Você está na página 1de 25

LAS DIPAS Son guas de cumplimiento para efectuar la auditora mediante sistemas integrados de cmputo para evaluar y aplicar

las tcnicas necesarias. Toda esta informacin ser ingresada en una base de datos en la computadora en donde se proceder a evaluarse de una manera ms gil y razonable. Esto nos permitir detectar deficiencias en las organizaciones de informtica y en los sistemas que se desarrollan en ellas. Importancia de las DIPAS en la Auditoria de Sistemas La importancia de las DIPAS radican en: Permite conocer el ambiente de TI ms importante. Permite detectar si son ptimos o no los sistemas de computadoras en lnea y/o si estn en vas de mejora. Permite evaluar la forma de tratamiento de informacin INGRESO-PROCESO para formar parte la base de datos. Permite determinar los grados de riesgo. Simplifican el proceso de auditora. Declaraciones Internacionales de Practicas de Auditoria DIPA 1001: Ambiente de TI-Microcomputadoras Independientes. Est Declaracin describe los efectos que tienen las microcomputadoras independientes (PCs) sobre el sistema de contabilidad, los controles internos relacionados y sobre los procedimientos de auditora. Control Interno en Ambientes de PCs Las PCs estn orientadas a usuarios finales individuales. El grado de precisin y confiabilidad de la informacin financiera que producen depender, en parte, de los controles internos que el usuario adopte, ya sea por voluntad o porque la administracin los ha prescrito. Los procedimientos de control establecidos se relacionan con la complejidad del entorno del negocio en que operan las PC. Normalmente, el ambiente de PCs es menos estructurado que un ambiente de TI controlado en forma central. En el primero, los usuarios con slo habilidades bsicas de procesamiento de datos pueden adoptar y poner en marcha los programas de aplicacin en forma relativamente rpida, haciendo surgir asuntos tales como lo adecuado de la documentacin de sistemas o los procedimientos de control de acceso. Dichos usuarios pueden no considerar como importantes o como de costo efectivo los controles sobre el proceso de desarrollo de la aplicacin (por ejemplo, documentacin adecuada) y las operaciones (por ejemplo, procedimientos de control de acceso). En tales circunstancias, como la informacin financiera se procesa en una computadora, los usuarios pueden tender a depositar una confianza injustificada en la misma. En un ambiente tpico de PCs, el nivel de controles generales es ms bajo del que se encontrara en un ambiente de computacin a mayor escala. No obstante, los procedimientos selectos de seguridad y control pueden ayudar a mejorar el nivel general de control interno. Polticas Organizacionales y Procedimientos Como parte de haber obtenido una comprensin del ambiente de control, y por tanto del ambiente de TI para PCs, el auditor considera la estructura organizacional de la organizacin y, en particular, la asignacin de responsabilidades para el procesamiento de datos. Las polticas y procedimientos efectivos para la adquisicin, desarrollo, operacin y mantenimiento de PCs pueden enriquecer el ambiente general de control. La falta de desarrollo de dichas polticas puede llevar a que la organizacin use programas obsoletos y a errores en los datos as como de la informacin derivada de los

mismos, lo cual puede llevar al incremento del riesgo de fraude. Dichas polticas y procedimientos incluyen lo siguiente: Estndares de adquisicin, desarrollo y documentacin Capacitacin del usuario Lineamientos de seguridad, respaldos y almacenamiento Administracin de contraseas (password) Polticas de uso personal Estndares de adquisicin y uso de software Estndares de proteccin de datos Mantenimiento de programas y soporte tcnico Un nivel apropiado de segregacin de funciones y responsabilidades Proteccin contra virus. Proteccin FsicaEquipo Debido a sus caractersticas fsicas, las PCs y sus medios de almacenamiento son susceptibles a robo, dao fsico, acceso no autorizado o mal uso. Pueden protegerse fsicamente de la manera siguiente: Cerrndolas bajo llave en un cuarto, gabinete o en un lugar protegido Usando un sistema de alarma que se active si la PC es desconectada o movida de su lugar Asegurando la PC a una mesa Con polticas que exponen los procedimientos apropiados a seguir al salir de viaje con una computadora porttil laptop o al usarla fuera de las instalaciones Usando la criptografa para archivos clave Instalando un mecanismo de seguridad para controlar el interruptor de =P encendido / apagado. Esto quiz no prevenga el robo de la PC, pero puede ser efectivo para controlar el uso no autorizado Desarrollando controles ambientales para prevenir daos por desastres naturales, como incendio, inundacin, etc. Proteccin FsicaMedios Removibles y No Removibles Los programas y datos de las PCs pueden protegerse en medios de almacenamiento removibles o no removibles. Por ejemplo, los disquetes y CDs pueden removerse fsicamente de la PC, mientras que los discos duros normalmente estn integrados en la PC o en una unidad independiente anexa a la misma. Adems, los componentes interiores (incluyendo el hard drive disco duro) de muchas PCs, en particular laptops, son fcilmente accesibles. Cuando muchos individuos usan una PC particular es ms probable que los medios de almacenamiento se extraven, se alteren sin autorizacin o se destruyan. Es responsabilidad del usuario proteger los medios de almacenamiento removibles, por ejemplo, manteniendo respaldos actualizados de dichos medios en un contenedor a prueba de incendio, ya sea en el lugar de trabajo, fuera de l o en ambos. Esto aplica igualmente a los sistemas operativos, programas de aplicacin y datos. Seguridad de Programas y Datos Cuando muchos usuarios pueden acceder a las PCs hay un riesgo de que el sistema operativo, los programas y los datos puedan ser alterados sin autorizacin, o que los usuarios puedan instalar sus propias versiones de programas dando pie a responsabilidades potenciales sobre autorizacin del software. El grado de caractersticas de control y seguridad presentes en un sistema operativo de PC vara. Aunque algunos sistemas operativos contienen caractersticas de seguridad sofisticadas selladas, los utilizados en PCs generalmente no las tienen. Sin embargo, hay tcnicas para ayudar a asegurar que los datos que se procesen y lean sean autorizados,

aminorando la destruccin accidental de stos. Las siguientes tcnicas pueden limitar slo al personal autorizado al acceso a programas y datos: Uso de contraseaspassword Desarrollar un paquete de control de acceso Usar medios de almacenamiento removibles Usar directorios y archivos ocultos Usar la criptografa. Una tcnica efectiva de control es usar perfiles de usuario y contraseas que controlen el nivel de acceso concedido a un usuario. Por ejemplo, se puede dar a un usuario un perfil protegido por una contrasea que permita slo la alimentacin de datos, y puede configurarse una PC para que requiera una contrasea antes de ser forzada. En algunos casos, un paquete de control de acceso puede proporcionar control efectivo sobre el acceso y uso de sistemas operativos, programas y datos. Por ejemplo, slo un usuario especfico puede tener acceso al archivo de contraseas o permitrsele instalar programas. Dichos paquetes pueden tambin, en forma regular, examinar los programas en la PC para detectar si se estn usando programas o versiones de stos no autorizados. El uso de medios de almacenamiento removibles para programas y datos crticos y sensibles puede proporcionar una mayor proteccin, al mantenerse fuera de lnea y bajo control independiente hasta ser requeridos. Por ejemplo, los datos sobre salarios en un sistema de nminas pueden mantenerse fuera de lnea y usarse slo cuando se requiera para el procesamiento de nminas. Remover los programas y datos de las PCs con medios de almacenamiento removibles (por ejemplo, disquetes, CDs y cartuchos) es una manera efectiva de mantenerlos seguros. Los medios se colocan despus bajo custodia de los bibliotecarios de archivos o de los usuarios responsables de los datos o programas. La criptografa o cifrado es una tcnica que generalmente se utiliza cuando se transmiten datos sensibles por las lneas de comunicacin, pero puede tambin usarse en datos almacenados en una PC. Continuidad de Operaciones En un ambiente de PC, la administracin se apoya tpicamente en el usuario para asegurar la disponibilidad continua de los sistemas en caso de una falla, prdida o destruccin del equipo, sistema operativo, programas o datos. Esto implicar que: El usuario retenga copias del sistema operativo, programas y datos; cuando menos una almacenada en un lugar seguro, lejos de la PC Est disponible el acceso a un equipo alterno dentro de un tiempo razonable, dado el uso e importancia del sistema fundamental. El Efecto de PCs sobre el Sistema de Contabilidad y los Controles Internos Relacionados El efecto de las PCs sobre el sistema de contabilidad y los riesgos asociados generalmente depender de: El grado en que se use la PCs para procesar aplicaciones contables El tipo e importancia de las transacciones financieras que se procesen La naturaleza de los programas y datos usados en las aplicaciones. Controles Generales Segregacin de Funciones En un ambiente de PC, los usuarios generalmente pueden desempear dos o ms de las siguientes funciones en el sistema de contabilidad: Iniciar documentos fuente Autorizar documentos fuente Alimentar datos al sistema Procesar datos que se han alimentado

