auditoria unidad2

8/8/2019 Auditoria Unidad2

1/19

Auditora de Sistemas y Legislacin Mg. Elsa Estvez 2do. Cuatrimestre de 2006.

Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur

Las transparencias son una gua para los temas presentados en clase. Se recomienda la lectura de la bibliografa correspondiente.

Planificacin de una AuditoraPlanificacin de una Auditora

Departamento de Ciencias e Ingeniera de laComputacin

T. 2

Felicitaciones!!! Lo han designado Gerente del Departamentode Auditora de la Empresa X.

La empresa posee:

520 programadores y analistas

1245 PCs conectadas en red

5378 bases de datos.

Pregunta: cmo puede ejecutar la auditora, de tal formade obtener una seguridad razonable sobre:

1) la salvaguarda de activos en el procesamiento de datos,

2) integridad de los datos,

3) la eficiencia y eficacia de los sistemas ?

Motivacin

T. 3

Solucin

Implementar sistemas de control.

1) saber qu es un control y cmo funcionan los controles

2) determinar qu controlar

3) estimar la confiabilidad de los controles

4) estimar el riesgo de la auditora

T. 4

La Naturaleza de los Controles

Hay tres aspectos claves en esta definicin:

1) un control es un sistema

2) eventos ilegales

3) los controles son usados para prevenir, detectar ocorregir eventos ilegales.

Definicin.

Un control es un sistema que previene, detecta, o corrigeeventos ilegales.

T. 5

Un Control es un Sistema

Una password, es un control ?

Habitualmente, tendemos a nombrar los controles, teniendo encuenta slo un aspecto del control.

Una password se convierte en control, slo en el contexto deun sistema que asegure:

1) seguridad para elegir passwords,

2) correcta validacin de passwords,

3) almacenamiento seguro de las passwords,

4) seguimiento en el uso indebido de passwords

5) ...

T. 6

Se Controlan Eventos Ilegales

Cmo puede surgir un evento ilegal?

1) si se ingresan al sistema inputs no autorizados,inexactos, incompletos, redundantes, ineficaces oineficientes,

2) si el sistema transforma el input de una manera noautorizada, inexacta, incompleta, ineficiente o ineficaz

Ejemplos:

1) inputs incorrectos en un programa interactivo.

2) un programa que contiene instrucciones errneas queresultan en una ejecucin incorrecta.


2/19




T. 7

Ejemplos de Tipos de Controles

Control Preventivo: instrucciones de cmo completar unformulario.

Nota: las instrucciones no son el control.

Control Detectivo: un programa que valida datos de input,rechazando los errneos.

Control Correctivo: un programa que detecta el ruido encomunicaciones y permite corregir datos corruptos.

T. 8

Objetivo de la Auditora

Reducir las prdidas esperadas por eventos ilegales mediante:

1) controles preventivos: reducen la probabilidad que estoseventos ocurran.

2) controles detectivos y correctivos: reducen la cantidad deprdidas cuando los eventos ilegales ocurren.

La tarea del auditor es determinar si los controles estn ubicados yfuncionan para prevenir los eventos ilegales.

T. 9

Cmo administrar la complejidad

Para administrar la complejidad, se sugiere:

1) factorizar el sistema en subsistemas

2) determinar la confiabilidad de cada subsistema, y lasimplicancias de cada uno de ellos en el nivel deconfiabilidad general del sistema.

T. 10

Factorizacin

El primer paso para comprender un sistema complejo esparticionarlo en subsistemas.

Un subsistema es un componente de un sistema que:

1) realiza ciertas funciones bsicas necesarias para elsistema en general,

2) le permite atender sus objetivos fundamentales.

Los subsistemas son componentes lgicas y no fsicas.

El proceso de particionar en subsistemas se denomina

factorizacin.

T. 11

Cmo Factorizar

Para poder factorizar, se necesita un criterio.

Criterio: La esencia de un subsistema es la funcin que realiza.

Los auditores deben identificar primero, las principalesfunciones que el sistema realiza para cumplir sus objetivos.

El proceso de factorizacin termina cuando se ha particionadoel sistema en partes lo suficientemente pequeas, de tal modoque puedan ser entendidas y evaluadas.

T. 12

Otros Criterios para Factorizar

Adems de las funciones, existen otras dos guas:

1) acoplamiento

2) cohesin


3/19




T. 13

Acoplamiento

Cada subsistema debera ser relativamente independiente de

otros subsistemas.

Si esto se cumple, el subsistema est poco acoplado.

Sistemas con poco acoplamiento son ms fciles de comprender.

T. 14

Cohesin

Cada subsistema debe ser internamente cohesivo.

