden tener acceso a las funciones de procesamiento de transacciones de los programas de aplicación o registros de datos resultantes, permitiéndoles leer, modificar, agr egar o eliminar información de los archivos de datos o ingresar sin autorización tra nsacciones para su procesamiento. 12
Medios de control: segregación de funciones controles de acceso segregación de funci ones: la prueba de segregación de funciones puede incluir: a. análisis de las respon sabilidades de aquellos empleados a quienes se les asignan partes significativas del procesamiento de información. b. observar a los empleados mientras desempeñan s us tareas para determinar si cumplen con las responsabilidades asignadas. Contro les de acceso: la verificación de la evidencia de adecuados procedimientos de cont roles de acceso pueden consistir en: a. obtener, revisar y analizar los perfiles o tablas de seguridad del sistema de control de acceso. b. intentar desplazarse de un menú de aplicación a otro para determinar si existe la posibilidad de realiza r funciones incompatibles c. determinar si el paquete de software de seguridad e n el cual se deposita confianza ha sido adecuadamente implantado desde el punto de vista técnico. d. determinar la distribución de funciones. Evidencia de control:
2.6.2 Datos no correctamente ingresados al sistema: Riesgo: los datos permanente y de transacciones ingresados para su procesamiento pueden ser imprecisos, inco mpletos o ser ingresados más de una vez. Para que las transacciones sean registrad as en forma precisa los datos permanente y de transacciones deben tener el forma to correcto e incluir los elementos correctos, y las transacciones no deben ser duplicadas. Medios de control: controles sobre la precisión e integridad de los da tos ingresados para el procesamiento. Los controles de validación se aplican norma lmente cuando los datos son ingresados por el usuario en una terminal. Evidencia de control: Verificar visualmente que durante el proceso de ingreso de datos se generen listados de excepciones por partidas no aceptadas Verificar que los emp leados autorizados han tomado las medidas necesarias con respecto a las excepcio nes o errores incluidos en los listados de excepciones de ingreso de datos. 2.6.3 Datos rechazados y en suspenso no aclarados: Riesgo: este tipo de datos pu eden no ser identificados, analizados y corregidos en forma oportuna. Ciertas tr ansacciones pueden ser identificadas y rechazadas por los sistemas computadoriza dos como incorrectas o inaceptables, de acuerdo a criterio prefijados. Las trans acciones pueden ser: aceptadas por el sistema y señaladas en un informe de excepción , o destinadas a una cuenta “en suspenso” del sistema en lugar de ser procesadas, o también pueden ser completamente rechazadas. Normalmente cuando los datos son rech azados el sistema no retiene registro alguno de la partida y consecuentemente, e l dato rechazado deberá ser controlado manualmente. El usuario es quien debe asegu rarse que todas estas transacciones sean luego corregidas. Medios de control: co ntroles sobre las transacciones rechazadas y partidas en suspenso, cuando los da tos son rechazados, se deberá crear un registro que los incluya para que posterior corrección y procesamiento puedan ser controlados. Cuando los datos rechazados se an ingresados nuevamente, deberán ser sometidos a los mismos controles de validación que los datos originales. 13
Evidencia de control: Examinar las conciliaciones entre ingresos y egresos de re gistros efectuados por los responsables de la aclaración de partidas en suspenso. Verificar que estos responsables cumplan con los procedimientos de revisión y acla ración de partidas en suspenso, en forma periódica. Obtener el listado de partidas e n suspenso a una fecha dad, seleccionar una muestra y verificar que hayan sido c orrectamente procesadas con posterioridad. 2.6.4 Procesamiento inoportunos: y registración de transacciones incompletos y/o Riesgo: las transacciones reales que han sido ingresadas para su procesamiento o generadas por el sistema pueden perderse o ser procesadas o registradas en form a incompleta o inexacta o en el período contable incorrecto. Si el formato de dato s es incorrecto o no se ha verificado su consistencia con los archivos de datos existentes, es posible que los registros contables pertinentes sean actualizados en forma incorrecta o incompleta durante el procesamiento. Medios de control: C ontroles de procesamiento por lotes y de sesión: basados en la preparación de totale s de control de campos de ingreso críticos antes del procesamiento. Estos totales de control son comparados posteriormente con los totales generados por el sistem a computadorizado. Controles de balanceo programados: incorporados al software d e aplicación para asegurar la exactitud e integridad de la actualización de archivos y del procesamiento de informes. Controles de transmisión de datos: producen un cál culo de prueba para ser aplicado a la información incluida en la transmisión. Contro les de reenganche y recuperación: ayudan a evitar la pérdida de transacciones durant e el procesamiento si este fuera interrumpido. Controles de corte programados: e vitan un corte incorrecto y generalmente son comparables a controles similares d e un ambiente de procesamiento manual. Controles sobre los datos generados por e l sistema: incorporados a los sistemas que generan transacciones o realizan cálcul os automáticamente sin un revisión por parte de una persona. Estos controles validan la veracidad y razonabilidad de las transacciones generadas automáticamente y evi tan o detectan transacciones erróneas.
