Auditoria de Sistemas

Planificación
De las Tareas
De Auditoría

MBA Luis Elissondo

Concepto Básico 2 - Integrac con el
Flujo de los Procesos de Neg.

PERSONAS

Flujo Trabajo

Flujo Información

TECNOLOGIA
Control Interno – Intercambios

Empleados Proveedores Clientes

Contratac. Compras Ventas

Pagos Pagos Cobros

Empresa
 Ciclo de vida de la Información

Eliminación
Generación

Registro Modificación / Consulta

 Concepto Básico 1
Que es un SI
Clientes Bancos Proveedores

Sistema de Información

Entrada Proceso Salida

Almc
AFIP ARBA Accionistas Competidores
Actividades de Control
COBIT – Recursos.TI
Componentes
Comprensión del impacto del ambiente
SIC - Planeación
Disponibilidad de los datos
Acceso a documentos fuente
Archivos de datos
Reportes de la propia área SIC.
Posibilidad de utilizar herramientas de
auditoría computadorizadas.
Comprensión del impacto del ambiente
SIC - Planeación
Falta de rastros transaccionales.
Vigencia de la transacción.
Pasos intermedios de procesamiento.
Problemas de lógica en los programas.
Falta de procesamiento uniforme de
transacciones (errores no uniformes)
Comprensión del impacto del ambiente
SIC - Planeación
Falta de segregación de funciones generadas por
el propio ambiente SIC ó en el ambiente SIC
(modificación de programas).
Potencial para errores e irregularidades.
Error humano en el desarrollo, matenimiento y ejecución
de SIC impacta con mayor fuerza.
Menor participación humana en los procesos puede
reducir la capacidad de detectar errores.
Comprensión del impacto del ambiente
SIC - Planeación
Generación automática de transacciones que
puede no quedar documentadas. (generación
automática de descargas de stock).
Dependencia de otros controles al procesamiento
por computadora. (listados de control)
Falta de utilización del potencial del ambiente SIC
para realizar mayores controles.
Falta de utilización de técnicas asistidas por
computadora.
 Evaluación de Riesgos del
ambiente SIC
Riesgos ocasionados en deficiencias en
actividades generales del SIC.
Desarrollo de Aplicaciones
Mantenimiento de Aplicaciones
Operación de Aplicaciones
Seguridad Física y Lógica
Riesgos de Aplicaciones Específicas:
Errores en Archivos ó Bases de Datos
Cálculos Complejos
Condiciones de Excepción
 Evaluación de Riesgos del
ambiente SIC
Impacto de nuevas tecnologías.
Redes
Bases de Datos Distribuidas
Procesamiento por el usuario final
Información automática de movimientos contables
Sistemas Integrados
Comprensión del impacto del ambiente
SIC - Planeación
Importancia y complejidad del procesamiento en
cada operación importante de contabilidad .
Volumen de las transacciones.
Generación automática de transacciones.
Cálculos complejos.
Intercambio de transacciones con otras organizaciones.
Estructura organizacional del ambiente SIC y
grado de descentralización del procesamiento.
Ciclo de Calidad de la Auditoria

Retroalimentación

PLANIFICACION EJECUCION

MEJORA MEDIDA
Fases del proceso de Auditoria

• Fase de preparación (desde selecc. del

equipo hasta recopilación de inf.)
• Fase de ejecución (reunión inaugural,
recolec.de inf. y análisis de la misma)
• Fase de información (conclusiones en
un informe final - reuniones)
• Fase de cierre ( seguimiento y
evaluación de las acciones adoptadas)
 Fase de preparación

• Definir el propósito de la auditoria

• Definir el ámbito de la auditoría
• Recursos que se van a aplicar
• Identificar la autoridad de la auditoria
• Identificar normas que se utilizaran
• Contactar al auditado
• Listas de comprobación
• Conocer los sistemas de control
 Propósito de la auditoria

• Que es lo que quiere conseguir el

cliente con la auditoria?
• Se desea verificar el cumplimiento?
• Se desea verificar la eficacia de los
métodos de control?
• Se desea verificar la eficiencia de
los métodos?
 Ámbito

• Barrido General
• Totalidad de un sistema
• Parte de un sistema
• Participación en la etapa de
desarrollo de sistemas
 Equipo auditor

• Una sola persona?