Todas las actividades realizadas por el sistema apuntan acumplir la funcin principal del subsistema.

funcin A

funcin B

funcin CFuncin ABC

T. 15

Acoplamiento y Cohesin

Se debe lograr: mxima cohesin y mnimo acoplamiento.[Coad-Yourdon]

Si no es as, intentar otra factorizacin.

Maximizar la cohesin implica minimizar el acoplamiento.

Minimizar el acoplamiento implica maximizar la cohesin.

T. 16

Formas de Factorizacin

1) funciones gerenciales: las funciones que se deben realizarpara asegurar que el desarrollo, la implementacin,operacin y mantenimiento de los sistemas de informacinproceden de una forma planificada y controlada.

2) funciones de aplicacin: tareas que son necesarias ejecutarpara realizar un procesamiento de informacin confiable.Relacionado con ciclos.

T. 17

En Base a Funciones Gerenciales 1

Subsistema Gerencial Descripcin

Alta gerencia Debe asegurar que las funciones de losSI estn bien administradas.

Decisiones de polticas a largo plazo decmo sern usados los SI.

Gerencia de Sistemasde Informacin

Responsabilidad general de planificar ycontrolar todas las actividades de losSI.

Aconseja a la alta gerencia de lasdecisiones polticas de largo plazo y lastraduce en metas y objetivos de cortoplazo.

T. 18



Gerencia deDesarrollo deSistemas

Responsable del diseo, implementaciny mantenimiento de los sistemas.

Gerencia deProgramacin

Responsable de la programacin denuevos sistemas, mantenimiento de losviejos y soporte general.

Administracin deDatos

Responsable de lograr los objetivos deplanificacin y control en relacin al usode los datos de la organizacin.


4/19




T. 19



Gerencia deAseguramiento deCalidad

Responsable de asegurar que eldesarrollo, operacin y mantenimientode los sistemas es conforme a losestndares de calidad establecidos.

Administracin deSeguridad

Responsable por los controles de accesoy seguridad fsica de las funciones de losSI.

Gerencia deOperaciones

Responsable de la planificacin y controlde las operaciones diarias.

T. 20

Funciones Aplicativas 1

Los sistemas de informacin que soportan una organizacin,se dividen en ciclos.

Los ciclos varan de acuerdo al tipo de organizacin: industria,entidad financiera, etc.

En general incluyen:

1) ventas y cobranzas,

2) administracin de personal, sueldos y jornales,

3) compras y pagos,

4) produccin, inventario y almacenaje,

5) tesorera (contabilidad).

T. 21

Funciones Aplicativas 2

Cada ciclo es factorizado en uno o ms sistemas de aplicacin.

Ejemplo: Ventas puede subdividirse en:

1) captura de pedidos

2) facturacin

El conjunto de subsistemas de aplicacin incluyen lo siguiente:

T. 22

En Base a Funciones Aplicativas 1

Subsistema deAplicacin

Descripcin

Limtrofe Componentes que establecen lasinterfaces entre el usuario y el sistema.

Input Componentes que capturan, preparan eingresan comandos y datos al sistema.

Comunicaciones Componentes que transmiten datosentre los subsistemas y sistemas.

T. 23

En Base a Funciones Aplicativas 2

Subsistema deAplicacin

Descripcin

Procesamiento Componentes que realizan toma dedecisiones, clculos, clasificacin,ordenamiento y sumarizacin de datos

dentro del sistema.

Base de Datos Componentes que definen, agregan,acceden, modifican o eliminan datos.

Output Componentes que buscan y presentan losdatos al usuario.

T. 24

Confiabilidad de Subsistemas

Primero: determinar el menor nivel de los subsistemas.

Segundo: evaluar la confiabilidad de los controles en cadasubsistema.


5/19




T. 25

Confiabilidad de Controles

Para evaluar la confiabilidad de los controles:

1) se deben identificar todos los posibles tipos de eventos quepueden ocurrir en el subsistema.

2) se deben considerar todos los eventos vlidos o ilegales.

Para identificar los eventos, hay que considerar las principalesfunciones que realiza el subsistema.

T. 26

Considerar las Principales Funciones

Para cada funcin:

1) analizar cmo debera realizarse2) evaluar cmo el subsistema cumple con esa visin

normativa.

Para determinar si un evento es legal o ilegal se debenconsiderar las transacciones que pueden ocurrir como input alsubsistema.

Todos los eventos en un sistema de aplicacin deben surgir deuna transaccin.

T. 27

Eventos y Transacciones

Cuando un evento ocurre, el sistema recibe una transaccinde input.

Cuando la transaccin se recibe como input el sistema cambiade estado.

