Universidad de Buenos Aires Facultad de Ciencias Económicas
AUDITORÍA DE SISTEMAS
Profesor Titular: Contaldi, Arturo Grupo Nro. 5 Culla Bonzini, Iara - Reg. 856695 Ibañez, Mariela Alejandra – Reg.844013 Pala Montenegro, Mónica – Reg.177609 Niño de Guzmán, Ignacio – Reg. 843177
Segundo cuatrimestre – año 2009
INDICE
INTRODUCCIÓN...................................................................................................... 3 PRIMERA PARTE: “LA AUDITORÍA DE SISTEMAS” ............................................... 4 1.1 CONCEPTO ....................................................................................................... 1.2 OBJETIVOS DE LA AUDITORÍA DE SISTEMAS ....................................................... 1.3 PROCESO DE AUDITORÍA ................................................................................... 1.4 TIPOS DE AUDITORÍA ........................................................................................ 1.5 DESARROLLO DE UNA ESTRUCTURA DE CONTROL: COSTOS Y BENEFICIOS. ........... 1.6 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN ............................................... 1.7 ESTRATEGIA DE LA SEGURIDAD ......................................................................... 1.8 ANÁLISIS DE LOS RIESGOS ............................................................................... 1.9 RIESGOS Y MEDIDAS A TOMAR .......................................................................... 1.9.1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS ................................................... 1.9.1.1 Estructura organizativa y procedimientos operativos no confiables .................... 1.9.1.2 Procedimientos no autorizados para cambios en los programas: ....................... 1.9.1.3 Acceso general no autorizado, a los datos o programas de aplicación: ............... 1.9.2 Seguridad física.............................................................................................. 1.9.3 Backup y recuperación .................................................................................... 1.9.4 Seguridad lógica ............................................................................................. 1.9.5 Plan de desastre ............................................................................................. 1.9.6 CALIDAD DE LOS SISTEMAS ............................................................................ 1.9.6.1 AUDITORÍA DE LA CALIDAD DE DATOS. ......................................................... 1.10 EL AUDITOR DE LOS SISTEMAS DE COMPUTACIÓN ............................................. 1.11 LA PRE-AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN ...................................
4 4 4 4 5 5 6 6 6 6 6 7 7 7 8 8 8 8 8 9 9
PARTE II: “AUDITORÍA EN AMBIENTES COMPUTADORIZADOS” ........................ 10 2.1 INTRODUCCIÓN ............................................................................................... 10 2.2 CARACTERÍSTICAS DE LOS SISTEMAS COMPUTADORIZADOS............................... 10 2.3 PROCESO DE AUDITORÍA .................................................................................. 11 2.4 AUDITORÍA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN ESTRATÉGICA ..11 2.5 AUDITORÍA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN DETALLADA ...... 12 2.6 RIESGOS DE APLICACIÓN ................................................................................. 12 2.6.1 Acceso no autorizado al procesamiento y registro de datos: ............................... 12 2.6.2 Datos no correctamente ingresados al sistema: ................................................ 13 2.6.3 Datos rechazados y en suspenso no aclarados:................................................. 13 2.6.4 Procesamiento y registración de transacciones incompletos y/o inoportunos: ....... 14 2.7 AUDITORÍAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS. ........................... 14 2.7.1 Pruebas de Cumplimiento. .............................................................................. 14 2.7.1.1 Lotes de prueba ......................................................................................... 15 2.7.1.2 Minicompañía ............................................................................................. 15 2.7.2 Pruebas sustantivas. ...................................................................................... 15 2.8 PROCEDIMIENTOS ADMINISTRATIVOS ............................................................... 16 2.9 PAPELES DE TRABAJO DEL AUDITOR ..................................................................17 CONCLUSIONES ..................................................................................................18 BIBLIOGRAFÍA ....................................................................................................... 19
2
INTRODUCCIÓN A finales del siglo XX, los sistemas informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial: los Sistemas de Información de la empresa. La informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma, por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. Establecer una directiva de auditoría es un aspecto importante en la seguridad. Supervisar la creación o la modificación de objetos permite hacer un seguimiento de los posibles problemas de seguridad, ayuda a asegurar la responsabilidad del usuario y proporciona pruebas en caso de producirse una infracción en la seguridad. Por otra parte, este tipo de acciones y las medidas de prevención de los riesgos que puedan afectar a la organización, junto a la pre-auditoría, concepto que describiremos en el trabajo, darían las condiciones adecuadas para que el auditor pueda confiar en los sistemas. Esta confianza contribuye a la disminución de costos y tiempos en los controles que anualmente debe realizar sobre la información contable y financiera. En este contexto podrá limitarse a la realización de un grado menor de pruebas sustantivas y en su lugar centrarse en las de cumplimiento. Finalmente daremos un pantallazo de la conceptualización de las auditorías en ambientes computadorizados donde podremos confirmar que, de contar con lo mencionado anteriormente, la tarea se verá reducida de manera significativa.
