EVALUACION

DE RIESGOS,
CONTROLES
Y
EVALUACION
EN
AUDITORIA

OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE

SISTEMAS:
1. Participacin en el desarrollo de nuevos sistemas:
evaluacin de controles
cumplimiento de la metodologa.
2. Evaluacin de la seguridad en el rea informtica.
3. Evaluacin de suficiencia en los planes de contingencia
(respaldos, preveer qu va a pasar si se presentan fallas).
4. Opinin de la utilizacin de los recursos informticos.
resguardo y proteccin de activos.
5. Control de modificacin a las aplicaciones existentes.
fraudes
control a las modificaciones de los programas.

6. Participacin en la negociacin de contratos con los

proveedores.
7. Revisin de la utilizacin del sistema operativo y los
programas
utilitarios.
control sobre la utilizacin de los sistemas operativos
programas utilitarios.
8. Auditora de la base de datos.
estructura sobre la cual se desarrollan las aplicaciones...
9. Auditora de la red de teleprocesos.

10. Desarrollo de software de auditora.

FINES DE LA AUDITORIA DE SISTEMAS:

1. Fundamentar la opinin del auditor interno (externo) sobre
la confiabilidad de los sistemas de informacin.
2. Expresar la opinin sobre la eficiencia de las operaciones
en el rea de TI.

Similitudes y diferencias con la auditora tradicional:

Similitudes:
No se requieren nuevas normas (iso) de auditora, son las
mismas.
Los elementos bsicos de un buen sistema de control
contable interno siguen siendo los mismos; por ejemplo, la
adecuada segregacin de funciones.
Los propsitos principales del estudio y la evaluacin del
control contable interno son la obtencin de evidencia para
respaldar una opinin y determinar la base, oportunidad y
extensin de las pruebas futuras de auditora.

Diferencias:
Se establecen algunos nuevos procedimientos de
auditora.
Hay diferencias en las tcnicas destinadas a mantener
un adecuado control interno contable.
Hay alguna diferencia en la manera de estudiar y evaluar
el control interno contable. Una diferencia significativa es
que en algunos procesos se usan programas.
El nfasis en la evaluacin de los sistemas manuales
esta en la evaluacin de transacciones, mientras que el
nfasis en los sistemas informticos, est en la evaluacin
del control interno.

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE

AFECTAN EL ENFOQUE DE LA AUDITORIA Y SUS
PROCEDIMIENTOS.
Complejidad de los sistemas.
Uso de lenguajes.
Metodologas, son parte de las personas y su experiencia.
Centralizacin.
Departamento de sistemas que coordina y centraliza todas
las operaciones relaciones los usuarios son altamente
dependientes del rea de sistemas.
Controles del computador.

Controles manuales, hoy automatizados (procedimientos

programados) .
Confiabilidad electrnica.
debilidades de las mquinas y tecnologa.
Transmisin y registro de la informacin en medios
magnticos, ptico y otros.
almacenamiento en medios que deben acceder a travs del
computador mismo.
Centros externos de procesamiento de datos.

RAZONES PARA LA EXISTENCIA DE LA FUNCION DE A.S.

1. La informacin es un recurso clave en la empresa para:
Planear el futuro, controlar el presente y evaluar el pasado.
2. Las operaciones de la empresa dependen cada vez ms de
la sistematizacin.
3. Los riesgos tienden a aumentar, debido a:
Prdida de informacin
Prdida de activos.
Prdida de servicios/ventas.
4. La sistematizacin representa un costo significativo para
la empresa en cuanto a: hardware, software y personal.
5. Los problemas se identifican slo al final.
6. El permanente avance tecnolgico.

REQUERIMIENTOS y ENTENDIMIENTOS DEL

AUDITOR DE SISTEMAS

1. Entendimiento global e integral del negocio, de sus

puntos claves, reas crticas, entorno econmico,
social y poltico.
2. Entendimiento del efecto de los sistemas en la
organizacin.
3. Entendimiento de los objetivos de la auditora.
4. Conocimiento de los recursos de computacin de la
empresa.
5. Conocimiento de los proyectos de sistemas.

