16
Boletín 3140 Efectos de la Tecnología de Información (TI) en el desarrollo de una auditoría de estados financieros ÍNDICE PÁRRAFOS Generalidades 1 al 5 Objetivo 6 Alcance 7 Pronunciamientos normativos 8 al 18 Efectos de un ambiente de TI en la planeación de auditoría 19 Efectos de un ambiente de TI en la evaluación de los riesgos de auditoría 20 al 24 Efectos de un ambiente de TI en los procedimientos de auditoría 25 al 27 Consideraciones que deben hacerse en la evaluación de riesgos en un ambiente TI Estructura organizacional 28 Naturaleza del procesamiento 29 Aspectos de diseño y de procedimientos 30 Control interno en un ambiente de TI 31 al 36 Controles generales 37 al 39 Controles de aplicación o específicos 40 Revisión de controles de aplicación de TI 41 al 42 Evaluación 43 Centro de cómputo externo 44 Entidades pequeñas y medianas 45 al 48 Vigencia 49 y 50 Generalidades 1. De conformidad con las Normas de Auditoría relativas a la ejecución del trabajo, "el auditor debe efectuar un estudio y evaluación adecuados del control interno que le sirva de base para determinar el grado de confianza que va a depositar en él; asimismo, que le permita determinar la naturaleza, extensión y oportunidad que va a dar a los procedimientos de auditoría" (Boletín 1010). 2. El estudio del control interno incluye el análisis y la comprensión de los métodos que se utilizan para procesar la información financiera, con objeto de determinar si las técnicas establecidas cumplen con los objetivos del control interno; por lo tanto, cuando la TI forma parte del control interno contable (ambiente de TI) y de éste se deriva información sujeta a examen, el auditor debe realizar su estudio y evaluación y como resultado de dicho trabajo, deberá documentar adecuadamente sus

Boletín 3140 efectos TI

Embed Size (px)

Citation preview

Page 1: Boletín 3140 efectos TI

Boletín 3140 Efectos de la Tecnología de Información (TI) en el desarrollo de una auditoría de estados financieros

ÍNDICE

PÁRRAFOS

Generalidades 1 al 5

Objetivo 6

Alcance 7

Pronunciamientos normativos 8 al 18

Efectos de un ambiente de TI en la planeación de auditoría

19

Efectos de un ambiente de TI en la evaluación de los riesgos de auditoría

20 al 24

Efectos de un ambiente de TI en los procedimientos de auditoría

25 al 27

Consideraciones que deben hacerse en la evaluación de riesgos en un ambiente TI

Estructura organizacional 28

Naturaleza del procesamiento 29

Aspectos de diseño y de procedimientos 30

Control interno en un ambiente de TI 31 al 36

Controles generales 37 al 39

Controles de aplicación o específicos 40

Revisión de controles de aplicación de TI 41 al 42

Evaluación 43

Centro de cómputo externo 44

Entidades pequeñas y medianas 45 al 48

Vigencia 49 y 50

Generalidades

1. De conformidad con las Normas de Auditoría relativas a la ejecución del trabajo, "el auditor debe efectuar un estudio y evaluación adecuados del control interno que le sirva de base para determinar el grado de confianza que va a depositar en él; asimismo, que le permita determinar la naturaleza, extensión y oportunidad que va a dar a los procedimientos de auditoría" (Boletín 1010).

2. El estudio del control interno incluye el análisis y la comprensión de los métodos que se utilizan para procesar la información financiera, con objeto de determinar si las técnicas establecidas cumplen con los objetivos del control interno; por lo tanto, cuando la TI forma parte del control interno contable (ambiente de TI) y de éste se deriva información sujeta a examen, el auditor debe realizar su estudio y evaluación y como resultado de dicho trabajo, deberá documentar adecuadamente sus conclusiones sobre el efecto de la TI en sus pruebas de auditoría, ya que la utilización del procesamiento de información usando tecnología informática en las aplicaciones contables de importancia, al igual que la complejidad de dicho procesamiento, también puede influir en la naturaleza, extensión y oportunidad de los procedimientos de auditoría a realizar. Para efectos de este boletín se considera que existe un ambiente de TI en el control interno contable, cuando está involucrada una computadora de cualquier tipo o tamaño en actividades que puedan afectar la confiabilidad de la información financiera de importancia para la auditoría, tales como el inicio, autorización, registro, procesamiento y reporte de transacciones importantes, así como la

Page 2: Boletín 3140 efectos TI

prevención o detección de fraude, incluyendo la segregación de funciones, ya sea que dicha computadora sea operada por la entidad o por terceros.