Cambiar programas y datos Usar o distribuir datos de salida Modificar los sistemas operativos. En otros ambientes de TI, estas funciones normalmente se segregaran mediante controles generales apropiados. Est falta de segregacin de funciones en un ambiente de PC puede permitir que se dejen de detectar los errores, permitiendo que se cometa y oculte el fraude. Controles de Aplicacin La existencia y uso de controles apropiados de acceso sobre los programas y datos, combinados con controles sobre la alimentacin, procesamiento y salida de datos pueden, en coordinacin con las polticas de administracin, compensar algunas de las debilidades en los controles generales en ambientes de PCs. Los controles efectivos incluyen lo siguiente: Procedimientos de control programados, tales como verificaciones de acceso Un sistema de registro de transacciones y contrapartidas de lotes, incluyendo seguimiento y resolucin de cualquier excepcin Supervisin directa, por ejemplo, una revisin de informes Conciliacin de recuentos de registros o cifras de control. El control puede establecerse por una funcin independiente que normalmente: Recibe todos los datos para procesamiento Asegura que todos los datos sean autorizados y registrados Hace un seguimiento de todos los errores detectados durante el procesamiento Verifica la distribucin apropiada de los datos de salida Restringe el acceso fsico a los programas de aplicacin y datos. Normalmente se requieren controles separados sobre el archivo maestro y datos de transacciones. El Efecto de un Ambiente de PCs sobre los Procedimientos de Auditora En un ambiente de PCs, puede no ser factible o efectivo, desde el punto de vista de costo efectivo para la administracin, implementar controles suficientes para reducir a un nivel mnimo los riesgos de errores sin detectar. En est situacin, despus de obtener la comprensin del sistema de contabilidad y del ambiente de control requeridos por la NIA 400 Evaluaciones de Riesgos y Control Interno, el auditor puede encontrar que es ms efectivo, desde el punto de vista de costo, no hacer una revisin adicional de los controles generales o de los controles de aplicacin, sino concentrar los esfuerzos de auditora en los procedimientos sustantivos. Esto puede implicar un examen fsico ms amplio y confirmacin de los activos, ms pruebas de las transacciones, tamaos mayores de muestras as como mayor uso de TCA (Tcnicas Computarizadas de Auditora.) Cuando el nivel de los controles generales parezca adecuado, el auditor puede decidir adoptar un enfoque diferente. Por ejemplo, una organizacin que procesa un gran nmero de transacciones de ventas en una PC, puede establecer procedimientos de control que reduzcan el riesgo de control. DIPA 1002: Ambiente TI-Sistema de Computadoras en lnea Est Declaracin describe los efectos de un sistema de computadoras en lnea sobre el sistema de contabilidad, los controles internos relacionados y sobre los procedimientos de auditora. Sistemas de Computadoras en lnea.

Los sistemas de computadoras en lnea son sistemas de computadoras que posibilitan a los usuarios el acceso a datos y programas directamente a travs de estaciones de trabajo. Dichos sistemas pueden comprender: PCs mainframe (unidades centrales de procesamiento). Mini computadoras Una red de microcomputadoras interconectadas. Cuando la organizacin usa un sistema de computadoras en lnea, es probable que la tecnologa sea compleja y ligada a los planes estratgicos de negocios de la organizacin, adems permite a los usuarios iniciar directamente varias funciones, tales como: Alimentar transacciones (por ejemplo, transacciones de ventas en una tienda al menudeo, retiros de efectivo en un banco y embarque de mercancas en una planta). Hacer investigaciones (por ejemplo, la cuenta corriente de clientes o informacin de saldos). Solicitar informes (por ejemplo, una lista de partidas de inventario con cantidades negativas en existencia). Actualizar archivos maestros (por ejemplo, establecer cuentas de nuevos clientes y cambiar los cdigos del libro mayor). Actividades de comercio electrnico (por ejemplo, colocar pedidos y pagar las mercancas por Internet) Caractersticas de los Sistemas de Computadoras en Lnea Las caractersticas ms importantes se refieren a: La entrada y validacin de datos en lnea. El acceso en lnea al sistema por los usuarios Posible falta de un rastro visible de las transacciones Acceso potencial al sistema por parte de no usuarios no autorizados, incluyendo a programadores y otras terceras parte (por ejemplo, a travs de correo electrnico Internet.) Las caractersticas particulares de un sistema en lnea especfico dependern del diseo de dicho sistema. Control Interno en un Sistema de Computadoras en Lnea El auditor considera la infraestructura de seguridad antes de examinar los controles generales y de aplicacin, ya que pueden estar ms expuestas al acceso no autorizado y a la actualizacin, ya que esta juega un papel importante para asegurar la integridad de la informacin producida. La organizacin puede necesitar establecer controles generales adecuados para aminorar los riesgos de virus, acceso no autorizado y la destruccin potencial de rastros de auditora. As, los controles de acceso son particularmente importantes para el procesamiento en lnea. Estos controles pueden incluir el uso de contraseas password, software especializado de control de acceso, tal como monitores en lnea que mantiene el control sobre los mens, tablas de autorizacin, contraseas, archivos y programas a los que se permite acceso de los usuarios. Pueden tambin incluir controles fsicos como el uso de cerraduras en las estaciones de trabajo, cuartos de computadoras cerradas con llave y horarias sin actividad. Hay ciertos controles de aplicacin son particularmente importantes para el procesamiento en lnea. Incluyen los siguientes: Autorizacin para pre-procesamiento. Autorizacin para iniciar una transaccin, por ejemplo, usar una tarjeta bancaria junto con un nmero de identificacin personal antes de poder hacer un retiro de efectivo mediante un cajero automtico. Pruebas de edicin de la estacin de trabajo, pruebas de razonabilidad y otras de validacin. Rutinas programadas que verifican los datos de entrada y los resultados del

procesamiento para que est completo, y para su exactitud y razonabilidad. Estas rutinas incluyen verificaciones de secuencia, lmite, rango y razonabilidad y pueden desempearse en una estacin de trabajo inteligente o en la computadora central. Informes y manejo de errores de alimentacin. Los procedimientos para asegurar que todos los errores de alimentacin sean informados, identificados y se les impida seguir el procesamiento, sean corregidos y vueltos a someter para procesamiento oportuno y, todo de una manera apropiada. Estos procedimientos generalmente comprendern una mezcla de rutinas tanto manuales como automatizadas. Procedimientos de corte. Procedimientos que aseguran que las transacciones se procesan en el periodo contable apropiado. Son particularmente necesarios en sistemas que tienen un flujo continuo de transacciones. Por ejemplo, en los sistemas en lnea donde las estaciones de trabajo de diversas localidades registran ordenes de ventas y embarques, hay necesidad de coordinar el embarque real de mercancas, la salida de inventario y el procesamiento de facturas. Controles de archivos. Procedimientos que aseguran que usan los archivos de datos correctos para el procesamiento en lnea. Controles de archivo maestro. Los cambios a los archivos maestros se controlan por procedimientos similares a los usados para controlar otros datos de entrada de transacciones. Puede ser necesario un refuerzo ms estricto de estos procedimientos de control porque los datos del archivo maestro pueden tener un efecto significativo sobre los resultados del procesamiento. Balanceo. El proceso de establecer controles totales sobre los datos que se someten para procesamiento por medio de las estaciones de trabajo en lnea, y de comparar los controles totales durante y despus del procesamiento para asegurar que se transfieren datos completos y exactos a cada fase del procesamiento. Estos controles de balanceo son importantes para monitorear los controles de totalidad y exactitud en un ambiente de procesamiento en tiempo real. Debern incluirse en las rutinas automatizadas de programas siempre que sea posible. Efectos de los Sistemas de Computadoras en Lnea sobre l Sistema de Contabilidad y los Controles Internos Relacionados El efecto de un sistema de computadoras en lnea sobre el sistema de contabilidad y riesgos asociados generalmente depender de: El grado en que el sistema en lnea est siendo usado para procesar aplicaciones contables; El tipo e importancia de las transacciones financieras que se procesan; y La naturaleza de los archivos y programas que usan las aplicaciones. Factores como los siguientes pueden reducir el riesgo de errores que ocurren porque la organizacin utiliza sistemas en lnea: 1. Realizar la entrada de datos en o cerca del punto donde se originan las transacciones reduce el riesgo de que no se registren las transacciones. 2. La correccin inmediata y realimentacin de transacciones invlidas reduce el riesgo de que dichas transacciones no sean corregidas y vueltas a alimentar rpidamente. 3. La alimentacin de datos desempeada por individuos que entienden la naturaleza de las transacciones implicadas puede ser menos propensa a error que cuando es desempeada por individuos no familiarizados con la naturaleza de las transacciones. 4. Procesar las transacciones inmediatamente reduce el riesgo de que sean procesadas en el periodo contable equivocado.