Evidencia de control: si se trata de controles por lotes sobre el ingreso de dat os y ello es considerado como un control clave, puede probarse su efectividad de diferentes maneras: recalculando los totales de control por lotes a partir de l os documentos fuente; probando los procedimiento de cancelación de documentos en v igencia; verificando, para un período seleccionado, que el área de control de datos haya comprobado la secuencia numérica de los lotes hasta su procesamiento final. E n el caso de controles de sesión o controles de balanceo programados, sólo podrán ser probados utilizando técnicas de lotes de prueba. 2.7 AUDITORÍAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS. 2.7.1 Pruebas de Cumplimiento. 14
El objetivo de estas pruebas es determinar si el sistema (como sistema en si) y más precisamente respecto de los controles relevados, se comportan en la práctica de acuerdo a como se espera que lo hagan. Técnicas principales: 2.7.1.1 Lotes de pru eba Propone que el auditor genere transacciones, a efectos de poner en evidencia qué relación existe cuando esas transacciones se ejecuten en el sistema (sistema re al), con respecto a los resultados que se espera produzcan. Ventajas: Demanda es casa habilidad técnica del auditor. Permite probar el circuito computarizado y el administrativo. Posibilita una prueba cuasi completa de todas las variantes que se deseen probar. Produce una evidencia completa de los resultados. Desventajas: Exige mucho tiempo dedicado a su elaboración, al menos la primera vez. La prueba completa de todas las alternativas previsibles combinadas, es prácticamente irreal izable. Resulta difícil reproducir el ambiente operativo real. Da una imagen del s istema en el momento de la prueba. 2.7.1.2 Minicompañía Consiste en la incorporación, dentro de los archivos normales de la institución, de registros especialmente ingresados (dados de alta), para finali dades de auditoría. Los resultado obtenidos del proceso de los registros de audito ría, permiten que el auditor exprese la inferencia válida que si la “minicompaía” tiene ad ecuadamente controlados sus procedimientos, la “compañía” auditada también los tiene. Vent ajas: Demanda escasa habilidad técnica del auditor. La prueba es concurrente con l a operación (en línea u en el mismo ambiente) y es ejecutable varia veces durante un ejercicio comercial, sin preparación previa. Aunque los registros especiales se c onocen, el auditor cuenta con la sorpresa de su utilización. Se prueban situacione s de cambio, que el sistema tiene previsto resolver, por el mero transcurso del tiempo. Desventajas: Se pierde integridad de la base de datos. Pueden existir li mitaciones impositivas y de otras fuentes reglamentarias. El auditor queda compr ometido con el sistema. 2.7.2 Pruebas sustantivas. Esta auditoría trata de obtener los elementos de juicio válidos y suficientes para la emisión del Informe del Auditor. Esta comprobación, se refiere a analizar la información procesada por el sistema. La planificación de esta tarea se orientará para que, en las revisiones, se apliquen criterios de comparac ión, confirmación y razonabilidad. Técnicas principales: Elaboración de un programa. O s istema de programas, para la ejecución de la actividad. También propone adoptar los programas existentes en la instalación, convenientemente adecuados a los objetivos del auditor. 15