3. El alcance al efectuar el examen del control interno establecido en la TI, dependerá de la importancia de las aplicaciones en el proceso de la información financiera. El objetivo y alcance general de una auditoría no cambia en un ambiente de TI, sin embargo, el uso de una computadora modifica la entrada de datos, el procesamiento, almacenamiento y comunicación de la información financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad. Por lo tanto un ambiente de TI puede afectar:

- Los procedimientos seguidos por el auditor para comprender los sistemas de contabilidad y de control interno.

- La consideración del riesgo inherente y del riesgo de control a través de la cual el auditor realiza la evaluación del riesgo específico del negocio. También puede tener un efecto en la determinación del riesgo de error o fraude de importancia.

- El diseño y desarrollo de pruebas de control y de procedimientos sustantivos adecuados para cumplir con el objetivo de la auditoría y el tipo de evidencia que deberá reunirse para lograr conclusiones.

- La decisión de apoyarse en especialistas.

4. La TI, por su complejidad y su constante evolución, requiere para el estudio y evaluación de su control interno de personal con entrenamiento técnico y capacidad profesional adecuados. El auditor debería considerar si se necesitan habilidades especializadas en TI en una auditoría para obtener una comprensión suficiente de los sistemas de contabilidad y del control interno relacionado, para determinar el efecto del ambiente de TI sobre la evaluación del riesgo general y del riesgo a nivel de cuenta y de clase de transacciones y para diseñar y realizar pruebas de control y procedimientos sustantivos adecuados. El auditor buscará la ayuda de un profesional si requiere de dichas habilidades el cual puede ser interno o externo, tomando en cuenta lo mencionado en el boletín 5050 "Utilización del trabajo de un especialista".

5. El impacto que eventualmente puede tener una deficiencia o desviación del control interno en el área de TI puede ser menos evidente y, sin embargo, tener mayor repercusión por errores en los estados financieros que pasen inadvertidos. Lo anterior significa que el auditor está obligado a efectuar su revisión utilizando todos los elementos que le permitan asegurarse de que la información financiera a dictaminar se procesa adecuadamente.

Objetivo

6. Normar y orientar sobre el efecto que tiene en una auditoría de estados financieros un ambiente de TI, los principales objetivos del control interno en un ambiente de TI y los lineamientos de auditoría que deben seguirse para evaluar y revisar el control interno en empresas que la utilicen.

Alcance

7. Este boletín se refiere únicamente al efecto en la auditoría que tiene un ambiente de TI y al estudio y evaluación del control interno de la TI llevado a cabo por el auditor, para determinar la naturaleza, extensión y oportunidad que dará a sus procedimientos de auditoría. No se refiere a los procedimientos específicos para evaluar la eficiencia en la operación del equipo de cómputo ni a las técnicas de auditoría utilizadas con ayuda del mismo computador, para probar los sistemas (programas) y/o el contenido de los archivos.

Pronunciamientos normativos

8. El auditor debe considerar el impacto que tiene un ambiente de TI en la auditoría de estados financieros.

9. Como lo menciona el Boletín 3050 de las Normas y procedimientos de auditoría y Normas para atestiguar "Estudio y evaluación del control interno". El auditor debe conocer, evaluar y, en su caso, probar los sistemas de TI como parte fundamental del estudio y evaluación del control interno y documentar adecuadamente sus conclusiones sobre su efecto en la información financiera y el grado de confianza a depositar en los controles.

10. El auditor debe realizar la evaluación de los controles generales de TI y efectuar las pruebas

Page 3: Boletín 3140 efectos TI

correspondientes siempre que decida depositar confianza en los controles de procesamiento de transacciones en las aplicaciones de computadora.

