MÓDULO DE AUDITORÍAMÓDULO DE AUDITORÍA

TEMA 18A dit í T l í d l I f ióAuditoría en Tecnología de la Información

Introducción

• De conformidad con las Normas de Auditoría relativas a la ejecucióndel trabajo, "el auditor debe efectuar un estudio y evaluaciónadecuados del control interno que le sirva de base para determinar el

d d fi d it él i i lgrado de confianza que va a depositar en él; asimismo, que lepermita determinar la naturaleza, extensión y oportunidad que va adar a los procedimientos de auditoría“

• Análisis y la comprensión de los métodos que se utilizan paraprocesar la información financiera

• C ando la TI forma parte del control interno contable (ambiente de• Cuando la TI forma parte del control interno contable (ambiente deTI) y de éste se deriva información sujeta a examen, el auditor deberealizar su estudio y evaluación y como resultado de dicho trabajo,deberá documentar adecuadamente sus conclusiones sobre el efectode la TI en sus pruebas de auditoríade la TI en sus pruebas de auditoría,

Al l f l d l l i bl id l TIAlcance al efectuar el examen del control interno establecido en la TI

• Depende de la importancia de las aplicaciones en el proceso de lainformación financiera.

• El objetivo y alcance general de una auditoría no cambia en un ambiente deTI, sin embargo, el uso de una computadora modifica la entrada de datos, elprocesamiento, almacenamiento y comunicación de la información financieray puede afectar los sistemas de contabilidad y de control interno empleadosy puede afectar los sistemas de contabilidad y de control interno empleadospor la entidad.

• Por lo tanto un ambiente de TI puede afectar:

Los procedimientos seguidos por el auditor para comprender los sistemas decontabilidad y de control interno.La consideración del riesgo inherente y del riesgo de control a través de la cual elauditor realiza la evaluación del riesgo específico del negocio. También puedetener un efecto en la determinación del riesgo de error o fraude de importanciatener un efecto en la determinación del riesgo de error o fraude de importancia.El diseño y desarrollo de pruebas de control y de procedimientos sustantivosadecuados para cumplir con el objetivo de la auditoría y el tipo de evidencia quedeberá reunirse para lograr conclusiones.La decisión de apoyarse en especialistas.p y p

Efectos de un ambiente de TI en la planeación de auditoría

• Al planear, el auditor debe obtener una comprensión de la importancia ycomplejidad de las actividades de la TI. Esta comprensión puede incluirasuntos como:asuntos como:

La complejidad del procesamiento computarizado en cada aplicación decontabilidad. Se puede considerar como compleja una aplicación, por ejemplocuando

El volumen de transacciones es tal que los usuarios encontrarían difícil identificar ycorregir errores en el procesamiento.

La computadora automáticamente genera transacciones o entradas de datos deimportancia relativa, directamente a otra aplicación.

La computadora desarrolla cálculos complicados de información financiera y/ot áti t t i t d d i t i l tiautomáticamente genera transacciones o entradas de importancia relativa que no

pueden ser (o no son) validadas independientemente.

Efectos de un ambiente de TI en la planeación de auditoríaEfectos de un ambiente de TI en la planeación de auditoría

Las transacciones otras entidades (sucursales, compañías relacionadas, Internet,etc.).

La administración confía en la información que genera la aplicación para la toma dedecisiones,

La generación de información para terceros, o la prevención de fraude.

Se poseen sistemas integrados.

Se depende de la seguridad y/o de los controles del sistema, (autorización, registro,proceso y reporte de transacciones con impacto financiero).proceso y reporte de transacciones con impacto financiero).

La estructura organizacional de las actividades de TI

El grado de concentración o distribución del procesamiento por computadora.El grado de concentración o distribución del procesamiento por computadora.

La disponibilidad de información, (breve tiempo o de lectura)

La naturaleza de los riesgos y las características del control interno en un ambiente de TIun ambiente de TI 

E d id d i t d t iEsquemas de seguridad y registro de transacciones.

Procesamiento uniforme de transacciones.

Falta de segregación de funciones.

Falta de evidencia en las transacciones (Bitacoras)

Manejo adecuado del desarrollo y/o actualización de programas

La naturaleza de los riesgos y las características del control interno en un ambiente de TI 

Errores e irregularidades potenciales. (perfiles)

Disminución de la participación del personalDisminución de la participación del personal. 

Iniciación o ejecución de transacciones. (de manera automática)

Dependencia de otros controles del procesamiento por computadora(excel Reporteadores).

Riesgos específicos en el control interno en TIRiesgos específicos en el control interno en TI

• Dependencia de los sistemas o programas (DRP)Dependencia de los sistemas o programas. (DRP)

• Acceso no autorizado (destrucción o modificaciones indebidas deinformación).

• Modificaciones no autorizadas.

D j d f difi i i i• Dejar de efectuar modificaciones necesarias a sistemas o programas.

• El tratamiento de rechazos en los procesos periódicos o de cierre.

Riesgos específicos en el control interno en TIRiesgos específicos en el control interno en TI

• Para reducir el riesgo de auditoría el auditor debe:

• Conocer y documentar los controles generales .E l i di h t l l tá d t bl• Evaluar si dichos controles cumplen con estándares aceptables.

• Seleccionar los controles generales clave.• Probar los controles generales clave.• Concluir acerca del efecto de las debilidades de control identificadas, si lashubiera, en la naturaleza, alcance y oportunidad de otros procedimientosde auditoría.

Los controles generales de TILos controles generales de TI

• Seguridad física y ambiental

• Controles de organización y administración

• Desarrollo de sistemas de aplicación y controles de mantenimiento

• Controles de operación de computadoras y de seguridadControles de operación de computadoras y de seguridad

• Controles de software de sistemas

• Controles de entrada de datos y programas (control de acceso

Controles de aplicaciónControles de aplicación 

• Controles sobre los datos de entrada

• Controles sobre el procesamiento y sobre los archivos de datos de la computadora

• Los controles sobre los datos de salida

• Las restricciones sobre el acceso de los usuarios a las funciones de procesamiento de transacciones o a los registros de datos resultantes

• Los controles de aplicación de TI que el auditor puede desear probarLos controles de aplicación de TI que el auditor puede desear probar incluyen:– Controles manuales ejercidos por el usuario 

– Controles sobre los datos de salida del sistemaControles sobre los datos de salida del sistema

– Procedimientos de control programados 

R i ió d t l i t d tid d tili i i dRevisión de control interno de entidades que utilizan organizaciones de servicio". 

• Selección del centro de cómputo• Contrato de servicio• Control de los datosControl de los datos• Personal –

– La relación con el centro de cómputo, así como el envío de la documentación, recepción y revisión de la información debe estar p yasignada a personal competente.

• Otros controles – En general, la empresa que contrate servicios de TI a través de un 

centro de cómputo externocentro de cómputo externo