Utilización de software. Específicamente desarrollado para el empleo por parte de lo s auditores. 2.8 PROCEDIMIENTOS ADMINISTRATIVOS Normalmente estas actividades se desarrollan fuera del ambiente de la Tecnología Informática. Los aspectos que se co ntemplan son los siguientes: 2.8.1 Informes de Auditoría: El auditor vive de sus i nformes. Los ítems que debe contener un informe, se expondrán con un criterio amplio y en forma generalizada, respetando los lineamientos de la RT n 7. 2.8.2 Planeam iento de la Actividad: La toma de conocimiento del Ente y su ambiente podrá aceler arse, si contáramos con documentación que podría solicitarse al cliente, con antelación a la realización de una primera e ineludible visita, para comenzar a idear el Plan de Actividades y el consiguiente presupuesto. El planeamiento de la actividad e stá referido a establecer un procedimiento racional que nos permita identificar, a signar prioridades para su realización y establecer la naturaleza, extensión y oport unidad, con que deberán ser revisados los distintos aspectos de la Tecnología Informát ica. Esto es, en la Auditoría sobre el Cumplimiento de los Controles existentes, i dentificar los Controles generales a revisar y señalar los Sistemas Aplicativos qu e serán más importantes y representativos, que aporten un mayor valor a la labor de Auditoría. En el caso de las Pruebas Sustantivas identificar en o los rubros de lo s estados Contables a revisar. 2.8.3 Matriz de Riesgo para los controles: Esta m atriz para el análisis de riesgos está planteada para las Pruebas de Cumplimiento, y a que para las Pruebas Sustantivas, se podrá pasar directamente a la etapa de las comprobaciones, considerando que ya se han seleccionado las partidas o rubros de l balance a analizar. Esta Matriz entonces, deberá ser elaborada separadamente par a: Los Controles Generales y Los Controles sobre las aplicaciones. La información a incluir entonces, que se vuelca en columnas, será la siguiente: Objetivo de cont rol Tratamiento que se prevé le da el sistema o la organización. Riesgo advertido y calificación subjetiva del nivel del riesgo. Recomendación de acciones a emprender p ara su eliminación o acotamiento, en el corto y mediano plazo. En las filas, se ub icarán los ítems a analizar que serán distintos según los tipos de controles que se anal icen. 2.8.4 Matriz para la prueba de controles: La planilla de trabajo que se pr opone en este ítem, consiste en el agregado de nuevas columnas. Teniendo en consid eración los aspectos que se han incluido en la planilla anterior a cada Objetivo d e Control, se creará un inventario de los aspectos que se habrán de comprobar. Convi ene señalar que, sólo se habrán de comprobar aquellos aspectos que según el relevamiento están considerados por un control dentro del sistema o la organización. Pruebas a r ealizar: según el conocimiento que se haya logrado del sistema, se desprenderá qué tip o de pruebas se podrán efectuar, de acuerdo con las técnicas de verificación disponibl es, con ayuda del computador. 16
La ejecución de la prueba, considerará que el aplicativo a considerar se ha seleccio nado en función de su riesgo. Luego de desarrollada la prueba, se completará la Matr iz de Prueba antes elaborada, con los siguientes elementos: Observaciones: que r ecogerá los resultados de las comprobaciones, con el detalle adecuado para que ya se obtengan elementos de juicio, útil para la redacción del Informe. Relación a los pa peles de trabajo: que referenciarán a los elementos de la prueba que estarán archiva dos por separado de la matriz perfectamente ordenados y relacionados. 2.9 PAPELE S DE TRABAJO DEL AUDITOR Como corolario de todos los aspectos mencionados, nos r esta referirnos a los medios de respaldo que quedan en poder del auditor. Luego que éste ha emitido los documentos resultantes de su actividad. A estos medios de respaldo se los conoce genéricamente como “Papeles de Trabajo”. Papeles de trabajo son todos aquellos objetos, documentos, listados y otras registraciones donde const an las tareas realizadas, elementos de juicio obtenidos y las conclusiones a las que arribó el auditor. Históricamente se han entendido como papeles de trabajo los soportes en papel donde figuran las anotaciones y cualquier otro vuelco de ideas surgidas del trabajo desarrollado. Ante el avance tecnológico estos elementos pue den estar compuestos por otros medios tales como diskettes, cassetes, discos com pactos, etc. Siempre que los mismos resulten aptos para sustentar la evidencia q ue de ellos se pretenda obtener. La RT n 7 establece en el acápite B –Normas para el Desarrollo de la auditoría, en el ítem Papeles de Trabajo. 17