Otros cambios de estado ocurren a medida que el sistemaprocesa la transaccin. Ejemplo: toma de pedidos.

Para identificar todos los eventos que pueden ocurrir en unsistema como resultado de la transaccin, se debe entendercmo el sistema procesa la transaccin.

T. 28

Procesamiento de Transacciones

Generalmente los auditores aplican tcnicas de walk-through:

1) se considera una transaccin particular,

2) se identifican todos los componentes del sistema queprocesan la transaccin

3) se trata de entender cada paso de procesamiento queejecuta cada componente

4) se considera cualquier error o irregularidad (evento ilegal)que pueda ocurrir en el camino.

T. 29

Clases de Transacciones

Generalmente es muy costoso realizar este proceso para todas

las transacciones.

Por eso, se trabaja con clases de transacciones:

1) se agrupan transacciones que tengan un procesamientosimilar,

2) se trata de entender estas transacciones, y los eventos quepuedan surgir como resultado de estas transacciones comogrupo,

3) se tratan slo aquellas transacciones que se consideranimportantes para los objetivos de la auditora.

T. 30

Qu eventos?

Usando esta tcnica, no se identifican todos los eventos quepuedan surgir en un sistema.

A pesar de esto, los auditores deberan examinar todasaquellas transacciones y eventos que consideren importantes.

Una vez que se han identificado los eventos que puedenocurrir, los auditores deben evaluar:

1) si los controles estn correctamente ubicados, y

2) si funcionan para detectar eventos ilegales.


6/19




T. 31

Confiabilidad de los Controles 1

Los auditores deben recolectar evidencias sobre la existencia yconfiabilidad de los controles, para determinar si las prdidas

por los eventos ilegales se reducen a niveles aceptables.

Para cada evento ilegal, considerar:

1) cmo los controles cubren a este tipo de evento,

2) cunto de confiable son los controles,

3) si puede ocurrir un error material o una irregularidad.

T. 32

Se publican listas que ayudan a realizar esta tarea.

Estas listas muestran por ejemplo:

1) las cadas en los sistemas de informacin,

2) errores e irregularidades que ocurren en diferentes tipos detransacciones.

Las listas muestran los controles que se pueden realizar para

reducir las prdidas esperadas por estos errores o irregularidades.

Confiabilidad de los Controles 2

T. 33

Confiabilidad de Controles: Ejemplo

Efectividad del Control:

A: Alta M: Moderada B: Baja

T. 34

Estimar la Confiabilidad

La evaluacin de la confiabilidad procede de abajo hacia arribaen el nivel de estructura de los sistemas.

Los subsistemas de menor nivel son componentes de los demayor nivel.

Cuando se haya evaluado la confiabilidad de los subsistemasde menor nivel, se puede analizar:

1) el impacto

2) la naturaleza, y

3) la frecuencia de los eventos ilegales

en los sistemas de mayor nivel.

T. 35

Estimar la Confiabilidad: Pasos

En cualquier nivel de la estructura, los pasos de evaluacin son:

1) identificar las transacciones que ingresan al sistema.

2) considerar los eventos legales e ilegales que puedanocurrir.

3) asegurar la confiabilidad de los controles que detectanlos eventos ilegales.

T. 36

Detectar Nuevos Controles

A medida que se evaluan los sistemas de ms alto nivel, sepueden encontrar nuevos controles debido a:

1) Los controles en sistemas de bajo nivel puedenfuncionar mal. Ejemplo: se divide el trabajo en varias

personas y un superior controla el funcionamientogeneral.

2) Podra ser ms efectivo en costos implementarcontroles a alto nivel. Ejemplo: en lugar de que cadauno controle su trabajo, un superior aleatoriamentesupervisa el trabajo por muestreo.

3) Algunos eventos no se manifiestan como ilegalesexcepto en los niveles altos. Ejemplo: consultas a unabase de datos sin violar confidencialidad.


7/19




T. 37

Riesgos de la Auditora

Recordemos los objetivos de la auditora:

1) salvaguardar activos2) asegurar integridad de los datos

3) asegurar que los sistemas son efectivos

4) asegurar que los sistemas son eficaces

Para poder cumplir con los objetivos, se debe recolectarevidencia.

Para esto, se debe medir, y se podra fallar al detectar lasprdidas materiales reales o potenciales.

T. 38

Definicin de Riesgo

Definicin

El riesgo de auditora es el riesgo de que un auditor fracaseal detectar las prdidas materiales reales, o potenciales, olos registros incorrectos.

RDA = RI * RC * RD

RDA: Riesgo Deseado de Auditora

RI: Riesgo Inherente

RC: Riesgo de Control

RD: Riesgo de Deteccin

T. 39

Tipos de Riesgo 1

1) Riesgo Deseado: el riesgo que se desea correr.