3
PRIMERA PARTE: “LA AUDITORÍA DE SISTEMAS”
1.1 CONCEPTO La auditoría de sistemas ha sido definida como la revisión sistemática, organizada, de los sistemas en funcionamiento. 1.2 OBJETIVOS DE LA AUDITORÍA DE SISTEMAS
Buscar una mejor relación Costo - Beneficio de los sistemas automáticos o computarizados diseñados e implementados. Incrementar la satisfacción de los usuarios de los sistemas computarizados. Asegurar mayor integridad y confidencialidad de la información mediante la recomendación de seguridades y controles. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de función informática a las metas y objetivos de la organización. Minimizar riesgos en el uso de Tecnología de información. Capacitación y educación sobre controles en los sistemas de información
1.3 PROCESO DE AUDITORÍA La secuencia de pasos que implica llevar a cabo una auditoría, del tipo que sea, puede variar según diferentes circunstancias. No obstante ello, usualmente se verifican tres etapas esenciales: planificación, ejecución y conclusión. Los límites de cada etapa no son tajantes ni excluyentes. Si bien la etapa de planificación pretende establecer todos los procedimientos de auditoría que se aplicarán durante el examen, los resultados de las pruebas pueden hacer necesaria la modificación de la planificación efectuada, cambiando el alcance o la naturaleza de las pruebas a efectuar en etapas sucesivas. Planificación: el objetivo último de esta etapa es la determinación del enfoque de auditoría a aplicar y su consecuencia inmediata, la selección de los procedimientos particulares a ejecutar. Esto se verá reflejado en el memorando de planificación que documenta las consideraciones analizadas durante toda la etapa, como asimismo los respectivos programas detallados de trabajo que indican de qué forma, en qué momento y con qué alcance se ejecutarán los procedimientos seleccionados. Ejecución: su finalidad será la de cumplimentar los procedimientos planificados para obtener elementos de juicio válidos y suficientes para sustentar una opinión. Todos esos elementos de juicio se traducirán en papeles de trabajo que constituyen la documentación y evidencian el examen realizado. Es de destacar que en esta etapa no sólo se realizarán los procedimientos previstos en la etapa de planificación, sino también, todas aquellas pruebas alternativas que deban efectuarse reemplazando o complementando a las originalmente planificadas, ya sea por dificultades propias de la empresa, de los sistemas, del resultado de los procedimientos realizados o por eficiencia en el examen. Conclusión: en esta etapa se evalúan todas las evidencias obtenidas durante la etapa de ejecución que deben permitir formar un juicio o una opinión sobre la razonabilidad de los estados, emitiendo el respectivo informe del auditor. 1.4 TIPOS DE AUDITORÍA Desde el punto de vista de la informática se pueden clasificar en:
4
Auditoría Informática de Explotación: se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación Informática se dispone de datos que sufren una transformación y se someten a controles de integridad y calidad. Auditoría Informática de Desarrollo de Proyectos o Aplicaciones: se ocupa del desarrollo de una evaluación del llamado Análisis de Programación y sistemas. Debe haber un exigente control interno, de lo contrario, pueden producirse insatisfacciones del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la Auditoría deberá comprobar la seguridad de los programas. Auditoría Informática de Sistemas: se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. Auditoría Informática de comunicación y Redes: deberá inquirir o actuar sobre índices de utilización de las líneas contratadas con información sobre tiempos de uso, deberá conocer la topología de la red de comunicaciones. Todas las actividades deben estar coordinadas y dependientes de una sola organización. Auditoría de la Seguridad Informática: se debe tener presente la cantidad de información almacenada en el computador, la cual puede ser confidencial, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total, sin olvidar los virus informáticos. 1.5 DESARROLLO DE UNA ESTRUCTURA DE CONTROL: COSTOS Y BENEFICIOS. Seguridad: Políticas, procedimientos y medidas técnicas que se toman a fin de evitar el acceso no autorizado o la alteración, robo o daños físicos a los sistemas de información. Es importante realizar un análisis costo/beneficio para determinar qué mecanismos de control ofrecen mayor seguridad sin menoscabar eficiencia operativa o incurrir en gastos excesivos. Uno de los criterios a tener en cuenta es la importancia de los datos. En los sistemas de finanzas y contabilidad, por ejemplo, su estándar de control debe ser más estricto. Otro tema a analizar es que la eficacia de los costos de los controles depende también de la eficiencia, complejidad y costos de cada técnica de control. Por ejemplo, un sistema que apoya la transferencia de fondos tendría un alto riesgo, y por tanto, necesitaría un alto nivel de seguridad. Un tercer elemento a tener en cuenta es el nivel de riesgo. Una evaluación de riesgos se realiza para determinar la posible frecuencia de un problema y los daños que podría causar si se presentara. También para decidir qué controles usar los constructores de sistemas de información deben examinar diversas técnicas de control, relacionarlas y su eficacia de costos relativa. 1.6 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN La seguridad absoluta es imposible, y ello por dos motivos: el primero de tipo práctico: aún suponiendo que ellos fuera factible, lo sería a un costo intolerable para la entidad, totalmente desproporcionado con respecto a los eventuales daños a soportar. El segundo es de tipo conceptual. Dado las características de los sistemas de computación la seguridad absoluta es imposible. Los sistemas de computación deben ser protegidos de tres tipos de peligros: desastres naturales, errores y omisiones humanos y actos intencionales.
5
La seguridad en los sistemas abarca cinco funciones:
Evitar Disuadir
Prevenir Detectar
Recuperar corregir
y
1.7 ESTRATEGIA DE LA SEGURIDAD Ya se trate de actos naturales, errores u omisiones humanos y actos intencionales, cada riesgo debería ser atacado de cuatro maneras: a. b. c. d.
Minimizando la posibilidad de ocurrencia. Reduciendo al mínimo el perjuicio sufrido, si no ha podido evitarse que ocurriera. Diseño de métodos para la más rápida recuperación de los daños experimentados. Corrección de las medidas de seguridad en función de la experiencia recogida.
1.8 ANÁLISIS DE LOS RIESGOS Los elementos claves en el análisis de riesgos son:
Determinación del impacto que originaría un acontecimiento. Fijación de la probabilidad de ocurrencia de un hecho, dentro de un lapso especificado.