5. La revisin de autenticidad y autorizacin llevada a cabo en o cerca del punto donde las transacciones se originan reduce el riesgo de suplantacin u otro acceso no autorizado a los datos o su manipulacin El riesgo de errores en los sistemas de computadoras en lnea puede aumentar por las siguientes razones: 1. Ubicar las estaciones de trabajo por toda la organizacin aumenta la oportunidad de uso no autorizado de una estacin de trabajo y la entrada de transacciones no autorizadas. 2. Las estaciones de trabajo en lnea pueden proporcionar una oportunidad ms fcil de usos no autorizados como: Modificacin de transacciones o saldos alimentados previamente; Modificacin de programas de computadora; o Acceso a datos y programas desde localidades remotas. Si el procesamiento en lnea se interrumpe por alguna razn; por ejemplo; debido a telecomunicaciones defectuosas, puede haber mayor oportunidad de que las transacciones o archivos se pierdan y que la recuperacin no sea exacta y completa. El acceso en lnea a datos y programas desde lugares remotos mediante telecomunicaciones puede proporcionar mayor oportunidad de acceso a datos y programas por personas no autorizadas. Las organizaciones que tengan enlaces con Internet requieren de mayores controles, como cortafuegos, para manejar el riesgo de acceso no autorizado a datos y programas. El uso de comercio electrnico o intercambio de datos electrnicos (EDI) para el intercambio de documentos entre dos organizaciones da como resultado la prdida de las pistas de auditora tradicionales en papel, incluyendo facturas y rdenes de compra. Efecto de los Sistemas de Computadoras en Lnea sobre los Procedimientos de Auditora Generalmente en un sistema de computadoras en lnea bien diseado y controlado, es probable que el auditor ponga a prueba los controles generales y de aplicacin. Si dichos controles se consideran satisfactorios, el auditor depositara gran confianza en los controles internos del sistema al determinar la naturaleza, oportunidad y alcance de los procedimientos de auditora. Las caractersticas de los sistemas de computadoras en lnea pueden hacer ms efectivo para el auditor desempear una revisin de preimplementacin de nuevas aplicaciones contables en lnea ms revisar las aplicaciones despus de la instalacin. Para ser completamente efectiva, la revisin puede necesitar hacerse extensiva a otras aplicaciones que proporcionan datos para dichas aplicaciones contables; el auditor puede tambin poner a prueba que el nuevo sistema opere y que est implementado segn diseo. La revisin de pre-implementacin puede dar al auditor una oportunidad para solicitar funciones adicionales, como listados detallados de transacciones, o controles dentro del diseo de la aplicacin. Puede tambin dar al auditor suficiente tiempo para desarrollar y poner a prueba los procedimientos de auditora con anticipacin al uso del sistema. Los asuntos siguientes son de particular importancia para el auditor en un sistema de computadoras en lnea: 1. Autorizacin, exactitud, y que estn completas las transacciones en lnea mediante la implementacin de controles apropiados en el momento en que la transaccin se acepta para procesamiento. 2. Integridad de registros y procesamiento, debido a que muchos usuarios y programadores tienen acceso en lnea al sistema. 3. Cambios necesarios en el desempeo de procedimientos debido a asuntos como: La necesidad de equipos de auditores con habilidades tcnicas en sistemas de computadoras en lnea.

El efecto del sistema de computadoras en lnea sobre la oportunidad de los procedimientos de auditora. La falta de rastros visibles de las transacciones. Procedimientos realizados durante la etapa de planeacin de la auditora. Procedimientos de auditora desempeados en forma concurrente con el procesamiento en lnea. Procedimientos desempeados despus de que ha tenido lugar el proceso de datos Los procedimientos desarrollados durante la etapa de planeacin pueden incluir los siguientes: Participacin en el equipo de auditora de individuos con pericia tcnica en sistemas de computadoras en lnea y los controles relativos. Identificacin de nuevas instalaciones de acceso remoto. Determinacin preliminar, durante el proceso de evaluacin del riesgo, del impacto del sistema sobre los procedimientos de auditora. Los procedimientos de auditora desempeados en forma concurrente con el procesamiento en lnea pueden incluir pruebas de los controles sobre las aplicaciones en lnea. Por ejemplo, esto puede ser por medio de alimentar transacciones para prueba mediante las estaciones de trabajo en lnea o con el uso de software de auditora. Estas pruebas pueden usarse ya sea para confirmar la comprensin del sistema por el auditor o para probar controles como contraseas y otros controles de acceso. Cuando la organizacin permite el acceso mediante Internet, los procedimientos de auditora pueden incluir pruebas de acceso no autorizado y otros controles de autorizacin y acceso, as como pruebas de procesamiento de transacciones. Para evitar alteracin inadvertida de registros de clientes, el auditor revisa los procedimientos concurrentes con el personal apropiado de clientes y obtiene aprobacin antes de conducir las pruebas. Los procedimientos desempeados despus de tener lugar el procesamiento pueden incluir los siguientes: Pruebas de los controles sobre las transacciones registradas por el sistema en lnea en cuanto a autorizacin, exactitud, y que estn completas. Procedimientos sustantivos que cubran las transacciones y resultados del procesamiento ms que pruebas de control, cuando los primeros sean de costo ms efectivo o cuando el sistema no est bien diseado o controlado. Reprocesamiento de transacciones ya sea como una prueba de control o como un procedimiento sustantivo. DIPA 1003: Ambiente de TI-Sistema de bases de datos Est Declaracin describe los efectos de un sistema de base de datos sobre el sistema de contabilidad y los controles internos relativos y sobre los procedimientos de auditora. Los sistemas de bases de datos consisten principalmente de dos componentes: la base de datos y el sistema de administracin de la base de datos (SABD). Los sistemas de bases de datos interactan con otros aspectos del hardware y software del sistema general de computadoras. Control Interno en un Ambiente de Base de Datos La infraestructura de seguridad de informacin de una organizacin juega un importante papel para asegurarla integridad de la informacin producida, por lo que el auditor considera dicha infraestructura antes de examinar los controles generales y de aplicacin. Generalmente, el control interno en un ambiente de base de datos requiere controles efectivos sobre la base de datos, el SABD y las aplicaciones. La efectividad de

los controles internos depende en gran parte de la naturaleza de las tareas de administracin de datos y de administracin de la base de datos y como se desempean. Debido a que los datos son compartidos, a la independencia de datos y a otras caractersticas de los sistemas de base de datos, los controles generales normalmente tienen una mayor influencia que los controles de aplicaciones. Los controles generales sobre la base de datos, el SABD y las actividades de la administracin de recursos de datos (administracin de datos y administracin de la base de datos) tienen un efecto profundo sobre el procesamiento de las aplicacin el uso de SABD, junto con las funciones integradas en l, puede ayudar a proporcionar controles efectivos. Los controles generales de importancia particular en un ambiente de base de datos pueden clasificarse en los siguientes grupos: Enfoque Estndar para Desarrollo y Mantenimiento de Programas de Aplicacin Considerando que muchos usuarios comparten los datos, el control puede mejorarse si se usa un enfoque estndar para desarrollar cada nuevo programa de aplicacin y modificar los existentes. Esto incluye un enfoque paso a paso, formalizado, al que debe adherirse todos los individuos que desarrollan o modifican un programa de aplicacin. Tambin incluye analizar el efecto de transacciones nuevas y existentes sobre la base de datos cada vez que se requiera una modificacin. El anlisis resultante indicara los efectos de los cambios sobre la seguridad e integridad de la base de datos. Implementar un enfoque estndar para desarrollar y modificar programas de aplicacin es una tcnica que puede ayudar a mejorar la exactitud, integridad y totalidad de la base de datos. Los siguientes son algunos de los controles que pueden ayudar a lograr esto: Se establecen estndares de definicin, los cuales se vigilan y controlan para su cumplimiento Se establecen procedimientos de respaldo y recuperacin de datos para asegurar la disponibilidad de la base de datos Se establecen diversos niveles de control de acceso para datos individuales, tablas y archivos para prevenir el acceso inadvertido o no autorizado Se establecen controles para asegurar la exactitud, totalidad y consistencia de los elementos y relaciones de datos en la base de datos. Sin embargo, en los sistemas complejos del diseo de los sistemas no siempre puede proporcionar a los usuarios controles que prueben la totalidad y exactitud de los datos, pudiendo haber un incremento del riesgo de que el SABD no siempre identifique alteraciones de datos o ndices Se siguen procedimientos de reestructuracin de la base de datos cuando se hacen cambio lgicos, fsicos y de procedimiento. Modelo de Datos y Propiedad de Datos En un ambiente de base de datos, donde muchos individuos pueden usar programas para ingresar/registrar y modificar datos, el administrador de la base de datos necesita asegurarse de que haya una asignacin de responsabilidad clara y definida por la exactitud e integridad de cada partida de datos. Deber asignarse a un solo propietario de los datos la responsabilidad de definir las reglas de acceso y seguridad; quienes pueden usar los datos (acceso) y qu funciones pueden desempear (seguridad). Asignar responsabilidad especfica por la propiedad de los datos ayuda a asegurar la integridad de la base de datos. Por ejemplo, puede designarse al gerente de crdito como propietario del lmite de crdito de un cliente, siendo responsable de determinar los usuarios autorizados de dicha informacin. Si varios individuos tienen capacidad de tomar decisiones que afecten la exactitud e integridad de los datos dados, aumenta la probabilidad de que estos sean alterados o se usen de manera no apropiada. Tambin