2) Riesgo Inherente: refleja la probabilidad que una prdida

material o una imputacin errnea exista en algn

segmento de la auditora, antes de que sea considerada la

confiabilidad de los controles internos.

T. 40

Tipos de Riesgo 2

3) Riesgo de Control: refleja la probabilidad que en algn

segmento de la auditora, los controles internos no

prevengan, detecten o corrijan prdidas materiales o

imputaciones errneas que puedan surgir.

4) Riesgo de Deteccin: refleja la probabilidad que los

procedimientos de auditora utilizados en algn segmento,

fallen en detectar prdidas materiales o imputaciones

errneas.

T. 41

Pasos para una Auditora

Para planificar, se debe tener en cuenta:

1) la naturaleza de los controles

2) la reduccin de la complejidad mediante la factorizacin

3) los riesgos

4) los tipos de procedimientos de auditora

Notas:

1) algunos pasos se pueden realizar en paralelo

2) la auditora puede ser tanto externa como interna

T. 42

1) Riesgo Deseado de Auditora

Primero los auditores eligen el nivel de RDA.

Evalan las consecuencias de fracasar en detectar las prdidasmateriales reales o potenciales.


8/19




T. 43

2) Riesgo Inherente

Luego, consideran el nivel de RI.

Los auditores consideran factores generales tales como:

1) la naturaleza de la organizacin (la posicin en elmercado),

2) la industria en la que opera (la industria est sujeta acambios rpidos?)

3) las caractersticas del gerenciamiento (es agresivo yautocrtico?)

4) intereses contables y de auditora (se usan tcnicas?)

T. 44

2) Riesgo Inherente de Sistemas

Se consideran luego los RI asociados con diferentes segmentos

de la auditora (ciclos, sistemas de aplicacin, ...).

Para cada segmento, se consideran factores tales como:

1) sistemas financieros

2) sistemas estratgicos

3) sistemas de operacin crtica

4) sistemas de tecnologa avanzada

T. 45

Sistemas Financieros

Proveen controles financieros sobre los principales activos de la

organizacin.

Poseen alto RI.

Son el blanco de acciones delictivas y fraudes.

Ejemplo: sistema de facturacin.

T. 46

Sistemas Estratgicos

Proveen ventajas competitivas para la organizacin.

Comprometen clientes, proveedores, secretos de marca.

Tienen alto RI.

Son blanco de espionaje industrial, o acciones indebidas de la

competencia.

Ejemplo: el sistema que soporta la operatoria comercial de la

empresa.

T. 47

Sistemas de Operacin Crtica

Aquellos sistemas que pueden paralizar a la organizacin si

fallan.

Generalmente tienen alto RI.

Ejemplo: sistemas de control de produccin, sistemas de

reservas.

T. 48

Sistemas de Tecnologa Avanzada

Sistemas que usan tecnologa de punta.

Tienen alto RI, debido a la falta de experiencia en ese tipo de

sistemas.


9/19




T. 49

3) Riesgo de Control

Para evaluar el nivel de RC asociado con cada segmento de laauditora, se debe considerar la confiabilidad de los controlesgerenciales y de aplicacin.

Generalmente, se identifican y evalan primero los controles enlos subsistemas gerenciales.

T. 50

Controles Gerenciales 1

Los controles gerenciales actan como capas de cebollaprotectivas, por encima de los controles de aplicacin.

Cont.Sist.

Aplicac.

Alta Gerencia

Gerencia de Sistemas de Informacin

Gerencia de Desarrollo de Sistemas

Gerencia de Programacin

Administracin de Datos

Aseguramiento de Calidad

Administracin de Seguridad

Gerencia de Operaciones

...

...

T. 51

Controles Gerenciales 2

El buen nivel de los controles externos garantizan el nivel de

los controles internos.

Los controles gerenciales se evalan en general, y no para

cada aplicacin.

T. 52

Riesgo Deseado

Finalmente, se calcula el nivel de RD que se debe lograr para

cumplir con el RDA.

Se disean procedimientos de recoleccin de evidencia para

intentar lograr el nivel de RD.

En general:

1) los auditores no recolectan la cantidad de evidencia queellos desearan

2) deben ser astutos para determinar en dnde aplicar losprocedimientos de auditora, y cmo interpretar laevidencia recolectada.