Una vez listados y analizados los riesgos tenemos cuatro posibilidades:
Eliminar el riesgo, con medidas adecuadas. Soportarlo o tolerarlo, con la debida conciencia, tratándose de casos en los que el perjuicio ocasionara efectos menores. Reducirlo. Transferirlo, mediante seguros o convenios especiales.
El problema consiste en hallar una combinación de estas variables, en forma tal de reducir los riesgos a un nivel aceptable y con costos mínimos.
1.9 RIESGOS Y MEDIDAS A TOMAR 1.9.1 RIESGOS DEL DEPARTAMENTO DE SISTEMAS El auditor debe evaluar los principales controles del Departamento de Sistemas. Esta evaluación es necesaria para asegurarse de que los controles o las funciones en las que intenta confiar no hayan sufrido alteraciones que reduzcan o eliminen su capacidad de evitar o detectar errores o irregularidades, o respaldar las afirmaciones correspondientes. Categorías: 1.9.1.1 Estructura organizativa y procedimientos operativos no confiables Riesgo: si las funciones incompatibles del departamento de EDP no están segregadas existe el riesgo de que ocurran errores o irregularidades que no sean detectadas durante el transcurso normal de las operaciones. Medios de control: dentro de la organización del Departamento de Sistemas es conveniente separar las principales responsabilidades de las actividades de operación y programación.
6
Evidencia de control:
Indagación con los empleados del Departamento de Sistemas, para verificar las funciones de cada uno y sus limitaciones. Observación y prueba de los medios existentes para la limitación del acceso físico a las instalaciones y recursos que deben estar protegidos.
1.9.1.2 Procedimientos no autorizados para cambios en los programas: Riesgo: los programadores pueden realizar cambios incorrectos no autorizados en el software de aplicación, lo cual reducirá la confiabilidad de la información procesada en el sistema. Medios de control: es esencial que los resultados de las modificaciones de programas sean revisadas por el usuario y el supervisor del programador antes de ponerlo en funcionamiento. Evidencia de control: una forma de probar la existencia de adecuados controles sobre el cambio a los programas es seleccionando cambios representativos y determinando si los procedimientos de revisión y aprobación fueron cumplidos. 1.9.1.3 Acceso general no autorizado, a los datos o programas de aplicación: Riesgo: personas no autorizadas pueden tener acceso directo a los archivos de datos o programas de aplicación utilizados para procesar transacciones, permitiéndoles realizar cambios no autorizados a los datos o programas. Medios de control:
Software de seguridad: además de restringir el acceso a nivel de aplicaciones, pueden ser utilizados para controlar los riesgos de acceso general. Registro de operaciones (consola): es un registro completo de cada actividad de procesamiento realizada en el computador. Informes gerenciales especiales: para alertar a la gerencia sobre la existencia de actividades inusuales o no autorizadas.
Evidencia de control:
Obtener copia de las tablas de contraseñas y verificar si los usuarios con acceso a determinadas aplicaciones guardan una lógica con sus funciones específicas. Intentar llevar a cabo violaciones a la seguridad para probar si el software de seguridad restringe el acceso de manera efectiva.
A continuación enumeraremos medidas que deberían tomarse en otros tipos de riesgos: 1.9.2 Seguridad física: El edificio, de ser posible, debe ser expresamente construido para el centro de cómputos. El área del computador debe estar en un local que no sea combustible. El local del computador no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos, etc. El espacio entre el falso suelo y el normal debe limpiarse y pintarse antes de la instalación de los equipos. El piso y el techo deben ser impermeables. Debe existir prohibición absoluta de fumar en el área de Proceso. Protección contra incencios: o Sensores de temperatura
7
o Sensores de humo o Medios de extinción del fuego El almacenamiento de medios magnéticos deberá realizarse teniendo en cuenta la temperatura, humedad relativa, en lugares especialmente preparados que no sean combustibles y estar a cargo de un responsable. 1.9.3 Backup y recuperación Backups de equipos Backups de archivos maestros o bases de datos Backups del software 1.9.4 Seguridad lógica: la seguridad lógica se refiere a los controles de software o controles internos del hardware existentes en el sistema para prevenir o detectar el ingreso de la información no autorizada al sistema o accesos no autorizados a la información de la empresa. Estas medidas implican la identificación y autentificación de los usuarios al operar con el sistema. Existen diferentes métodos de definición de usuarios y claves que otorgan mayor seguridad. 1.9.5 Plan de desastre: es importante contar con un conjunto de disposiciones que contemplen todas las medidas preventivas, de recuperación y actuación del personal afectado, ante el caso de una emergencia. 1.9.6 CALIDAD DE LOS SISTEMAS Se basa en el uso de metodologías para asegurar la calidad del software y la mejora en la calidad de datos. Para asegurar la calidad del software se tendrán en cuenta: Metodologías: debe conferir disciplina a todo el proceso de desarrollo. Debe estipular documentos de requisitos y especificaciones del sistema que sean completos, detallados y exactos, además que estén en un formato que los usuarios entiendan. Asignación de recursos: tiempos, costos de mano de obra en el desarrollo. Métricas del software: evaluaciones objetivas del software con mediciones cuantificadas. Pruebas: se inician en la fase de diseño. Se efectúan para detectar los errores del software. Calidad: incluye Software de administración de proyectos Herramientas de programación Diccionarios de datos Bibliotecas para manejar módulos de programas Herramientas que producen códigos de programas Herramientas para automatizar pruebas 1.9.6.1 AUDITORÍA DE LA CALIDAD DE DATOS. Es el estudio de archivos, un análisis de la calidad de los datos, que se plasma en una revisión estructurada para verificar qué tan exactos y completos son los datos en un sistema de información. Métodos: Encuesta a los usuarios finales consultando su opinión acerca de la calidad de los datos. Examinar archivos de datos externos. Examinar muestras de archivos de datos.