son importantes, cuando se usa un sistema de base de datos, los controles sobre los perfiles de usuarios, no solo para establecer el acceso autorizado, sino tambin para detectar violaciones o intentos de acceso no autorizado. Acceso a la Base de Datos El acceso de usuarios a la base de datos puede restringirse mediante controles de acceso. Estas restricciones aplican a individuos, estaciones de trabajo y programas. Para que las contraseas sean efectivas se requieren procedimientos adecuados para cambiarlas, mantener el secreto de las mismas y revisar e investigar los intentos de violacin a la seguridad. Relacionar las contraseas a estaciones terminales, programas y datos definidos ayuda a asegurar que solo usuarios y programas autorizados puedan tener acceso, corregir o suprimir datos. Por ejemplo, el gerente de crdito puede dar autoridad a los vendedores para referirse al lmite de crdito de un cliente, mientras que un dependiente del almacn podra no tener dicha autorizacin. El acceso de usuarios a los diversos elementos de la base de datos puede controlarse aun ms mediante el uso de tablas de autorizacin. La implementacin no apropiada de procedimientos de acceso puede dar como resultado el acceso no autorizados a la base de datos. Los controles apropiados tambin aseguran que los datos almacenados sean convertibles a un formato legible para las personas, en un tiempo razonable. Segregacin de Funciones Las responsabilidades para desempear las diversas actividades requeridas para disear, implementar y operar una base de datos se dividen entre el personal tcnico, de diseo, administrativo y de usuarios. Sus funciones incluyen diseo del sistema, diseo, administracin y operacin de la base de datos. Es necesario mantener la adecuada segregacin de estas funciones para asegurar la totalidad, integridad y exactitud de la base de datos. Por ejemplo, los individuos responsables de modificar los programas de personal en la base de datos no deberan ser los mismos que estn autorizados para cambiar las tarifas de pago individuales en la base de datos. Seguridad de los Datos y Recuperacin de la Base de Datos Es probable que las bases de datos se usen por personas en muy diferentes partes de las operaciones de una organizacin. Esto significa que muchas partes de la organizacin sern afectadas si los datos no estuvieran disponibles o tuvieran errores. Consecuentemente los controles generales, en los sistemas de base de datos, se convierten en muy importantes para la seguridad de los datos y la recuperacin de la base de datos. El Efecto de la Base de Datos sobre el Sistema de Contabilidad y los Controles Internos Relacionados El efecto de un sistema de datos sobre el sistema de contabilidad y los riesgos asociados generalmente dependern de factores como: El grado en el que las bases de datos se usen para aplicaciones contables El tipo e importancia de las transacciones financieras que se procesen La naturaleza y estructura de la base de datos, el SABD (incluyendo el diccionario de datos) las tareas de administracin de la base de datos y las aplicaciones (por ejemplo, actualizacin por lote o en lnea) Los controles generales y de aplicacin que sean particularmente importantes en un ambiente de base de datos. Los sistemas de base de datos tpicamente dan mayor confiabilidad en los datos que los sistemas que no son de base de datos. En estos sistemas los controles generales cobran una mayor importancia que los controles de aplicacin. Esto puede dar como resultado un riesgo reducido de fraude o error en los sistemas de contabilidad donde se usen bases

de datos. Los siguientes factores, combinados con controles adecuados, contribuyen a est mayor confiabilidad en los datos: Se logra mejor consistencia de datos porque los datos se registran y actualizan slo una vez, en lugar de ser almacenados en varios archivos y actualizados en diferentes momentos por diferentes programas. Se mejorar la integridad de los datos con el uso efectivo de mecanismos incluidos en el SABD, tales como rutinas de recuperacin/reinicio, rutinas generalizadas de edicin y validacin, junto con caractersticas de seguridad y control. Otras funciones disponibles con el SABD pueden facilitar los procedimientos de control y auditora. Estas funciones incluyen generadores de informes que pueden usarse para crear informes de consistencia y lenguajes de consulta, los cuales pueden ser usados para identificar inconsistencias en los datos. En forma alterna, puede aumentar el riesgo de representacin errnea si los sistemas de base de datos se usan sin los controles adecuados. En un ambiente tpico que no sea de base de datos, los controles ejercidos por usuarios individuales pueden compensar las fallas en los controles generales. Sin embargo, en un sistema de base de datos los usuarios individuales no pueden siempre compensar los controles inadecuados de la administracin de la base de datos. Por ejemplo, el personal de cuentas por cobrar no puede controlar en forma efectiva los datos de cuenta por cobrar si no se restringe a otros miembros del personal la modificacin de los saldos de las cuentas por cobrar en la base de datos. El Efecto de la Base de Datos sobre los Procedimientos de Auditora Los procedimientos de auditora en un ambiente de base de datos sern afectados principalmente por el grado en el que el sistema de contabilidad use los datos de la base de datos. Cuando aplicaciones contables de importancia usen una base comn de datos, el auditor puede encontrar conveniente, desde el punto de vista de su costo, utilizar algunos de los procedimientos como por ejemplo: Para obtener una comprensin del ambiente de control de la base de datos y del flujo de transacciones, el auditor puede considerar el efecto de lo siguiente sobre el riesgo de auditora al planear su auditora: Los controles de acceso relevantes. Personas fuera de la funcin contable tradicional pueden usar las bases de datos, y el auditor considera los controles de acceso sobre los datos contables y sobre todos los que puedan tener acceso a ellos. El SABD y las aplicaciones contables importantes que usan la base de datos. Otras aplicaciones dentro de la organizacin pueden generar o alterar datos que usan las aplicaciones contables. El auditor considera cmo el SABD controla estos datos. Los estndares y procedimientos para desarrollo y mantenimiento de los programas de aplicacin que usan la base de datos. Las bases de datos especialmente las de computadoras independientes, pueden a menudo ser diseadas e implementadas por personas fuera del ambiente de TI o de las funciones contables. El auditor considera cmo controla la organizacin el desarrollo de estas bases de datos. La funcin de administracin de recursos de datos, est funcin juega un papel importante para mantener la integridad de los datos almacenados en la base de datos. Descripcin de puestos, estndares y procedimientos para los individuos responsables del soporte tcnico, diseo, administracin y operacin de la base de datos. Con los sistemas de base de datos es probable que una gama ms amplia de individuos

tenga importantes responsabilidades sobre los datos, al contrario de los sistemas que no sean de base de datos. Los procedimientos usados para asegurar la integridad, seguridad y totalidad de la informacin financiera contenida en la base de datos. La disponibilidad de recursos de auditora dentro del SABD. Los procedimientos que se usan para introducir a la operacin nuevas versiones de la base de datos. Al determinar el grado de confiabilidad de los controles internos relacionados con el uso de la base de datos en el sistema de contabilidad. Si el auditor posteriormente decide apoyarse en dichos controles, ste disea y lleva a cabo las pruebas apropiadas. Cuando el auditor decide llevar a cabo pruebas de control o procedimientos sustantivos relacionados con el sistema de base de datos, a menudo ser ms efectivo hacerlo usando tcnicas de auditora con ayuda de computadora. El hecho de que todos los datos estn almacenados en un lugar, y organizados de una manera consistente, hace ms fcil la extraccin de muestras. Tambin las bases de datos pueden incluir datos generados fuera de la funcin contable, lo que ayudar a hacer ms efectiva la aplicacin de procedimientos analticos. Los procedimientos de auditora pueden incluir el uso de las funciones del SABD para: Poner a prueba los controles de acceso Generar datos para pruebas Proporcionar una pista de auditora Verificar la integridad de la base de datos Proporcionar acceso a la base de datos o una copia de partes relevantes en la base de datos para posibilitar el uso de software de auditora Obtener informacin necesaria para la auditora. Antes de usar los recursos del SABD, el auditor considera si estn funcionando en forma adecuada. Si los controles de administracin de la base de datos son inadecuados, tal vez no pueda el auditor compensar las fallar de control con alguna cantidad de trabajo sustantivo. Por lo tanto, cuando est claro que los controles en el sistema de base de datos no son confiables, el auditor considera si la realizacin de procedimientos sustantivos sobre todas las aplicaciones contables importantes que usan la base de datos lograra el objetivo de auditora. Si el auditor no puede superar las fallas en el ambiente de control con trabajo sustantivo para reducir el riesgo de auditora a un nivel aceptablemente bajo, la NIA 700 El dictamen del Auditor Sobre los Estados Financieros, requiere que el auditor emita su opinin con salvedades o se abstenga de emitirla. Las caractersticas de los sistemas de base de datos pueden hacer ms efectivo para el auditor practicar una revisin de pre-implementacin de nuevas aplicaciones contables ms que revisar las aplicaciones despus de su instalacin. Est revisin de preimplementacin y revisin del proceso de administracin del cambio pueden dar al auditor una oportunidad de solicitar funciones adicionales, tales como rutinas de auditora o controles integrados dentro del diseo de la aplicacin. Puede tambin dar al auditor tiempo suficiente para desarrollar y poner a prueba procedimientos de auditora con anticipacin al uso del sistema. DIPA 1008: Evaluacin del riesgo del control interno-Caractersticas y consideraciones del CIS Un entorno de sistema de informacin de cmputo (CIS) se define en la Norma Internacional de Auditora (NIA) 401 "Auditora en un Entorno de Sistemas de Informacin por Computadora," como sigue:

Para los fines de las Normas Internacionales de Auditora, existe un entorno de CIS cuando hay implicada una computadora de cualquier tipo o tamao en el procesamiento por parte de la entidad de informacin financiera de importancia para la auditora, ya sea que la computadora sea operada por la entidad o por un tercero. Estructura Organizacional En un entorno de CIS, una organizacin establecer una estructura organizacional y procedimientos para administrar las actividades de CIS. Las caractersticas de una estructura organizacional de CIS incluyen: Concentracin de funciones y conocimiento: Aunque la mayora de los sistemas que emplean mtodos de CIS incluye ciertas operaciones manuales, generalmente el nmero de personas involucradas en el procesamiento de informacin financiera es significativamente reducido. Ms an, cierto personal de procesamiento de datos puede ser los nicos con un conocimiento detallado de la interrelacin entre las fuentes de datos, cmo se procesan, y la distribucin y uso de los datos de salida. Es tambin probable que est consciente de cualesquiera debilidades en el control interno y, por lo tanto, pueden estar en posicin de alterar programas o datos mientras estn almacenados o durante el procesamiento. Todava ms, pueden no existir muchos controles convencionales basados en la segregacin adecuada de funciones incompatibles, o en ausencia de controles de acceso u otros, pueden ser menos efectivos. Concentracin de programas y datos: A menudo estn concentrados los datos por transaccin y del archivo maestro, generalmente en forma legible por la mquina, ya sea en una instalacin de computadora localizada centralmente o en un nmero de instalaciones distribuidas por toda una organizacin. Es probable que los programas de computadora que dan la capacidad de obtener acceso a, y de alterar dichos datos estn almacenados en la misma ubicacin que los datos. Por lo tanto, en ausencia de controles apropiados, hay un mayor potencial para acceso no autorizado a, y alteracin de, programas y datos. Naturaleza del Procesamiento El uso de computadoras puede dar como resultado el diseo de sistemas que proporcionen menos evidencia que aquellos que se usen procedimientos manuales. Adems, estos sistemas pueden ser accesibles a un mayor nmero de personas. Las caractersticas del sistema que pueden ser resultado de la naturaleza del procesamiento CIS, incluyen: Ausencia de documentos de entrada: Los datos pueden ser alimentados directamente al sistema por computadora sin documentos que los soporten. En algunos sistemas de transaccin en lnea, la evidencia por escrito de la autorizacin de alimentacin de datos individuales (por ejemplo, aprobacin para entrada de pedidos) puede ser reemplazada por otros procedimientos, como los controles de autorizacin contenidos en los programas de computadoras (por ejemplo, aprobacin de lmite de crdito). Falta de rastro visible de transacciones: Ciertos datos pueden mantenerse en archivos de computadoras solamente. En un sistema manual, normalmente es posible seguir una transaccin a travs del sistema examinando un entorno de CIS, sin embargo, el rastro de la transaccin puede estar parcialmente en forma legible por mquina, y todava ms, puede existir slo por un perodo limitado de tiempo. Falta de datos de salida visibles: Ciertas transacciones o resultados del procesamiento pueden no imprimirse. En un sistema manual, y en algunos sistemas de CIS, es posible normalmente examinar en forma visual los resultados del procesamiento. En otros sistemas de CIS, los resultados del procesamiento no pueden imprimirse, o pueden imprimirse slo datos resumidos. As, la falta de datos de salida

visibles puede dar como resultado la necesidad de tener acceso a datos retenidos en archivos legibles slo por computadora. Facilidad de acceso a datos y programas de computadora: Se puede tener acceso a los datos y los programas de computadora, y pueden ser alterados, en la computadora o por medio del uso de equipo de computacin en lugares remotos. Por lo tanto, en ausencia de controles apropiados, hay un potencial mayor para el acceso no autorizado a, y la alteracin de, datos y programas por personas dentro o fuera de la organizacin. Aspectos de Diseo y de Procedimiento El desarrollo de CIS generalmente dar como resultado el diseo y caractersticas de procedimientos que son diferentes de los que se encuentran en los sistemas manuales. Estos aspectos diferentes de diseo y de procedimiento de CIS incluyen: Consistencia de funcionamiento: El CIS desempea funciones exactamente como se les programe y son potencialmente ms confiables que los sistemas manuales, previsto que todos los tipos de transaccin y todas las condiciones que puedan ocurrir se anticipen e incorporen en el sistema. Por otra parte, un programa de computadora que no est correctamente programado y probado puede procesar en forma consistente transacciones u otros datos en forma errnea. Procedimientos de control programados: La naturaleza del procesamiento por computadora permite el diseo de procedimientos de control interno en los programas de computadora. Estos procedimientos pueden ser diseados para proporcionar controles con visibilidad limitada (por ejemplo se puede dar proteccin de datos contra acceso no autorizado mediante el uso de palabras clave.) Pueden disearse otros procedimientos para uso con intervencin manual, tales como la revisin de informes impresos para reportar excepciones y errores, y verificaciones de razonabilidad y lmites de los datos. Actualizacin sencilla de una transaccin en archivo mltiple o de base de datos: Una entrada sencilla al sistema de contabilidad puede automticamente actualizar todos los registros asociados con la transaccin. (por ejemplo, los documentos de embarque de mercadera pueden actualizar las ventas y los archivos de cuentas por cobrar a clientes, as como el archivo de inventario). As, una entrada equivocada en dicho sistema puede crear errores en diversas cuentas financieras. Transacciones generadas por sistemas: Ciertas transacciones pueden iniciarse por el CIS sin necesidad de un documento de entrada. La autorizacin de dichas transacciones puede no ser evidenciada con documentos de entrada visibles ni documentada en la misma forma que las transacciones que se inician fuera del CIS (por ejemplo, el inters puede ser calculado y cargado automticamente a los saldos de cuentas de clientes con base en trminos previamente autorizados contenidos en un programa por computadora.) Vulnerabilidad de datos y medio de almacenamiento de programas: Grandes volmenes de datos y los programas de computadora usados para procesar dichos datos pueden almacenarse en medios de almacenamiento porttil o fijo, como discos o cintas magnticas. Estos medios son vulnerables al robo, prdida, o destruccin intencional o accidental. Controles Internos en un Entorno del CIS Los controles internos sobre el procesamiento por computadora, que ayudan a lograr objetivos globales del control interno, incluyen tanto procedimientos manuales como procedimientos integrados en programas por computadora. Dichos procedimientos de control manual y por computadora comprenden los controles globales que afectan el entorno de CIS (controles generales de CIS) y los controles especficos sobre las aplicaciones contables (controles de aplicacin CIS).

Controles Generales del CIS El propsito de los controles generales de CIS es establecer un marco de referencia de control global sobre las actividades de CIS y proporcionar un nivel razonable de certeza de que se logran los objetivos globales del control interno. Los controles generales del CIS pueden incluir lo siguiente: 1. Controles de organizacin y administracin: Diseados para establecer un marco de referencia organizacional sobre las actividades de CIS incluyendo: Polticas y procedimientos relativos a funciones de control Segregacin apropiada de funciones incompatibles (por ejemplo, preparacin de transacciones de entrada, programacin y operaciones por computadora.) 2. Desarrollo de sistemas de aplicacin y controles de mantenimiento: Diseados para proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de manera eficiente y autorizada. Tambin estn diseados tpicamente para establecer control sobre: Pruebas, conversin, implementacin y documentacin de sistemas nuevos y revisados Cambios a sistemas de aplicacin Acceso a documentacin de sistemas Adquisicin de sistemas de aplicacin con terceros. 3. Controles de operacin de computadoras: Diseados para controlar la operacin de los sistemas y proporcionar certeza razonable de que: Los sistemas son usados para propsitos autorizados nicamente El acceso a las operaciones de la computadora es restringido a personal autorizado Slo usan programas autorizados Los errores de procesamiento son detectados y corregidos. 4. Controles del software de sistemas: Diseados para proporcionar razonable certeza de que el software del sistema se adquiere o desarrolla de manera autorizada y eficiente, incluyendo: Autorizacin, aprobacin, pruebas, implementacin y documentacin de software de sistemas nuevos y modificaciones del software de sistemas Restriccin de acceso a software y documentacin de sistemas al personal autorizado. 5. Controles de entrada de datos y de programas: Diseados para proporcionar razonable certeza de que: Hay establecida una estructura de autorizacin sobre las transacciones que se alimentan al sistema El acceso a datos y programas est restringido a personal autorizado. Hay otras salvaguardas del CIS que contribuyen a la continuidad del procesamiento del CIS. Estas pueden incluir: Respaldo de datos y programas de computadora en otro sitio Procedimientos de recuperacin para usarse en caso de robo, prdida o destruccin intencional o accidental Provisin para procesamiento externo en caso de desastre. Controles de Aplicacin del CIS El propsito de los controles de aplicacin de CIS es establecer procedimientos especficos de control sobre las aplicaciones contables para proporcionar razonable certeza de que todas las transacciones estn autorizadas y registradas, y son procesadas completamente, con exactitud y con oportunidad. Los controles de aplicacin de CIS incluyen:

1. Controles sobre datos de entrada: Diseados para proporcionar razonable certeza de que: Las transacciones son autorizadas en forma apropiada antes de ser procesadas por la computadora Las transacciones son convertidas con exactitud a una forma legible por mquina y registradas en los archivos de datos de la computadora Las transacciones no estn perdidas, aadidas, duplicadas o cambiadas en forma impropia Las transacciones incorrectas son rechazadas, corregidas y, si es necesario, vueltas a procesar oportunamente. 2. Controles sobre el procesamiento y sobre archivos de datos de la computadora: Diseados para proporcionar certeza razonable de que: Las transacciones, incluyendo las transacciones generadas por el sistema, son procesadas en forma apropiada por la computadora Las transacciones no estn perdidas, aadidas, duplicadas o cambiadas en forma no apropiada Los errores de procesamiento son identificados y corregidos oportunamente. 3. Controles sobre los datos de salida: Diseados para proporcionar razonable certeza de que: Los resultados del procesamiento son exactos El acceso a los datos de salida est restringido a personal autorizado Los datos de salida se proporcionan al personal autorizado apropiado oportunamente. Revisin de los Controles Generales del CIS. El auditor deber considerar cmo estos controles generales del CIS afectan las aplicaciones del CIS importantes para la auditora. Los controles generales del CIS que se relacionan a algunas o todas las aplicaciones son controles tpicamente interdependientes en cuanto a que su operacin es a menudo esencial para la efectividad de los controles de aplicacin del CIS. Consecuentemente puede ser ms eficiente revisar el diseo de los controles generales antes de revisar los controles de aplicacin. Revisin de Controles de Aplicacin del CIS El control sobre los datos de entrada, procesamiento, archivos de datos y salida de datos puede ser desempeado por personal del CIS, por usuarios del sistema, por un grupo de control separado o puede ser programado en el software de aplicacin. Los controles de aplicacin del CIS que el auditor puede desear probar incluyen: Controles manuales ejercidos por el usuario: Si los controles manuales ejercidos por el usuario del sistema de aplicacin tienen la capacidad de dar una certeza razonable de que los datos de salida del sistema son completos, exactos y autorizados, el auditor puede decidir limitar las pruebas de control a estos controles manuales (por ejemplo, los controles manuales ejercidos por el usuario sobre el sistema computarizado de nminas para empleados asalariados podra incluir un total anticipado del control de entradas para los pagos brutos, la comprobacin de los clculos de salida de salarios netos, la aprobacin de pagos y transferencia de fondos, la comparacin con las cifras del registro de nmina, y una rpida conciliacin bancaria.) En este caso, el auditor puede desear probar slo los controles manuales ejercidos por el usuario. Controles sobre los datos de salida del sistema: Si, adems de los controles manuales ejercidos por el usuario, los controles que deben probarse usan informacin producida por la computadora o estn contenidos dentro de programas de computadora, puede ser posible probar dichos controles examinando los datos de salida del sistema usando tcnicas de auditora ya sea manual o con ayuda de computadora. Dichos datos

de salida pueden ser en forma de medios magnticos, microfilm o impresos (por ejemplo, el auditor puede probar los controles ejercidos por la organizacin sobre la conciliacin de totales de reportes con las cuentas de control del libro mayor y puede realizar pruebas manuales de dichas conciliaciones). Alternativamente, cuando la conciliacin se realiza por computadora, el auditor puede desear probar la conciliacin volviendo a ejecutar el control con el uso de tcnicas de auditora con ayuda de computadora. Procedimientos de control programados: En el caso de ciertos sistemas por computadora, el auditor puede encontrar que no sea posible o, en algunos casos, no sea prctico probar los controles examinando slo los controles del usuario o los datos de salida del sistema (por ejemplo, en una aplicacin que no da resultados impresos de aprobaciones crticas o violaciones a las polticas normales, el auditor puede querer probar los procedimientos de control contenidos dentro del programa de aplicacin.) El auditor puede considerar llevar a cabo pruebas de control con el uso de tcnicas de auditora con ayuda de computadora, como prueba de los datos, reprocesamiento de datos de transacciones o, en situaciones inusuales, examinar la codificacin del programa de aplicacin. Evaluacin Los controles generales del CIS pueden tener un efecto significativo en el procesamiento de transacciones en los sistemas de aplicacin. Si estos controles no son efectivos, puede haber un riesgo de que pudieran ocurrir representaciones errneas y no ser detectadas en los sistemas de aplicacin. As, las debilidades en los controles generales del CIS pueden imposibilitar la prueba de ciertos controles de aplicacin del CIS; sin embargo, los procedimientos manuales ejercidos por los usuarios pueden proporcionar control efectivo al nivel de aplicacin. DIPA 1009: Tcnicas de Auditoria con la ayuda de la computadora Los objetivos y alcance global de una auditoria no cambian cuando se conduce una auditoria en un ambiente de sistemas de informacin de cmputo (CIS). Sin embargo, la aplicacin de procedimientos de auditora puede requerir que el auditor considere tcnicas conocidas como Tcnicas de auditora con ayuda de computadora (TAACs) que usan la computadora como una herramienta de auditora. Las TAACs pueden mejorar la efectividad y eficiencia de los procedimientos de auditora. Pueden tambin proporcionar pruebas de control efectivas y procedimientos sustantivos cuando no haya documentos de entrada o un rastro visible de auditora, o cuando la poblacin y tamaos de muestra sean muy grandes. El propsito de esta declaracin es proporcionar lineamientos sobre el uso de TAACs. Se aplica a todos los usos de TAACs que requieran el uso de una computadora de cualquier tipo o tamao. Las consideraciones especiales que se refieren a ambientes de CIS en entidades pequeas se describen ms adelante. Descripcin de tcnicas de auditora con ayuda de computadora Esta declaracin describe las tcnicas de auditora con ayuda de computadora incluyendo herramientas de auditora, conocidas en forma colectiva como TAACs. Las TAACs pueden usarse para desarrollar diversos procedimientos de auditora, incluyendo los siguientes: Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de software de auditora para recalcular los intereses o la extraccin de facturas por encima de un cierto valor de los registros de computadora Procedimientos analticos, por ejemplo, identificar inconsistencias o fluctuaciones importantes

Pruebas de controles generales, por ejemplo, pruebas de la instalacin o configuracin del sistema operativo o procedimientos de acceso a las bibliotecas de programas o el uso de software de comparacin de cdigos para verificar que la versin del programa en uso es la versin aprobada por la administracin Muestreo de programas para extraer datos para pruebas de auditora Pruebas de controles de aplicacin, por ejemplo, pruebas del funcionamiento de un control programado Rehacer clculos realizados por los sistemas de contabilidad de la entidad. Las TAACs son programas y datos de computadora que el auditor usa como parte de los procedimientos de auditora para procesar datos importantes para la auditoria contenidos en los sistemas de informacin de una entidad. Los datos pueden ser datos de transacciones, sobre los que el auditor desea realizar pruebas de controles o procedimientos sustantivos, o pueden ser otros tipos de datos. Por ejemplo, los detalles de la aplicacin de algunos controles generales pueden mantenerse en forma de archivos de texto u otros archivos por aplicaciones que no sean parte del sistema contable. El auditor puede usar TAACs para revisar dichos archivos para obtener evidencia de la existencia y operacin de dichos controles. Las TAACs pueden consistir en programas de paquete, programas escritos para un propsito, programas de utilera o programas de administracin del sistema. Independientemente del origen de los programas, el auditor ratifica que sean apropiados y su validez para fines de auditora antes de usarlos: Los programas en paquete son programas generalizados de computadora diseados para desempear funciones de procesamiento de datos, tales como leer datos, seleccionar y analizar informacin, hacer clculos, crear archivos de datos as como dar informes en un formato especificado por el auditor. Los programas escritos para un propsito desempean tareas de auditoria en circunstancias especficas. Estos programas pueden desarrollarse por el auditor, por la entidad que est siendo auditada o por un programador externo contratado por el auditor. En algunos casos el auditor puede usar los programas existentes de una entidad en su estado original o modificados porque as puede ser ms eficiente que desarrollar programas independientes. Los programas de utileras se usan por una entidad para desempear funciones comunes de procesamiento de datos, tales como clasificacin, creacin e impresin de archivos. Estos programas generalmente no estn diseados para propsitos de auditoria y, por lo tanto, pueden no contener caractersticas tales como conteos automticos de registros o totales de control. Los programas de administracin del sistema son herramientas de productividad mejorada que tpicamente son parte de un ambiente sofisticado de sistemas operativos, por ejemplo, software de recuperacin de datos o software de comparacin de cdigos. Como los programas de utileras, estas herramientas no estn diseadas especficamente para usarlos en auditoria y su uso requiere un cuidado adicional. Las rutinas de auditoria incorporadas a veces estn integradas en un sistema de computadoras de una entidad para proporcionar datos de uso posterior por el auditor. Incluyen: 1. Fotos instantneas: Esta tcnica implica tomar una foto de una transaccin mientras fluye por los sistemas de computadora. Las rutinas del software de auditoria estn incorporadas en diferentes puntos de la lgica del procesamiento para capturar imgenes de la transaccin mientras avanza por las diversas etapas del procesamiento. Esta tcnica permite al auditor rastrear los datos y evaluar los procesos de computadora aplicados a los datos.