T. 53

Procedimientos de Auditora

Existen diferentes procedimientos de auditora, dependiendo

de lo que se desee controlar:

1) determinar si ocurrieron prdidas materiales o la

informacin financiera es errnea

2) determinar la eficiencia y eficacia de las operaciones

T. 54

Prdidas o Informacin Errnea

A fin de recolectar evidencia, para determinar si ocurrieron

prdidas materiales o la informacin financiera es errnea, se

usan los siguientes procedimientos:

1) procedimientos para comprender los controles2) testeo de controles

3) testeos substantivos de detalle de transacciones

4) testeos substantivos de detalle de balances contables

5) procedimientos de revisin analtica


10/19




T. 55

Comprender los Controles

Los procedimientos incluyen:

1) cuestionarios,2) inspecciones,

3) observaciones

Para determinar:

1) si los controles existen,

2) analizar cmo estn diseados,

3) si funcionan.

T. 56

Testeo de Controles

Son para evaluar si los controles estan actuando efectivamente.

Ejemplos:

1) cuestionarios

2) inspecciones

3) observaciones

4) reprocesos

T. 57

Detalle de Transacciones

Los testeos substantivos de detalle de transacciones estandiseados para detectar:

1) errores monetarios o

2) irregularidades

en transacciones que afectan los estados financieros.

Ejemplo: controlar la facturacin

T. 58

Detalle de Balances Contables

Los tests substantivos de detalle de balances contables se

focalizan en los registros contables finales, en el balance.

Ejemplo: se puede circularizar a una muestra de clientes para

controlar que los saldos registrados sean correctos.

T. 59

Revisin Analtica

Los procedimientos de revisin analtica se focalizan en lasrelaciones entre los items de datos.

El objetivo es identificar reas que requieran un trabajo de

auditora posterior.

Ejemplo: medir ingresos por ventas durante un perodo.

T. 60

Eficiencia y Eficacia

Para determinar la eficiencia y eficacia de las operaciones se

utilizan tipos de procedimientos similares:

1) procedimientos para comprender los controles

2) testeo de controles

3) testeos sustantivos de detalle de transacciones.

4) testeos sustantivos de resultados generales - la nocin debalances contables no es aplicable en este caso. Ejemplo:testeos de performance.

5) procedimientos de revisin analtica. Ejemplo: modelos desimulacin.


11/19




T. 61

Orden de los Testeos

El orden de los testeos de menos costosos a ms costosos es:




4) testeos sustantivos de detalle de transacciones

5) testeos sustantivos de resultados generales/balancescontables

El orden es a la inversa si se evala la confiabilidad y elcontenido de la informacin de la evidencia provista por losprocedimientos.

T. 62

Pasos de una Auditora

T. 63

Planificacin de una Auditora

La primera etapa es la planificacin.

Las tareas que se realizan en la etapa de planificacin varandependiendo si es una:

1) auditora interna

2) auditora externa

T. 64

Auditora Interna

La etapa de planificacin incluye:

1) asignar personal adecuado a las auditoras

2) obtener informacin del cliente

3) realizar procedimientos de revisin analticos paracomprender el negocio del cliente

4) identificar reas de riesgo

Los auditores internos se preocupan por el tamao de lasprdidas que pudiera haber por operaciones ineficientes oineficaces.

T. 65

Auditora Externa

La etapa de planificacin incluye:

1) investigar nuevos clientes

2) asignar personal adecuado a las auditoras

3) obtener el contrato

4) obtener informacin del cliente

5) realizar procedimientos de revisin analticos paracomprender el negocio del cliente

6) identificar reas de riesgo

Los auditores externos se preocupan por el tamao de loserrores en los estados financieros.

T. 66

Tareas de Planificacin

1) determinar el alcance de la auditora,

2) emitir una opinin sobre el RDA,

3) emitir una opinin sobre el RI,

4) emitir una opinin sobre el RC,

5) calcular el RD que se debe lograr para cumplir con el RDA,

6) recolectar evidencia

7) documentar evidencia


12/19




T. 67

Alcance de la Auditora

Determinar qu se va a auditar:

1) un sistema

2) un conjunto de sistemas

3) un rea del tecnologa informtica

T. 68

Opinin de RDA

Se emite un RDA en general para toda la tarea de auditora.

T. 69

Opinin sobre RI

El RI depende del segmento a auditar.

Algunos segmentos son ms susceptible a errores,irregularidades, ineficiencias, o ineficacias.

Para cada segmento evaluar los factores que conducen a RI, porejemplo:

sistema con manejo de efectivo: posibilidades dedefraudaciones.

sistema complejo tecnolgicamente: posibilidades de maluso de recursos.

T. 70

Opinin sobre RC

La decisin ms difcil est en emitir el juicio en el nivel de RCasociado con cada segmento de la auditora.

Para esto, los auditores deben comprender los controles internosusados dentro de la organizacin.