Riesgos
La Real Academia Espaola define al riesgo como:
contingencia o proximidad de un dao
En The Institute of Internal Auditors (The IIA) define al
riesgo como: La posibilidad de que ocurra un acontecimiento
que tenga un impacto en la consecucin o logro de los
objetivos.
El riesgo se mide en trminos de impacto y probabilidad.

El riesgo global de auditora es el resultado de

la conjuncin de:
Aspectos aplicables exclusivamente al
negocio o actividad del ente,
independientemente de los sistemas de control
desarrollados.
Aspectos atribuibles a los sistemas de control.
Aspectos originados en la naturaleza, alcance
y oportunidad de los procedimientos de
auditora de un trabajo en particular.

Riesgo de auditora segn las NIA.

En estos prrafos se mencionan que: las entidades
siguen estrategias para lograr sus objetivos y, de
acuerdo con la naturaleza de sus operaciones e
industria, el entorno de regulacin en que operan, as
como su tamao y complejidad, se enfrentan a una
diversidad de riesgos de negocios.

 Aspectos Aplicables exclusivamente al negocio o

actividad del ente (Riesgo Inherente)
Aspectos atribuibles a los sistemas de control,
incluyendo auditoria interna (Riesgo de control)
Aspectos originados en la naturaleza, alcance y
oportunidad de los procedimientos de auditora de
un trabajo en particular (Riesgo de deteccin)
Investigar 5 riesgos de AS para la otra semana

QU SON RIESGOS DE
AUDITORIA?
Las eventualidades o contingencias que existen en
razn de diversos factores, relacionados con la
estructura, actividades y personas que actan en la
entidad y por efecto de las cuales el auditor pueda no
detectar error o falsedad en la informacin que
examina o irregularidades en el proceder de los
operadores, lo cual lo puede conducir a concluir
inadecuadamente.
En otras palabras, Riesgo se refiere a condiciones o
circunstancias futuras que tendrn un impacto adverso
si se llegan a presentar. Un riesgo es un problema
potencial que no se ha presentado aun.

El RIESGO DE AUDITORA es la
posibilidad de emitir un informe de
auditora incorrecto por no haber
detectado errores o irregularidades
significativas que modificaran el
sentido de la opinin vertida en el
informe.

La evaluacin del riesgo inherente, generalmente, debe

estar limitada a programas, transacciones o cuentas
significativas. Las condiciones que podran indicar la
existencia de un riesgo inherente:
Naturaleza de los programas de la entidad;
Antecedentes previos de ajustes de auditora significativos
Naturaleza de transacciones y cuentas importantes
La evaluacin del riesgo de control es el proceso de
evaluar la eficacia de los sistemas de contabilidad y control
interno de la entidad, con el objeto de prevenir, detectar y
corregir las distorsiones materiales identificadas. El auditor
debe evaluar el riesgo de control en uno de los tres niveles
siguientes :
Riesgo bajo
Riesgo medio
Riesgo alto

POR QU EVALUAR RIEGOS DE

AUDITORIA?
Porque es la base para la
determinacin del enfoque de
auditora a aplicar.
La identificacin de los distintos
factores de riesgo, su clasificacin y
evaluacin permiten concentrar la
labor de auditora en el rea de
mayor riesgo
Es inevitable que exista algn grado de riesgo

RIESGOS ASOCIADOS AL AREA DE TI:

Hardware
-Descuido o falta de proteccin: Condiciones
inapropiadas, mal manejo, no observancia de las
normas.
- Destruccin.

RIESGOS ASOCIADOS AL AREA DE TI:

Software:
-uso o acceso,
-copia,
-modificacin,
-destruccin,
-hurto,
-errores u omisiones.

RIESGOS ASOCIADOS AL AREA DE TI:

Archivos:
-Usos o acceso,
-copia, modificacin,
destruccin, hurto.

RIESGOS ASOCIADOS AL AREA DE TI:

Organizacin:
-Inadecuada: no funcional, sin divisin de funciones.
-Falta de seguridad,
-Falta de polticas y planes.

Personal:
- Deshonesto, incompetente y descontento.
Usuarios:
-Enmascaramiento, falta de autorizacin,
-falta de conocimiento de su funcin.