8
Es conveniente realizar regularmente auditorías de calidad de los datos para que las organizaciones tengan la certeza de que los datos contenidos en sus sistemas están completos y tienen un alto nivel de exactitud. La calidad de los sistemas de información también puede mejorarse al identificar y corregir los datos defectuosos y convertir la detección de errores en una meta de la organización (KLEIN, GOODHUE y DAVIS, 1997). Es responsabilidad de la gerencia desarrollar la estructura de control y las normas de calidad de la organización. La creación de niveles altos de seguridad y calidad en los sistemas de información puede ser un largo proceso de cambio en una organización. Las pautas que establecen el análisis de la información en un sistema computarizado se desarrollan en el informe Nº6 CECYT, 1986. 1.10 EL AUDITOR DE LOS SISTEMAS DE COMPUTACIÓN Según EL Dr. Jorge Nardelli, opinión que compartimos, el auditor debe poseer los siguientes conocimientos:
Nociones amplias sobre procesamiento electrónico de datos y, específicamente, de los controles a introducir en un sistema de información. Estar en condiciones de leer la codificación de un programa de computador, desarrollado en un lenguaje simbólico. Sistemas de captura de datos. Mini y microcomputadores, procesamiento distribuido, redes de transmisión de datos. Organización y actualización de archivos. Modalidades de procesamiento. Técnicas de auditoría de computador.
1.11 LA PRE-AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Los expertos en sistemas no son especialistas en controles y no tienen por qué conocer las necesidades específicas de los auditores. Por otra parte, y desde un punto de vista estrictamente pragmático, es muy costoso y en algunas situaciones prácticamente imposibles modificar los sistemas pura y exclusivamente para incluir en ellos algún control necesario para el auditor. Habrá que esperar, casi seguramente, alguna modificación mayor o mantenimiento del sistema. Esto se podría evitar si se incorporaría la participación del auditor durante la etapa de diseño del sistema. Procedimientos y actuación del auditor durante la etapa de diseño del sistema: a. Revisión de los objetivos del sistema propuesto y el enfoque global planteado para el logro de dichos objetivos. b. Determinar el impacto que el sistema tendrá sobre el régimen contable de la entidad, evaluando si los errores que, eventualmente, se produzcan en el sistema podrían tener un efecto significativo sobre los resultados (razonabilidad). c. Evaluar los procedimientos documentado el sistema.
que
se
seguirán
para
dejar
adecuadamente
d. Determinar la “filosofía” general del control que imperará en el sistema. e. Identificar las pistas de auditorías del sistema.
9
f.
Determinar la naturaleza de la evidencia que para auditoría dejarán las transacciones procesadas.
g. Examinar los procedimientos de programación y prueba a seguirse. h. El examen de la documentación del sistema durante el desarrollo del mismo, puede proporcionarle una idea preliminar en cuanto a los relevamientos, verificaciones o pruebas de procedimientos y las técnicas de auditoría a aplicar posteriormente, para la obtención de los elementos de juicios válidos y suficientes exigidos por las Normas de Auditoría Generalmente Aceptadas. i.
El examen preliminar de la documentación del sistema puede ser empleado para la formulación de un juicio previo en cuanto a la bondad de los procedimientos y proporcionar al auditor una indicación sobre aquellos controles que deberían ser verificados (en cuanto a su existencia) y ser sometidos a un juicio posterior sobre su efectividad.
j.
La actuación debería comprender (de acuerdo con la periodicidad fijada o las necesidades especiales resultantes), las etapas de diseño, programación, prueba, conversión y paralelo (puede también ser conveniente en el período inicial del nuevo sistema), a efectos de obtener una razonable seguridad de que los cambios no afectan adversamente la efectividad de los controles o el enfoque previo de auditoría.
PARTE II: “AUDITORÍA EN AMBIENTES COMPUTADORIZADOS” 2.1 INTRODUCCIÓN El procesamiento electrónico de datos (EDP) ha cubierto un amplio espectro de aplicaciones debido a dos de sus características principales: generación de información confiable y rapidez en su elaboración. En la década de los años 1950, en el ambiente de aplicaciones contables la información era en general procesada manualmente. Con la evolución de la tecnología aplicada al desarrollo de equipos computadorizados se produjeron sucesivos progresos en relación con el medio de procesamiento y lenguajes utilizados. Dependerá de la envergadura de la organización y de la magnitud y complejidad de la información que maneje el ente, el hecho de contar con sistemas computadorizados más o menos complejos. El uso del procesamiento electrónico de datos es hoy un medio de generación de información aplicado en la mayoría de las empresas. Los auditores deben acostumbrarse a realizar revisiones y emitir su opinión profesional sobre datos e información que surgen de sistemas computadorizados. Auditoría: es el examen de información por parte de una tercera persona, distinta de la que la preparó y del usuario, con la intención de establecer su razonabilidad dando a conocer los resultados de su examen, a fin de aumentar la utilidad que tal información posee. 2.2 CARACTERÍSTICAS DE LOS SISTEMAS COMPUTADORIZADOS Características en comparación con los sistemas convencionales (manuales) enfocadas hacia la evidencia de auditoría que proporcionan:
En los sistemas computadorizados, la información almacenada y procesada está disponible de manera tal que sólo es analizable con ayuda del computador.