Los controles internos (CI) comprenden 5 componentesrelacionados:

1) controles de entorno

2) evaluacin de riesgo

3) actividades de control

4) informacin y comunicacin

5) monitoreo

T. 71

CI: Controles de Entorno

Incluye evaluar los elementos que establecen el contexto decontrol en el cual deben operar los sistemas y los procedimientosde control.

Ejemplos:

1) filosofa y estilo de gerenciamiento y operacin,

2) formas de asignar autoridad y responsabilidad,

3) mtodos para monitorear performance

T. 72

CI: Evaluacin de Riesgo

Incluye evaluar:

1) los elementos que identifican y analizan los riesgos a

los cuales se enfrenta la organizacin y

2) cmo son administrados.

Ejemplos:

1) planificaciones de proyectos

2) documentos de administracin de riesgos


13/19




T. 73

CI: Actividades de Control

Incluye evaluar los elementos que operan para asegurar que:

1) las transacciones son autorizadas,

2) las responsabilidades se separan,

3) los documentos y registros se mantienen

adecuadamente, etc.

Se clasifican en:

1) controles contables: elementos que operan paraasegurar distintos niveles de autorizaciones yresponsabilidades

2) controles administrativos: elementos para asegurareficiencia y eficacia.

T. 74

CI: Informacin y Comunicacin

Incluye evaluar los elementos en los cuales se:

1) identifica,

2) captura,

3) intercambia informacin

en tiempo y forma.

Permite asignar responsabilidades del personal adecuadamente.

Ejemplos: notificaciones, minutas de reuniones.

T. 75

CI: Monitoreo

Incluye evaluar los elementos que aseguran que los controlesinternos operan de manera confiable en el tiempo.

Ejemplos:

1) monitoreos de performance,

2) control de calidad

T. 76

Comprender los Controles

Comprender los controles internos incluye factorizar y examinarlos controles gerenciales y de aplicacin.

Los controles gerenciales varan sustancialmente de organizacina organizacin. Ejemplo: los controles gerenciales son distintossi la empresa tiene:

1) sistemas centralizados,

2) sistemas descentralizados.

T. 77

Ejemplo de Controles

Procedimiento para medir laproductividad del personal (controlgerencial)

Monitoreo

Procedimiento para comunicarinformacin (control gerencial)

Procedimiento para capturar, registrar yprocesar transacciones (control deaplicacin)

Informacin y Comunicacin

Existencia de comit de seguimiento deproyectos (control gerencial)Controles de Entorno yEvaluacin de Riesgos

Procedimiento para instalar programasen produccin (control gerencial)

Actividades de Control

ImplementacinControles Internos

T. 78

Recolectar Evidencia

Existen distintas tcnicas para recolectar evidencia:

1) revisin de papeles de trabajo de auditoras previas

2) entrevistas con alta gerencia y personal superior

3) observacin de cmo se desarrollan las actividades

4) revisin de documentacin de sistemas


14/19




T. 79

Documentar Evidencia

La evidencia se documenta:

1) completando cuestionarios2) construyendo diagramas de flujo de alto nivel

3) construyendo tablas de decisin

4) redactando descripciones narrativas.

5) utilizando herramientas CASE

No invertir demasiado tiempo en esta estapa. El necesario paracomprender los controles internos y decidir cmo proseguir con laauditora.

Finalmente se debe evaluar el riesgo.

T. 80

Evaluacin de Riesgo de Control 1

Si se evalua que el RC < el nivel mximo =>

1) identificar los controles materiales que se relacionancon la evaluacin

2) testear los controles para determinar si operanefectivamente.

Premisa: los testeos de controles probarn, que si loscontroles funcionan correctamente, se puede reducir lanecesidad de un testeo sustantivo.

T. 81

Evaluacin de Riesgo de Control 2

Si se evalua que el RC es de nivel mximo =>

no se testean los controles.

Se podra concluir que los controles internos no son efectivos.

Se debera realizar un testeo amplio.

T. 82

Testeo de Controles 1

El testeo de controles evala cuan confiables y especficos sonlos controles.

Se testean, slo si el RC se determin menor al mximo.

Se confa en los controles como una base para reducir el costode un testeo ms amplio.

A esta altura, los auditores no saben si los controlesidentificados operan efectivamente.

T. 83

Controles Gerenciales: Testeo

Se comienza por los controles gerenciales.

Si los controles gerenciales, demuestran contrariamente a losupuesto, que no operan eficientemente =>

no tiene sentido testear los controles de aplicacin.

Ejemplo:

solicitar programasfuentes e inspeccionaruna muestra

Los gerentes afirman que existen estndares dedesarrollo

solicitar informes deavances o minutas de lasreuniones.