2. Archivo de revisin de auditoria del control del sistema. Este implica incorporar mdulos de software de auditoria dentro de un sistema de aplicaciones para proporcionar monitoreo continuo de las transacciones del sistema. La informacin es reunida en un archivo especial de computadora que el auditor puede examinar. Las tcnicas de datos de prueba a veces se usan durante una auditoria, alimentando datos (por ejemplo, una muestra de transacciones) en el sistema de computadora de una entidad y comparando los resultados obtenidos con resultados predeterminados. Un auditor podra usar datos de prueba para: 1. Poner a prueba controles especficos en programas de computadora, tales como controles en lnea de contraseas y acceso a datos; 2. Poner a prueba transacciones seleccionadas de transacciones previamente procesadas o creadas por el auditor para poner a prueba caractersticas especficas de procesamiento de los sistemas de informacin de una entidad. Dichas transacciones generalmente son procesadas por separado del procesamiento normal de la entidad; y 3. Poner a prueba transacciones usadas en un mecanismo integrado de pruebas donde se establece una unidad modelo (por ejemplo, un departamento o empleado ficticio), a la cual se le registran las transacciones durante el ciclo de procesamiento normal. Cuando se procesan los datos de prueba con el procesamiento normal de la entidad, el auditor se asegura de que las transacciones de prueba sean eliminadas posteriormente de los registros contables de la entidad. El creciente poder y sofisticacin de las microcomputadoras, particularmente laptops, ha dado como resultado otras herramientas para uso del auditor. En algunos casos, las laptops sern enlazadas a los sistemas de computadora central del auditor. Ejemplos de estas tcnicas incluyen: Sistemas expertos, por ejemplo en el diseo de programas de auditoria y en la planeacin de auditoria y evaluacin de riesgos Herramientas para evaluar los procedimientos de un cliente para la administracin de riesgos Papeles de trabajo electrnicos, planeados para la extraccin directa de datos de los registros de la computadora del cliente, por ejemplo: descargar el libro mayor para pruebas de auditoria. Programas de modelaje corporativo y financiero para usar como pruebas predecibles de auditoria. Estas tcnicas son ms comnmente conocidas como automatizacin de la auditoria. Consideraciones en el uso de TAACs Al planear una auditoria, el auditor puede considerar una combinacin apropiada de tcnicas de auditoria manuales y con ayuda de computadora. Al evaluar el uso de TAACs, los factores a considerar incluyen: Antes de usar TAACs el auditor considera los controles incorporados en el diseo de los sistemas de computadora de la entidad a los que se aplicaran stas para determinar cmo deberan emplearse. 1. Conocimiento, pericia y experiencia del equipo de auditora del ambiente de CIS La NIA 401, Auditoria en un Ambiente de Sistemas de Informacin por Computadora trata del nivel de habilidades y competencia que necesita el equipo de auditora para conducir una auditoria en un ambiente de CIS. Proporciona lineamientos para cuando un auditor delega trabajo a ayudantes con habilidades de CIS o cuando se usa el trabajo de otros auditores o expertos con dichas habilidades. Especficamente, el equipo de auditora deber tener suficiente conocimiento para planear, ejecutar y usar

los resultados de la TAAC particular que se adopte. El nivel de conocimiento requerido depende de la complejidad y naturaleza de la TAAC y del sistema de informacin de la entidad. 2. Disponibilidad de TAACs e instalaciones adecuadas de computacin El auditor deber considerar la disponibilidad de las TAACs, instalaciones adecuadas de computacin y los sistemas de informacin y datos necesarios basados en computadoras. El auditor puede planear el uso de otras instalaciones de computacin cuando el uso de TAACs en una computadora de la entidad no es econmico o no es factible, por ejemplo, a causa de una incompatibilidad entre el programa del paquete del auditor y la computadora de la entidad. Adems, el auditor puede elegir usar sus propias instalaciones, como microcomputadoras o laptops. Puede requerirse la cooperacin del personal de la entidad para proporcionar las instalaciones de procesamiento en un horario cmodo, para ayudar con actividades como la carga y ejecucin de las TAACs en el sistema de la entidad, y proporcionar copias de archivos de datos en el formato requerido por el auditor. 3. Imposibilidad de pruebas manuales Quiz no sea posible desempear manualmente algunos procedimientos de auditoria porque dependen de un procesamiento complejo (por ejemplo, anlisis estadstico avanzado) o implica cantidades de datos que sobrepasaran cualquier procedimiento manual. Adems, muchos sistemas de informacin por computadora desempean tareas para las que no hay evidencia de copias impresas disponibles y, por lo tanto, puede no ser factible para el auditor desempear las pruebas manualmente. La falta de evidencia en copias impresas puede ocurrir en diferentes etapas del ciclo de negocios. La fuente de informacin puede ser iniciada electrnicamente por la activacin de voz, imgenes electrnicas de datos o transferencias electrnicas de fondos en el punto de venta. Adems, algunas transacciones como descuentos y clculo de intereses, pueden generarse directamente por programas de computadora sin autorizacin especfica de las transacciones individuales. Un sistema puede no producir un rastro visible de auditoria que proporcione certeza sobre la totalidad y exactitud de las transacciones procesadas. Por ejemplo, un programa de computadora podra cotejar las notas de entrega con las facturas de proveedores. Adems, los procedimientos de control programados como verificacin de lmites de crdito de clientes, pueden proporcionar evidencia de copia impresa slo con base en excepciones. Un sistema puede no producir informes en copia impresa. Adems, un informe impreso puede contener slo totales resumidos mientras que los archivos de computadora retienen los detalles de soporte. 4. Efectividad y eficiencia La efectividad y eficiencia de los procedimientos de auditoria pueden mejorarse usando las TAACs para obtener y evaluar la evidencia de auditoria. Las TAACs son a menudo un medio eficiente de poner a prueba un gran nmero de transacciones o controles sobre grandes volmenes por medio de: Analizar y seleccionar muestras de un gran volumen de transacciones; Aplicar procedimientos analticos; y Desarrollar procedimientos sustantivos. Los asuntos relacionados con la eficiencia que pueden ser considerados por el auditor incluyen: El tiempo para planear, disear, ejecutar y evaluar la TAAC Revisin tcnica y horas de asistencia Diseo e impresin de formas (por ejemplo, confirmaciones)

Disponibilidad de recursos de computacin. Al evaluar la efectividad y eficiencia de una TAAC, el auditor puede considerar el uso continuo de la aplicacin de la TAAC. La planeacin inicial, diseo y desarrollo de una TAAC generalmente beneficiar a las auditorias de perodos posteriores. 5. Oportunidad Ciertos datos, como detalles de transacciones, a menudo se conservan por slo un corto tiempo, y pueden no estar disponibles en forma legible por la mquina para cuando el auditor lo requiere. As, el auditor necesitar hacer arreglos para la retencin de los datos requeridos, o puede necesitar alterar la programacin del trabajo que requiera de estos datos. Cuando el tiempo disponible para desempear una auditoria sea limitado, el auditor puede planear el uso de una TAAC, porque cumplir con su requerimiento de tiempo mejor que otros procedimientos posibles. Utilizacin de TAACs Los pasos principales que debe tomar el auditor en la aplicacin de una TAAC son: Establecer el objetivo de aplicacin de la TAAC Determinar el contenido y accesibilidad de los archivos de la entidad Identificar los archivos especficos o bases de datos que deben examinarse Entender la relacin entre las tablas de datos cuando deba examinarse una base de datos Definir las pruebas o procedimientos especficos y transacciones relacionadas y saldos afectados Definir los requerimientos de datos de salida Convenir con el usuario y departamentos de CIS, si es apropiado, en las copias de los archivos relevantes o tablas de bases de datos que deben hacerse en la fecha y momento apropiado del corte Identificar al personal que puede participar en el diseo y aplicacin de la TAAC Refinar las estimaciones de costos y beneficios Asegurarse que el uso de la TAAC est controlado y documentado en forma apropiada Organizar las actividades administrativas, incluyendo las habilidades necesarias e instalaciones de computacin Conciliar los datos que deban usarse para la TAAC con los registros contables; Ejecutar la aplicacin de la TAAC Evaluar los resultados. 1. Control de la aplicacin de la TAAC Los procedimientos especficos necesarios para controlar el uso de una TAAC dependen de la aplicacin particular. Al establecer el control, el auditor considera la necesidad de: a. Aprobar especificaciones y conducir una revisin del trabajo que deba desarrollar la TAAC. b. Revisar los controles generales de la entidad que puedan contribuir a la integridad de la TAAC, por ejemplo, controles sobre cambios a programas y acceso a archivos de computadora. Cuando dichos controles no son confiables para asegurar la integridad de la TAAC, el auditor puede considerar el proceso de la aplicacin de la TAAC en otra instalacin de computacin adecuada. c. Asegurar la integracin apropiada de los datos de salida dentro del proceso de auditoria por parte del auditor.

Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones de la TAAC pueden incluir: a. Participar en el diseo y pruebas de la TAAC. b. Verificar, si es aplicable, la codificacin del programa para asegurar que est de acuerdo con las especificaciones detalladas del programa. c. Solicitar al personal de computacin de la entidad revisar las instrucciones del sistema operativo para asegurar que el software correr en la instalacin de computacin de la entidad. d. Ejecutar el software de auditoria en pequeos archivos de prueba antes de ejecutarlo en los archivos principales de datos. e. Verificar si se usaron los archivos correctos, por ejemplo, verificando la evidencia externa, como totales de controles mantenidos por el usuario, y que dichos archivos estn completos. f. Obtener evidencia de que el software de auditoria funcion segn lo planeado, por ejemplo, revisando los datos de salida y la informacin de control. g. Establecer medidas apropiadas de seguridad para salvaguardar la integridad y confidencialidad de los datos. Cuando el auditor tiene la intencin de desarrollar procedimientos de auditoria en forma concurrente con procesamiento en lnea, el auditor revisa dichos procedimientos con el personal apropiado del cliente y obtiene aprobacin antes de conducir las pruebas para ayudar a evitar la alteracin inadvertida de los registros del cliente. Para asegurar procedimientos de control apropiados, no se requiere necesariamente la presencia del auditor en la instalacin de computacin durante la ejecucin de una TAAC. Sin embargo, esto puede proporcionar ventajas prcticas, como controlar la distribucin de los datos de salida y asegurar la correccin oportuna de errores, por ejemplo, si se fuera a usar un archivo de entrada equivocado. Los procedimientos de auditoria para controlar las aplicaciones de datos de prueba pueden incluir: a. Controlar la secuencia de presentacin de datos de prueba cuando se extienda a varios ciclos de procesamiento. b. Realizar corridas de prueba que contengan pequeas cantidades de datos de prueba antes de presentar los datos de prueba principales de la auditoria c. Predecir los resultados de los datos de prueba y compararlos con la salida real de datos de pruebas, para las transacciones individuales y, en total d. Confirmar que se us la versin actual de los programas para procesar los datos de prueba e. Poner a prueba si los programas usados para procesar los datos de prueba fueron utilizados por la entidad durante el periodo aplicable de auditoria. Cuando el auditor utilice una TAAC, puede requerir la cooperacin de personal de la entidad con amplio conocimiento de la instalacin de computacin. En estas circunstancias, el auditor puede considerar si el personal influy en forma inapropiada en los resultados de la TAAC. Los procedimientos de auditoria para controlar el uso de un software de ayuda para la auditoria pueden incluir: a. Verificar la totalidad, exactitud y disponibilidad de los datos relevantes, por ejemplo, pueden requerirse datos histricos para elaborar un modelo financiero b. Revisar la razonabilidad de los supuestos usados en la aplicacin del conjunto de herramientas, particularmente cuando se usa software de modelaje c. Verificar la disponibilidad de recursos con habilidad en el uso y control de las herramientas seleccionadas

d. Confirmar lo adecuado del conjunto de herramientas para el objetivo de auditoria, por ejemplo, puede ser necesario el uso de sistemas especficos para la industria en el diseo de programas de auditoria para negocios con ciclos nicos. 2. Documentacin El estndar de papeles de trabajo y de procedimientos de retencin para una TAAC es consistente con el de la auditoria como un todo. Los papeles de trabajo necesitan contener suficiente documentacin para describir la aplicacin de la TAAC, tal como: - Planeacin Objetivos de la TAAC Consideracin de la TAAC especifica que se va a usar Controles que se van a ejercer Personal, tiempo, y costo. - Ejecucin Preparacin de la TAAC y procedimientos de prueba y controles Detalles de las pruebas realizadas por la TAAC Detalles de datos de entrada, procesamiento y datos de salida Informacin tcnica relevante sobre el sistema de contabilidad de la entidad, tal como la organizacin de archivos. - Evidencia de auditoria Datos de salida proporcionados Descripcin del trabajo de auditoria desarrollado en los datos de salida Conclusiones de auditoria. - Otros Recomendaciones a la administracin de la entidad Adems, puede ser til documentar las sugerencias para usar la TAAC en aos futuros. 3. Utilizacin de TAACs en ambientes de CIS en entidades pequeas Aunque los principios generales explicados en esta declaracin se aplican a ambientes de CIS en entidades pequeas, los siguientes puntos necesitan consideracin especial: El nivel de controles generales puede ser tal que el auditor deposite menos confiabilidad en el sistema de control interno. Esto dar como resultado un mayor nfasis sobre pruebas de detalles de transacciones y saldos y procedimientos analticos de revisin, lo que puede incrementar la efectividad de ciertas TAACs, particularmente software de auditoria Cuando se procesan volmenes menores de datos, los mtodos manuales pueden ser de costo ms efectivo. Una entidad pequea quiz no pueda proporcionar al auditor ayuda tcnica adecuada, haciendo poco factible el uso de TAACs. Ciertos programas de auditora en paquete pueden no operar en computadoras pequeas, restringiendo as la opcin del auditor en cuanto a TAACs. Sin embargo, los archivos de datos de la entidad pueden copiarse y procesarse en otra computadora adecuada DIPA 1013: Comercio Electrnico-Efecto en la Auditoria de los Estados Financieros El propsito de esta Declaracin Prctica Internacional de Auditoria es proveer asistencia a los auditores de estados financieros cuando la entidad cuyos estados

financieros que estn siendo auditados, se ocupan de una actividad comercial que tiene lugar mediante la conexin de computadores a una red pblica tal como la internet. Las orientaciones de esta Declaracin son particularmente relevante con la aplicacin de los siguientes Estndares de Auditoria: 300 Planeacin, 310 Conocimiento del Negocio, 400 Valoracin de Riesgos y Control Interno, 401 Auditoria en Ambientes Computarizados y Sistemas de Informacin. El uso de redes pblicas para negocios asociados con el consumidor final (B-C), Negocio a Negocio (B-B), Negocio a Gobierno (B-G), Negocio a Empleados (B-E), comercio electrnico (e-com), presentan riesgos nicos que deben ser dirigidos hacia la entidad y considerados por el auditor cuando planea el desarrollo de la auditoria de estados financieros. Esta declaracin identifica asuntos especficos para asistir al auditor cuando considera significativo el comercio electrnico para las actividades de la entidad y los efectos en la valoracin de los riesgos que l requiere para formarse una opinin sobre los estados financieros. En ausencia de un compromiso separado, el propsito de las consideraciones del auditor, diferentes a formarse una opinin, pueden ser proveer una consultora, recomendaciones concernientes a los negocios de la entidad relacionados con el comercio electrnico, sistemas o actividades propias. Comunicaciones y transacciones sobre la red a travs de computadores, no son una nueva caracterstica del desarrollo de los negocios. Algunos ejemplos de experiencias anteriores son: Procesos del negocio que frecuentemente interactan con un computador remoto, el uso de redes de computadores e intercambio de datos electrnicos (EDI). Sin embargo, el incremento en el uso de internet para los negocios electrnicos, introduce nuevos elementos de riesgo que requieren consideracin por parte del auditor. El internet se refiere a la red mundial de computadores inter-comunicados; esto es una red pblica compartida que es capaz de comunicarse con otras entidades e individuos alrededor del mundo. Esto es interoperable, lo cual significa que cualquier computador conectado al internet, puede comunicarse con cualquier otro computador conectado al internet. El internet es una red pblica, en contraste con redes privadas a las cuales solo tienen acceso entidades o personas autorizadas. El uso de redes pblicas introduce riesgos especiales que deben ser analizados por la entidad. El incremento de actividades en internet sin la debida atencin de los riesgos por parte de la entidad, puede tener efectos para la valoracin de los mismos por parte del auditor. Mientras esta Declaracin ha sido escrita para situaciones cuando la entidad se introduce en actividades comerciales sobre una red pblica tal como internet, muchas de las orientaciones aqu expuestas pueden ser tambin utilizadas para redes privadas. Similarmente, las consideraciones pueden ser aplicadas en entidades formadas primordialmente para negocios electrnico. Habilidades y Conocimientos. El nivel de habilidades y conocimientos requeridos para interpretar los efectos del comercio electrnico en la auditoria, variar con la complejidad de las actividades realizadas en el internet por parte de la entidad. El nivel de formacin en Tecnologa de la Informacin (IT) y de negocios electrnicos en internet, ir tan lejos como los potenciales efectos sobre los estados financieros de: Estrategias y actividades de la entidad sobre los negocios electrnicos. La tecnologa usada para facilitar la inmersin de la entidad en los negocios electrnicos y las habilidades y conocimientos del personal de la entidad para la Tecnologa de la Informacin (IT).

Los riesgos asociados con el uso de los negocios electrnicos de la entidad en internet y la direccin aproximada de dichos riesgos, principalmente lo adecuado del sistema de control interno y los procesos de reportes financieros. El auditor debe considerar si el personal asignado para introducirse en los negocios electrnicos, tiene apropiadas habilidades y conocimientos en Tecnologa de la Informacin (IT) e internet e-com. Cuando dichas transacciones electrnicas tienen un efecto significativo sobre los negocios de la entidad, pueden ser requeridas algunas competencias especiales, tales como: Conocer los riesgos inherentes en la entidad sobre las actividades en negocios electrnicos y las responsabilidades administrativas por dichos riesgos incluidos los del sistema de control interno y la contabilidad. Elaborar las preguntas apropiadas acerca del uso de negocios electrnicos en internet e interpretar adecuadamente las implicaciones de las respuestas obtenidas. Determinar la naturaleza, tiempo y extensin de procedimientos de auditoria y evaluacin de la evidencia. Considerar los efectos sobre la entidad de la dependencia de los negocios electrnicos en internet y la posible continuidad de los mismos. En ciertas circunstancias el auditor puede determinar el uso de expertos, por ejemplo si considera apropiado contratar otro profesional para la evaluacin de la seguridad (Prueba de vulnerabilidad o penetracin). Cuando dicho trabajo es utilizado, el auditor obtiene apropiada y suficiente evidencia de tal forma que la labor (Del experto) es adecuada para los propsitos de la auditoria.