10
En los sistemas computadorizados no todos los procedimientos de control se evidencian en forma expresa. Normalmente cuando se desliza un error, éste afecta a un mayor volumen de transacciones. Debido a la poca participación del elemento humano, ciertos tipos de errores que se producen en los sistemas computadorizados son difícilmente detectables. El procesamiento computadorizado somete uniformemente todas las transacciones similares a las mismas instrucciones de procesamiento; por esta causa, la posibilidad de errores al azar queda sustancialmente reducida. No obstante, cabe la posibilidad de que los datos ingresados al computador para su procesamiento puedan incluir errores o ser incompletos. La posibilidad de que ciertos individuos accedan a los datos sin autorización, o los alteren sin dejar evidencias visibles, puede ser mayor en los sistemas manuales, debido a que la información es almacenada electrónicamente con una menor participación del hombre en el procesamiento, reduciéndose por consiguiente la oportunidad e detectar manualmente los accesos no autorizados. Los sistemas computadorizados pueden permitir que se implante una segregación de funciones incompatibles más rigurosa ya que pueden existir controles basados en el software.
2.3 PROCESO DE AUDITORÍA Los enfoques de auditoría que se utilizan en ambientes en los que una parte signific ativa de los procesos administrativos son procesados electrónicamente pueden clasificarse básicamente en:
Enfoque externo o tradicional: consiste en realizar los procedimientos de verificación utilizando los datos de entrada al sistema y someter estos datos al proceso lógico que se realiza en esa etapa específica del procesamiento. Con estos elementos se obtienen datos de salida procesados manualmente. Esta información manual se compara con los datos de salida que genera el sistema computadorizado y se concluye si el procesamiento electrónico arriba a resultados razonables o no. Dependerá del alcance que se le otorgue a esta prueba el grado de confianza que se obtiene sobre el sistema computadorizado.
Enfoque moderno: consiste en realizar los procedimientos de verificación del correcto funcionamiento de los procesos computadorizados utilizando el computador. Cuando se planifica la revisión de circuitos administrativos donde las aplicaciones contables significativas son procesadas electrónicamente, se seleccionan técnicas de auditoría que controlan la forma en que esa aplicación computadorizada funciona. No considera el procesamiento como una caja negra, consisten en revisar los pasos de los programas, revisar la lógica del lenguaje utilizado, procesar nuevamente una determinada cantidad de operaciones a través del propio sistema computadorizado, entre otras.
2.4 AUDITORÍA ESTRATÉGICA
DE
SISTEMAS
COMPUTADORIZADOS.
PLANIFICACIÓN
En la etapa de planificación estratégica lo que se persigue es conocer cuáles son l as características generales del ente, a los efectos de establecer una estrategia de auditoría o un enfoque preliminar para la revisión de los estados financieros a una fecha dada. Existen específicamente dos aspectos que el auditor debe tener en cuenta: a. Ambiente del sistema de información: está relacionado con el grado de utilización del procesamiento electrónico de datos en aquellas aplicaciones financieras significativas. Esta información deberá ser suficiente para que el auditor pueda evaluar hasta qué punto se han computadorizado los sistemas administrativos y el grado en que las operaciones del ente dependen de sistemas de procesamiento electrónico de datos. Para adquirir conocimiento sobre este ambiente, los principales temas a considerar son:
11
Conocimiento de la estructura organizativa de los sistemas: para lograr esto el auditor debe comenzar por un análisis global de la estructura organizativa y administrativa del Departamento de Sistemas. Además, es necesario identificar si se encuentra organizado en forma centralizada o descentralizada.
Conocimiento de la naturaleza de la configuración de sistemas: el auditor deberá adquirir un conocimiento global de las características de los sistemas, un conocimiento más profundo lo deberá desarrollar durante el proceso de planificación detallada. Alcance del procesamiento computadorizado de la información para las principales áreas de los estados financieros o tipos de transacciones. El auditor en este caso debería considerar en qué grado las principales áreas de los estados financieros son procesadas a través sistemas computadorizados. Esta información será útil para evaluar el riesgo inherente y de control, e identificar la naturaleza de las pruebas de auditoría a realizar.
b. Ambiente de control: está referido al conjunto de condiciones dentro de las cuales operan los sistemas de control. Este ambiente posee una gran influencia sobre la decisión del auditor de confiar en los controles para obtener satisfacción de auditoría. Cuando el ambiente de control es fuerte, permite al auditor depositar mayor confianza en los controles del ente a ser auditado, seleccionar controles y funciones de procesamiento computadorizados como fuentes de satisfacción de auditoría y posiblemente reducir la cantidad de evidencia necesari a para lograr el objetivo de auditoría. Los principales aspectos que deben ser tenidos en cuenta para evaluar la efectividad del ambiente de control son:
El enfoque del control por parte del directorio y la gerencia superior Organización gerencial
2.5 AUDITORÍA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN DETALLADA El análisis de riesgos inherentes globales y del ambiente de control que se efectuaron durante el proceso de planificación estratégica es ahora reemplazado por un análisis de riesgos en mayor detalle, para cada componente, en relación con cada una de las afirmaciones específicas y los factores específicos de riesgo. Los riesgos inherentes relacionados con las transacciones en un medio de procesamiento electrónico de datos, pueden ser clasificados de la siguiente manera: a. Riesgos de aplicación: donde el nivel de riesgo y los controles establecidos para reducirlo a un nivel aceptable cambian de una aplicación a otra. b. Riegos generales del Departamento de Sistemas: donde el nivel de riesgo y los controles establecidos para reducirlo a un nivel aceptable, normalmente son similares o iguales para todas las aplicaciones que se procesan en ese mismo ambiente, el Centro de Cómputos. (fueron desarrollados en la PARTE I de este trabajo. Cabe destacar que, de haberse realizado una correcta auditoría de sistemas e implementado las medidas de control y seguridad adecuadas, daremos el marco de seguridad necesario para realizar la auditoría contable en menos tiempo y con menores costos) 2.6 RIESGOS DE APLICACIÓN 2.6.1 Acceso no autorizado al procesamiento y registro de datos: Riesgo: personas no autorizadas pueden tener acceso a las funciones de procesamiento de transacciones de los programas de aplicación o registros de datos resultantes, permitiéndoles leer, modificar, agregar o eliminar información de los archivos de datos o ingresar sin autorización transacciones para su procesamiento.