• Trabajo en equipo (equilibrio)
• No más de 6 miembros
• Es conveniente incorporar
alguien externo a la
organización
 Autoridad

• Comunicar adecuadamente para evitar

perdidas de tiempo y ocultamientos

• Conferirle legitimidad a través de la

comunicación elimina resistencias
 Normas de comportamiento

• Son las normas que sustentan la

operatoria a auditar
• Deben ser claras, concisas y sin
ambigüedades.
• Las normas son la medida
necesaria para realizar la auditoria.
 Comunicación

• Contacto inicial (darle a conocer al

auditado propósito y ámbito de la
auditoria.)
• Notificación formal (ámbito,
propósito, normas, actividades a
auditar, antecedentes,
identificación programación
preliminar)
 Listas de comprobación

• Sistemas seleccionados
• Sirve de guía
• Sirve para tomar nota de los
resultados de los exámenes
 Evaluación

• Determinar con exactitud la validez

de las normas de comportamiento

• Obtener un mejor conocimiento de

la actividad del auditado para
mejorar la fase de ejecución.
 Fuentes de información

• Examen
• Confirmación
• Documentación
• Observación
• Preguntas
• Comparaciones y relaciones
 Resumen

La fase de preparación debe producir:

• Plan de auditoria
• Lista de comprobación
• Acuerdos con el auditado
• Evaluación inicial
• Plan para recoger evidencias
 El plan debe contener

• Objetivos del trabajo

• Aspectos fundamentales de control
interno
• Procedimientos de auditoria a aplicar,
momento y responsable
• Alcance que se le debe dar al trabajo
para poder expresar opinión.
 Como decidir que auditar

• Verificación de la situación en materia de

seguridad
• Valuación de los activos
• Identificación de las posibles amenazas
• Posibilidad de ocurrencia de cada amenaza
• Cuantificación de la pérdida
• Determinación de las exigencias y realización
de las recomendaciones
 Valorización de datos

• Valor estratégico de los datos

• Valor comercial
• Responsabilidad Legal
• Situación difícil
• Potencial de Fraude
• Costo de creación/reconstrucción
• Disponibilidad
 Tareas de auditoria

• Organigrama de Centro de Cómputos

• Analizar tareas desarrolladas por cada
área funcional
• Analizar descripción de funciones
• Recomendaciones
• Posible reestructuración
 Empresa pequeña

• Analizar controles y prácticas

administrativas en vigencia
• Si la instalación es muy mínima se debe
evaluar recurrir a procedimientos de
auditoria convencionales.
 Análisis y Programación

• Preauditoria: durante la etapa de

desarrollo
• Postauditoria: controles existentes en la
aplicación
Establecimiento de estándares

• Control de calidad
• Uniformidad del producto terminado
• Claridad
• Reducción de costos
• Intercambio de información
• Evaluación
• Comunicación
• Manual de estándares
 Procedimientos de revisión

• Etapas o fases del desarrollo de

sistemas ( metodología)
• Estudio de normas establecidas para el
análisis y programación
• Niveles establecidos para la aprobación
de cada fase
• Grado de interv. de la audit. int. y usuar
• Existencia de documentación.
 Proced. de revision (cont.)

• Constancia de lo examinado en los

papeles de trabajo
• Solicitar documentación de sistemas y
examinarla
• Tomar nota de los estándares fijados
• Modificaciones a los programas
 Tarea de Reflexion
Identifique los posibles riesgos de
los siguientes sistemas:
•Sistema Presupuestario
•Sistema de RRHH
•Sistema de Compras
•Sistema de Alumnos
•Sistema de Información Gerencial
•Sitio WEB
 Tarea de Reflexion
Que pasos seguiría en la
auditoría de sistemas?
Que sistemas revisaría?
Como formaría su equipo de
trabajo?
Que información recabaria para
el caso del sistema de RRHH?
Conclusiones y Preguntas