CONCLUSIONES Si bien la empresa que ha implementado sistemas computadorizados pa ra el proceso de las operaciones diarias de la organización, podría optar por no rea lizar las auditorías de sistema, tal como hemos descripto en la primera parte de e ste trabajo. De optar por la opción de no realizarla, al momento de tener que anal izar los estados contables debería realizar una innumerable cantidad de pruebas, t anto de cumplimiento como sustantivas, desaprovechando las facilidades y utilida des que hoy pone a disposición la tecnología. Con esto, la empresa incurriría anualmen te en costos altísimos tanto por tener un sistema (costo de mantenimiento), en el que no confía, como por tener que analizar la información generada por éste sin consid erarlo. De nada sirve implementar este tipo de sistemas si no vamos a realizarle s un seguimiento, con control de su funcionamiento, que nos permita verificar qu e los resultados que nos muestra son útiles para la toma de decisiones. Por otra p arte, tampoco es útil que confiemos ciegamente en estos sistemas y no los protejam os de factores externos al mismo como humanos, accidentes, etc, que puedan compr ometer su integridad. La importancia de la información que hoy guardamos en el “cibe respacio” y el perjuicio que su pérdida podría causarnos, motiva tomar medidas de segu ridad que intenten prevenir este tipo de situaciones. 18
BIBLIOGRAFÍA AUDITORÍA Y SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN – Jorge Nardelli – Edito rial Cangallo SA.- Segunda edición 1992 AUDITORÍA: UN NUEVO ENFOQUE EMPRESARIAL – Carl os A. Slosse y otros – Editorial Macchi.- 1990 GUIA PRÁCTICA PROFESIONAL – Lepoldo Can sler.- Primera Edición, agosto 2003 KENNETH C. LAUDON New York University JANE P. LAUDON Azimuth Information Systems SISTEMAS DE INFORMACIÓN GERENCIAL: Organización y tecnología de la empresa conectada en red - 6ta edición, Pearson educación CECYT FEDE RACIÓN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONÓMICAS. INFORME NRO. 6. A uditoría de Estados Contables en un contexto computadorizado.- Primera Edición 1986 CECYT FEDERACIÓN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONÓMICAS. Informe Nro. 15 CECYT “Auditoría en ambientes computadorizados” RT Nro. 7 – FACPCE (1985) 19
ANEXO – NORMATIVA APLICABLE RT Nro. 7 – FACPCE (1985) Las normas incluidas en este informe abarcan aquellas ap licables a la auditoría en general y, en particular, las concernientes a la audito ría externa de los estados contables, con la finalidad de asegurar un necesario gr ado de confiabilidad de la información contable. Informe Nro. 6 CECYT “Pautas para e l examen de estados contables en un contexto computadorizado” Brinda un conjunto d e pautas referenciales para la evaluación de las actividades de control (control i nterno) y la obtención de evidencia en un contexto computadorizado, como tareas in tegrantes del examen de estados contables destinado a emitir un informe sobre la razonabilidad con la que éstos presentan la situación del ente. Informe Nro. 15 CEC YT “Auditoría en ambientes computadorizados” Este informe tiene como finalidad facilit ar la comprensión de los procedimientos de auditoría en ambientes computadorizados p ara obtener comprobaciones válidas y suficientes respecto de las afirmaciones cont enidas y la información expuesta en los estados contables. También desarrolla proced imientos para evaluar el cumplimiento de los controles, la detección de riesgos y la validez de los saldos en los ambientes en los que se utilizan los Sistemas de información contable. 20