12
Medios de control:
segregación de funciones
controles de acceso
Evidencia de control:
segregación de funciones: la prueba de segregación de funciones puede incluir: a. análisis de las responsabilidades de aquellos empleados a quienes se les asignan partes significativas del procesamiento de información. b. observar a los empleados mientras desempeñan sus tareas para determinar si cumplen con las responsabilidades asignadas. Controles de acceso: la verificación de la evidencia de adecuados procedimientos de controles de acceso pueden consistir en: a. obtener, revisar y analizar los perfiles o tablas de seguridad del sistema de control de acceso. b. intentar desplazarse de un menú de aplicación a otro para determinar si existe la posibilidad de realizar funciones incompatibles c. determinar si el paquete de software de seguridad en el cual se deposita confianza ha sido adecuadamente implantado desde el punto de vista técnico. d. determinar la distribución de funciones.
2.6.2 Datos no correctamente ingresados al sistema: Riesgo: los datos permanente y de transacciones ingresados para su procesamiento pueden ser imprecisos, incompletos o ser ingresados más de una vez. Para que las transacciones sean registradas en forma precisa los datos permanente y de transacciones deben tener el formato correcto e incluir los elementos correctos, y las transacciones no deben ser duplicadas. Medios de control: controles sobre la precisión e integridad de los datos ingresados para el procesamiento. Los controles de validación se aplican normalmente cuando los datos son ingresados por el usuario en una terminal. Evidencia de control:
Verificar visualmente que durante el proceso de ingreso de datos se generen listados de excepciones por partidas no aceptadas
Verificar que los empleados autorizados han tomado las medidas necesarias con respecto a las excepciones o errores incluidos en los listados de excepciones de ingreso de datos.
2.6.3 Datos rechazados y en suspenso no aclarados: Riesgo: este tipo de datos pueden no ser identificados, analizados y corregidos en forma oportuna. Ciertas transacciones pueden ser identificadas y rechazadas por los sistemas computadorizados como incorrectas o inaceptables, de acuerdo a criterio prefijados. Las transacciones pueden ser: aceptadas por el sistema y señaladas en un informe de excepción, o destinadas a una cuenta “en suspenso” del sistema en lugar de ser procesadas, o también pueden ser completamente rechazadas. Normalmente cuando los datos son rechazados el sistema no retiene registro alguno de la partida y consecuentemente, el dato rechazado deberá ser controlado manualmente. El usuario es quien debe asegurarse que todas estas transacciones sean luego corregidas. Medios de control: controles sobre las transacciones rechazadas y partidas en suspenso, cuando los datos son rechazados, se deberá crear un registro que los incluya para que posterior corrección y procesamiento puedan ser controlados. Cuando los datos rechazados sean ingresados nuevamente, deberán ser sometidos a los mismos controles de validación que los datos originales.
13
Evidencia de control:
Examinar las conciliaciones entre ingresos y egresos de registros efectuados por los responsables de la aclaración de partidas en suspenso.
Verificar que estos responsables cumplan con los procedimientos de revisión y aclaración de partidas en suspenso, en forma periódica.
Obtener el listado de partidas en suspenso a una fecha dad, seleccionar una muestra y verificar que hayan sido correctamente procesadas con posterioridad.
2.6.4 Procesamiento inoportunos:
y
registración
de
transacciones
incompletos
y/o
Riesgo: las transacciones reales que han sido ingresadas para su procesamiento o generadas por el sistema pueden perderse o ser procesadas o registradas en forma incompleta o inexacta o en el período contable incorrecto. Si el formato de datos es incorrecto o no se ha verificado su consistencia con los archivos de datos existentes, es posible que los registros contables pertinentes sean actualizados en forma incorrecta o incompleta durante el procesamiento. Medios de control:
Controles de procesamiento por lotes y de sesión: basados en la preparación de totales de control de campos de ingreso críticos antes del procesamiento. Estos totales de control son comparados posteriormente con los totales generados por el sistema computadorizado.
Controles de balanceo programados: incorporados al software de aplicación para asegurar la exactitud e integridad de la actualización de archivos y del procesamiento de informes.
Controles de transmisión de datos: producen un cálculo de prueba para ser aplicado a la información incluida en la transmisión.
Controles de reenganche y recuperación: ayudan a evitar la pérdida de transacciones durante el procesamiento si este fuera interrumpido.
Controles de corte programados: evitan un corte incorrecto y generalmente son comparables a controles similares de un ambiente de procesamiento manual.
Controles sobre los datos generados por el sistema: incorporados a los sistemas que generan transacciones o realizan cálculos automáticamente sin un revisión por parte de una persona. Estos controles validan la veracidad y razonabilidad de las transacciones generadas automáticamente y evitan o detectan transacciones erróneas.