CONTROLES: HERE!!!!!!
Los datos son uno de los recursos ms valiosos de las
organizaciones y, aunque son intangibles, necesitan ser
controlados y auditados con el mismo cuidado que los
dems inventarios de la organizacin, por lo cual se debe
tener presente:
a) La responsabilidad de los datos es compartida
conjuntamente por alguna funcin determinada y el
departamento de cmputo.

CONTROLES
b) Un problema de dependencia que se debe considerar es
el que se origina por la duplicidad de los datos y consiste
en poder determinar los propietarios o usuarios
posibles(principalmente en el caso de redes y banco de
datos) y la responsabilidad de su actualizacin y
consistencia.
c) Los datos debern tener una clasificacin estndar y un
mecanismo de identificacin que permita detectar
duplicidad y redundancia dentro de una aplicacin y de
todas las aplicaciones en general.

d) Se deben relacionar los elementos de los datos con

las bases de datos donde estn almacenados, as como
los reportes y grupos de procesos donde son generados.

CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS

DE CONTROL

La mayora de los Delitos por computadora son cometidos

por modificaciones de datos fuente al:
Suprimir u omitir datos.
Adicionar Datos.
Alterar datos.
Duplicar procesos.

CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS

DE CONTROL

Esto es de suma importancia en caso de equipos de

cmputo que cuentan con sistemas en lnea, en los que los
usuarios son los responsables de la captura y modificacin
de la informacin al tener un adecuado control con
sealamiento de responsables de los datos(uno de los
usuarios debe ser el nico responsable de determinado
dato), con claves de acceso de acuerdo a niveles.

El primer nivel es el que puede hacer nicamente

consultas.
El segundo nivel es aquel que puede hacer captura,
modificaciones y consultas y el

Tercer nivel es el que solo puede hacer todos lo anterior

y adems puede realizar bajas.

Lo primero que se debe evaluar es la entrada de

la informacin y que se tengan las cifras de
control necesarias para determinar la veracidad
de la informacin, para lo cual se puede utilizar
el siguiente cuestionario:
cUESTIONARIO data

CONTROL DE OPERACIN

La eficiencia y el costo de la operacin de un sistema de

cmputo se ven fuertemente afectados por la calidad e
integridad de la documentacin requerida para el proceso en la
computadora.
El objetivo del presente ejemplo de cuestionario es sealar los
procedimientos e instructivos formales de operacin, analizar
su estandarizacin y evaluar el cumplimiento de los mismos.

Cuestionario Control de Operacion.doc

CONTROL DE MEDIOS DE
ALMACENAMIENTO MASIVO
Los dispositivos de almacenamiento representan, para
cualquier centro de cmputo, archivos extremadamente
importantes cuya prdida parcial o total podra tener
repercusiones muy serias, no slo en la unidad de
informtica, sino en la dependencia de la cual se presta
servicio.
Una direccin de informtica bien administrada debe tener
perfectamente protegidos estos dispositivos de
almacenamiento, adems de mantener registros sistemticos
de la utilizacin de estos archivos, de modo que servirn de
base a registros sistemticos de la utilizacin de estos
archivos, de modo que sirvan de base a los programas de
limpieza (borrado de informacin), principalmente en el caso
de las cintas.

controles de salida
PG 27

CONCLUSIONES
Un riesgo es evitado cuando en la organizacin
no se acepta.
Esta tcnica puede ser ms negativa que
positiva. Si el evitar riesgos fuera usado
excesivamente el negocio sera privado de
muchas oportunidades de ganancia, como por
ejemplo, arriesgarse a hacer una inversin y
probablemente no alcanzara sus objetivos.
La auditoria debe ampliar su enfoque no slo a
la evaluacin de controles sino tambin a la
evaluacin de riesgos y de esta manera avanzar
hacia una auditoria preventiva.

CONCLUSIONES
El control de riesgos ha sido parte integral del
proceso de administracin de riesgos desde que
este concepto fue concebido. Las dos principales
tcnicas de control de riesgos son: evitar y
reducir riesgos, los cuales pueden ser reducidos
slo con la asesora de personas expertas.
El resultado adems de ser una auditoria
eficiente debe ser tambin una auditoria
efectiva.
La auditoria permite de una manera oportuna y
completa presentar los resultados a la gerencia
para la toma de decisiones.