Los gerentes afirman que se informaperidicamente de los avances de proyectos

T. 84

Controles de Aplicacin: Testeo

Si los controles gerenciales funcionan efectivamente, se

procede a evaluar los controles de la aplicacin.

Ejemplo:

Luego de evaluados los controles, se vuelve a estimar el

riesgo.

pedir muestreoExisten niveles de autorizacin pararealizar transacciones

pedir muestreoSe limpian diariamente los erroresdetectados


15/19




T. 85

Testeo de Controles: Conclusin

Se puede concluir que los controles internos son ms fuertes oms dbiles a lo anticipado.

Si los controles son ms fuertes a lo pensado, se puedepensar en reducir testeos.

Si los controles son ms dbiles, se pueden ampliar los testeos.

T. 86

Actitud del Auditor

Durante esta etapa los auditores externos e internos pueden

tener distintas actitudes.

Situacin: se detecta que los controles son dbiles

1) auditor interno: puede expandir sus investigacionespara lograr una mejor comprensin a cerca de lanaturaleza e implicancias de estas debilidades.

2) auditor externo: puede cortar sus investigaciones(sobre causas) y realizar testeos ms amplios.

T. 87

Testeo de Transacciones

Se realiza para evaluar si un procesamiento errneo oirregular puede ocasionar prdidas.

Ejemplo: examinar clculos, precios.

Desde un punto de vista operativo, el testeo de transaccionessirve para determinar si el procesamiento es efectivo yeficiente.

Ejemplo: consultas a una base de datos, carga de mquina.

T. 88

Testeo de Resultados Generales

Se realizan con el fin de obtener evidencia suficiente paraRealizar un juicio final sobre el grado de prdidas que podranocurrir cuando el sistema falla en: salvaguardar activos,mantener la integridad de los datos y lograr efectividad yeficiencia.

En general, este tipo de testeos, son los ms caros de lasauditoras.

Ejemplo:

Testeos de control de inventario fsico

Confirmacin de recepcin demercaderas

Reclculo de amortizaciones

Evaluar objetivos de salvaguarda deactivos e integridad de datos

T. 89

Testeo de Resultados ...

Si los auditores confan en que los controles son confiables,pueden limitar el nmero y alcance de estos testeos.

Si es a la inversa, aumentarn el grado de control para

estimar mejor las prdidas.

T. 90

Evaluar Efectividad y Eficiencia

Evaluar efectividad y eficiencia es ms complejo.

Se puede trabajar con los usuarios estimando las prdidas porno haber tomado una decisin por no contar con la

informacin en tiempo y forma.

Ejemplo: evaluar la ineficiencia por compra de hardwareinapropiado.


16/19




T. 91

Completar la auditora

En la etapa final, se realizan testeos adicionales para cerrar laevidencia.

Finalmente, se formula la opinin sobre cmo ocurrieron lasprdidas materiales o registros incorrectos en un informe.

T. 92

Opiniones de Auditora

Los estndares en varios pases requieren que la opinin sea:

1) opinin excusada: en base al trabajo realizado no sepuede emitir opinin.

2) opinin adversa: se concluye que han ocurrido prdidasmateriales o que los estados financieros estndistorsionados.

3) opinin con calificacin: se concluye que han ocurridoprdidas materiales o existen registros incorrectos, perolas cantidades no son considerables.

4) opinin sin calificacin: el auditor considera que no hanocurrido prdidas materiales o no existen registrosincorrectos.

T. 93

Informe de Auditora

Un informe tpico debera incluir:

1) una introduccin que describa los objetivos de laauditora,

2) el enfoque general utilizado,

3) un resumen de las conclusiones crticas,

4) recomendaciones para abordar las conclusiones crticas,

5) datos que respalden las conclusiones crticas.

T. 94

Formas de Auditar Sistemas

La auditora puede ser:

1) alrededor del sistema informtico

2) a travs del sistema informtico

T. 95

Auditora alrededor del Sistema

Lograr una opinin de auditora a travs de examinar y evaluar

los controles gerenciales, y el input y output de los sistemas.

Basndose en la calidad del input y output, el auditor infiere la

calidad del procesamiento - el procesamiento no se examina.

El sistema es visto como una caja negra.

Slo se debe realizar esta estrategia cuando es ms efectiva en

costo.

Se utiliza cuando se ubica gran confiabilidad en los usuarios enlugar de en los sistemas - la auditora se concentra en loscontroles de los usuarios en lugar de los controles en sistemas.

T. 96

El sistema debe presentar las siguientes caractersticas:

1) se utiliza un paquete como plataforma de software.

2) el sistema es simple y orientado a procesos batch.