Evidencia de control: si se trata de controles por lotes sobre el ingreso de datos y ello es considerado como un control clave, puede probarse su efectividad de diferentes maneras: recalculando los totales de control por lotes a partir de los documentos fuente; probando los procedimiento de cancelación de documentos en vigencia; verificando, para un período seleccionado, que el área de control de datos haya comprobado la secuencia numérica de los lotes hasta su procesamiento final. En el caso de controles de sesión o controles de balanceo programados, sólo podrán ser probados utilizando técnicas de lotes de prueba. 2.7 AUDITORÍAS DE CUMPLIMIENTO Y DE PRUEBAS SUSTANTIVAS. 2.7.1 Pruebas de Cumplimiento.
14
El objetivo de estas pruebas es determinar si el sistema (como sistema en si) y más precisamente respecto de los controles relevados, se comportan en la práctica de acuerdo a como se espera que lo hagan. Técnicas principales: 2.7.1.1 Lotes de prueba Propone que el auditor genere transacciones, a efectos de poner en evidencia qué relación existe cuando esas transacciones se ejecuten en el sistema (sistema real), con respecto a los resultados que se espera produzcan.
-
-
Ventajas: Demanda escasa habilidad técnica del auditor. Permite probar el circuito computarizado y el administrativo. Posibilita una prueba cuasi completa de todas las variantes que se deseen probar. Produce una evidencia completa de los resultados. Desventajas: Exige mucho tiempo dedicado a su elaboración, al menos la primera vez. La prueba completa de todas las alternativas previsibles combinadas, es prácticamente irrealizable. Resulta difícil reproducir el ambiente operativo real. Da una imagen del sistema en el momento de la prueba.
2.7.1.2 Minicompañía Consiste en la incorporación, dentro de los archivos normales de la institución, de registros especialmente ingresados (dados de alta), para finalidades de auditoría. Los resultado obtenidos del proceso de los registros de auditoría, permiten que el auditor exprese la inferencia válida que si la “minicompaía” tiene adecuadamente controlados sus procedimientos, la “compañía” auditada también los tiene.
-
-
Ventajas: Demanda escasa habilidad técnica del auditor. La prueba es concurrente con la operación (en línea u en el mismo ambiente) y es ejecutable varia veces durante un ejercicio comercial, sin preparación previa. Aunque los registros especiales se conocen, el auditor cuenta con la sorpresa de su utilización. Se prueban situaciones de cambio, que el sistema tiene previsto resolver, por el mero transcurso del tiempo. Desventajas: Se pierde integridad de la base de datos. Pueden existir limitaciones impositivas y de otras fuentes reglamentarias. El auditor queda comprometido con el sistema.
2.7.2 Pruebas sustantivas. Esta auditoría trata de obtener los elementos de juicio válidos y suficientes para la emisión del Informe del Auditor. Esta comprobación, se refiere a analizar la información procesada por el sistema. La planificación de esta tarea se orientará para que, en las revisiones, se apliquen criterios de comparación, confirmación y razonabilidad. Técnicas principales: Elaboración de un programa. O sistema de programas, para la ejecución de la actividad. También propone adoptar los programas existentes en la instalación, convenientemente adecuados a los objetivos del auditor.
15
Utilización de software. Específicamente desarrollado para el empleo por parte de los auditores. 2.8 PROCEDIMIENTOS ADMINISTRATIVOS Normalmente estas actividades se desarrollan fuera del ambiente de la Tecnología Informática. Los aspectos que se contemplan son los siguientes: 2.8.1 Informes de Auditoría: El auditor vive de sus informes. Los ítems que debe contener un informe, se expondrán con un criterio amplio y en forma generalizada, respetando los lineamientos de la RT nº 7. 2.8.2 Planeamiento de la Actividad: La toma de conocimiento del Ente y su ambiente podrá acelerarse, si contáramos con documentación que podría solicitarse al cliente, con antelación a la realización de una primera e ineludible visita, para comenzar a idear el Plan de Actividades y el consiguiente presupuesto. El planeamiento de la actividad está referido a establecer un procedimiento racional que nos permita identificar, asignar prioridades para su realización y establecer la naturaleza, extensión y oportunidad, con que deberán ser revisados los distintos aspectos de la Tecnología Informática. Esto es, en la Auditoría sobre el Cumplimiento de los Controles existentes, identificar los Controles generales a revisar y señalar los Sistemas Aplicativos que serán más importantes y representativos, que aporten un mayor valor a la labor de Auditoría. En el caso de las Pruebas Sustantivas identificar en o los rubros de los estados Contables a revisar. 2.8.3 Matriz de Riesgo para los controles: Esta matriz para el análisis de riesgos está planteada para las Pruebas de Cumplimiento, ya que para las Pruebas Sustantivas, se podrá pasar directamente a la etapa de las comprobaciones, considerando que ya se han seleccionado las partidas o rubros del balance a analizar. Esta Matriz entonces, deberá ser elaborada separadamente para: Los Controles Generales y Los Controles sobre las aplicaciones. La información a incluir entonces, que se vuelca en columnas, será la siguiente: Objetivo de control Tratamiento que se prevé le da el sistema o la organización. Riesgo advertido y calificación subjetiva del nivel del riesgo. Recomendación de acciones a emprender para su eliminación o acotamiento, en el corto y mediano plazo. En las filas, se ubicarán los ítems a analizar que serán distintos según los tipos de controles que se analicen. 2.8.4 Matriz para la prueba de controles: La planilla de trabajo que se propone en este ítem, consiste en el agregado de nuevas columnas. Teniendo en consideración los aspectos que se han incluido en la planilla anterior a cada Objetivo de Control, se creará un inventario de los aspectos que se habrán de comprobar. Conviene señalar que, sólo se habrán de comprobar aquellos aspectos que según el relevamiento están considerados por un control dentro del sistema o la organización. Pruebas a realizar: según el conocimiento que se haya logrado del sistema, se desprenderá qué tipo de pruebas se podrán efectuar, de acuerdo con las técnicas de verificación disponibles, con ayuda del computador.
16
La ejecución de la prueba, considerará que el aplicativo a considerar se ha seleccionado en función de su riesgo. Luego de desarrollada la prueba, se completará la Matriz de Prueba antes elaborada, con los siguientes elementos: Observaciones: que recogerá los resultados de las comprobaciones, con el detalle adecuado para que ya se obtengan elementos de juicio, útil para la redacción del Informe. Relación a los papeles de trabajo: que referenciarán a los elementos de la prueba que estarán archivados por separado de la matriz perfectamente ordenados y relacionados. 2.9 PAPELES DE TRABAJO DEL AUDITOR Como corolario de todos los aspectos mencionados, nos resta referirnos a los medios de respaldo que quedan en poder del auditor. Luego que éste ha emitido los documentos resultantes de su actividad. A estos medios de respaldo se los conoce genéricamente como “Papeles de Trabajo”. Papeles de trabajo son todos aquellos objetos, documentos, listados y otras registraciones donde constan las tareas realizadas, elementos de juicio obtenidos y las conclusiones a las que arribó el auditor. Históricamente se han entendido como papeles de trabajo los soportes en papel donde figuran las anotaciones y cualquier otro vuelco de ideas surgidas del trabajo desarrollado. Ante el avance tecnológico estos elementos pueden estar compuestos por otros medios tales como diskettes, cassetes, discos compactos, etc. Siempre que los mismos resulten aptos para sustentar la evidencia que de ellos se pretenda obtener. La RT nº 7 establece en el acápite B –Normas para el Desarrollo de la auditoría, en el ítem Papeles de Trabajo.
17
CONCLUSIONES Si bien la empresa que ha implementado sistemas computadorizados para el proceso de las operaciones diarias de la organización, podría optar por no realizar las auditorías de sistema, tal como hemos descripto en la primera parte de este trabajo. De optar por la opción de no realizarla, al momento de tener que analizar los estados contables debería realizar una innumerable cantidad de pruebas, tanto de cumplimiento como sustantivas, desaprovechando las facilidades y utilidades que hoy pone a disposición la tecnología. Con esto, la empresa incurriría anualmente en costos altísimos tanto por tener un sistema (costo de mantenimiento), en el que no confía, como por tener que analizar la información generada por éste sin considerarlo. De nada sirve implementar este tipo de sistemas si no vamos a realizarles un seguimiento, con control de su funcionamiento, que nos permita verificar que los resultados que nos muestra son útiles para la toma de decisiones. Por otra parte, tampoco es útil que confiemos ciegamente en estos sistemas y no los protejamos de factores externos al mismo como humanos, accidentes, etc, que puedan comprometer su integridad. La importancia de la información que hoy guardamos en el “ciberespacio” y el perjuicio que su pérdida podría causarnos, motiva tomar medidas de seguridad que intenten prevenir este tipo de situaciones.
18
BIBLIOGRAFÍA AUDITORÍA Y SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN – Jorge Nardelli – Editorial Cangallo SA.- Segunda edición 1992 AUDITORÍA: UN NUEVO ENFOQUE EMPRESARIAL – Carlos A. Slosse y otros – Editorial Macchi.- 1990 GUIA PRÁCTICA PROFESIONAL – Lepoldo Cansler.- Primera Edición, agosto 2003 KENNETH C. LAUDON New York University JANE P. LAUDON Azimuth Information Systems SISTEMAS DE INFORMACIÓN GERENCIAL: Organización y tecnología de la empresa conectada en red - 6ta edición, Pearson educación CECYT FEDERACIÓN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONÓMICAS. INFORME NRO. 6. Auditoría de Estados Contables en un contexto computadorizado.- Primera Edición 1986 CECYT FEDERACIÓN ARGETNINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONÓMICAS. Informe Nro. 15 CECYT “Auditoría en ambientes computadorizados” RT Nro. 7 – FACPCE (1985)
19
ANEXO – NORMATIVA APLICABLE
RT Nro. 7 – FACPCE (1985) Las normas incluidas en este informe abarcan aquellas aplicables a la auditoría en general y, en particular, las concernientes a la auditoría externa de los estados contables, con la finalidad de asegurar un necesario grado de confiabilidad de la información contable. Informe Nro. 6 CECYT “Pautas para el examen de estados contables en un contexto computadorizado” Brinda un conjunto de pautas referenciales para la evaluación de las actividades de control (control interno) y la obtención de evidencia en un contexto computadorizado, como tareas integrantes del examen de estados contables destinado a emitir un informe sobre la razonabilidad con la que éstos presentan la situación del ente. Informe Nro. 15 CECYT “Auditoría en ambientes computadorizados” Este informe tiene como finalidad facilitar la comprensión de los procedimientos de auditoría en ambientes computadorizados para obtener comprobaciones válidas y suficientes respecto de las afirmaciones contenidas y la información expuesta en los estados contables. También desarrolla procedimientos para evaluar el cumplimiento de los controles, la detección de riesgos y la validez de los saldos en los ambientes en los que se utilizan los Sistemas de información contable.
20