3) el riesgo inherente es bajo

4) la lgica es simple y no se existen rutinas especiales

5) el input de transacciones es batch y el control semantiene usando mtodos convencionales

6) el procesamiento consiste fundamentalmente de ordenarlas transacciones y actualizar la base de datos

7) existen registros de auditora.

8) el entorno de tareas es relativamente constante y elsistema rara vez se modifica.

Caractersticas del Sistema


17/19




T. 97

En estos casos, se debe auditar:

1) que la organizacin no modific el paquete,2) que existen controles sobre las modificaciones,

3) que existen controles de calidad sobre inputs y outputs delpaquete

4) los procesos especiales montados sobre el paquete -programas confeccionados para combinar funcionalidad.

Qu se Audita?

T. 98

Ventajas:

1) no requiere que el auditor posea conocimientostcnicos.

Limitaciones:

1) el tipo de sistemas donde es aplicable es restringido

2) no provee informacin sobre la capacidad del sistemapara la mantenibilidad. Esto puede inicidir en laeficiencia del sistema. Ejemplo: deja de serperformante o efectivo luego de realizar determinadoscambios.

Ventajas y Limitaciones

T. 99

Auditora a travs del Sistema

Se usa la computadora para testear:

1) el procesamiento de la lgica y los controles existentesen el sistema,

2) los resultados producidos por el sistema

T. 100

Caractersticas del Sistema

Es recomendable cuando:

1) el riesgo inherente asociado con el sistema es alto

2) se procesan grandes volmenes de input y output

3) partes significativas de los controles internos estnembebidas en el sistema

4) la lgica de la aplicacin es compleja

5) es aconsejable por consideraciones de costo-beneficio

6) existen gaps en la auditora visible.

T. 101

Ventajas y Desventajas

La ventaja es que los auditores tienen mayor poder paratestear el sistema ms eficientemente.

Se puede aumentar el alcance y la cantidad de testeos.

Al examinar la lgica, se tiene mayor base para estimar lahabilidad del sistema para modificaciones futuras.

Desventajas:

1) puede ser ms costoso (mayor demanda de horas)

2) puede requerir demasiados conocimientos y experienciatcnica.

T. 102

Resumen: Controles y Factorizacin

Un control es un sistema que previene, detecta y corrigeeventos ilegales.

Para realizar una auditora se debe factorizar en subsistemas:

1) funciones gerenciales

2) funciones de aplicacin

Otro criterio para factorizar es considerar subsistemas quepresenten mnimo acoplamiento y mxima cohesin.

Se debe evaluar la confiabilidad de los controles en cadasubsistema.


18/19




T. 103

Resumen: Evaluar Confiabilidad 1

Se deben evaluar los eventos.

Para identificar eventos, se consideran las principalesfunciones del sistema.

Para cada funcin se debe:

1) definir cmo debera realizarse

2) cmo el sistema cumple con esa funcin

T. 104

Resumen: Evaluar Confiabilidad 2

Cuando ocurre un evento el sistema recibe una transaccin.

Pasos:1) identificar los componentes que procesan cada

transaccin

2) comprender el procesamiento de cada componente

3) considerar errores o irregularidades que puedan ocurrirdurante el procesamiento

4) trabajar con clases de transacciones.

T. 105

Resumen: Riesgos

El riesgo de auditora es el riesgo de que un auditor fracaseal detectar las prdidas materiales reales, o potenciales, olos registros incorrectos.

RDA = RI * RC * RD

RDA: Riesgo Deseado de Auditora

RI: Riesgo Inherente

RC: Riesgo de Control

RD: Riesgo de Deteccin

T. 106

Resumen: Pasos de una Auditora

T. 107

Resumen: Procedimientos



3) testeos substantivos de detalle de transacciones

4) testeos substantivos de detalle de balances contables


T. 108

Rsumen: Informe de Auditora

Un informe tpico debera incluir:

1) una introduccin que describa los objetivos de laauditora,

2) el enfoque general utilizado,

3) un resumen de las conclusiones crticas,

4) recomendaciones para abordar las conclusiones crticas,

5) datos que respalden las conclusiones crticas.


19/19




T. 109

Resumen: Opinin de Auditora

1) opinin excusada: en base al trabajo realizado no se puedeemitir opinin.

2) opinin adversa: se concluye que han ocurrido prdidasmateriales o que los estados financieros estndistorsionados.

3) opinin con calificacin: se concluye que han ocurridoprdidas materiales o existen registros incorrectos, pero lascantidades no son considerables.

4) opinin sin calificacin: el auditor considera que no hanocurrido prdidas materiales o no existen registrosincorrectos.

T. 110

Resumen: Formas de Auditar

1) auditar alrededor del sistema

2) auditar a travs del sistema

auditoria unidad2

Documents