11. Se debe adquirir suficiente entendimiento de los sistemas de información financiera y de control interno que le permita planear la auditoría y elaborar un enfoque de auditoría eficiente.

12. Se debe tener suficiente conocimiento de TI para planear, dirigir, supervisar y revisar el trabajo realizado.

13. El auditor debe considerar si se requieren aptitudes o habilidades especializadas de TI en una auditoría, y en su caso apoyarse de un especialista; considerando para ello, lo mencionado en el Boletín 4080 de las Normas y procedimientos de auditoría y Normas para atestiguar "Efectos del trabajo de un especialista en el dictamen del auditor".

14. Se debe entender la importancia y complejidad de las actividades de TI y la disponibilidad de la información que se utilizará en la auditoría.

15. Cuando la TI tenga influencia significativa en los sistemas de información financiera y de control interno, el auditor debe entender el ambiente de TI y su influencia en la evaluación de riegos inherentes y de control, así como en las consideraciones que deben realizarse sobre aspectos de fraude, de acuerdo a lo mencionado por el Boletín 3070 de las Normas y procedimientos de auditoría y Normas para atestiguar "Consideraciones sobre fraude que deben hacerse en una auditoría de estados financieros".

16. Se debe hacer una evaluación de los riesgos implícitos a las aseveraciones importantes de los estados financieros.

17. Se debe considerar el ambiente de TI al diseñar los procedimientos de auditoría a fin de reducir el riesgo de auditoría a un nivel aceptablemente bajo.

18. El auditor debe adquirir suficiente conocimiento del sistema de TI relacionado con los reportes de información financiera. En entornos de procesamiento complejos, integrados, o con alto volumen de transacciones y con controles generales o específicos evaluados preliminarmente por el auditor como insuficientes para depositar confianza en ellos, el auditor deberá diseñar pruebas de auditoría sustantivas que consideren apropiadamente los riesgos de control identificados, incluyendo el uso de programas de recuperación y análisis de datos

Efectos de un ambiente de TI en la planeación de auditoría

19. Al planear, el auditor debe obtener una comprensión de la importancia y complejidad de las actividades de la TI. Esta comprensión puede incluir asuntos como:

• La importancia relativa de las aseveraciones a los estados financieros y la complejidad del procesamiento computarizado en cada aplicación de contabilidad. Se puede considerar como compleja una aplicación, por ejemplo cuando:

- El volumen de transacciones es tal que los usuarios encontrarían difícil identificar y corregir errores en el procesamiento.

- La computadora automáticamente genera transacciones o entradas de datos de importancia relativa, directamente a otra aplicación.

- La computadora desarrolla cálculos complicados de información financiera y/o automáticamente genera transacciones o entradas de importancia relativa que no pueden ser (o no son) validadas independientemente.

- Las transacciones son intercambiadas electrónicamente con otras entidades (sucursales, compañías relacionadas, Internet, etc.), sin revisión manual en cuanto a integridad o razonabilidad.

° La administración confía en la información que genera la aplicación para la toma de decisiones, la generación de información para terceros, o la prevención de fraude.

° Se poseen sistemas integrados.

° Se depende de la seguridad y/o de los controles del sistema, de la base de datos y del sistema operativo para controlar las actividades de inicio, autorización, registro, proceso y reporte de transacciones con impacto financiero.

• La estructura organizacional de las actividades de TI y el grado de concentración o distribución

Page 4: Boletín 3140 efectos TI

del procesamiento por computadora, particularmente cuando pueden afectar la segregación de funciones.

• La disponibilidad de información, ya que la documentación fuente, ciertos archivos de cómputo u otra evidencia comprobatoria que pudiera requerir el auditor, posiblemente exista sólo durante un periodo breve de tiempo o únicamente en la modalidad de lectura en equipo de cómputo. La TI puede generar informes internamente que puedan ser útiles al llevar a cabo procedimientos sustantivos de auditoría.

Efectos de un ambiente de TI en la evaluación de los riesgos de auditoría

20. El auditor debe entender el ambiente de TI y su influencia en la evaluación de riegos inherentes y de control, así como en las consideraciones que deben realizarse sobre aspectos de fraude. La naturaleza de los riesgos y las características del control interno en un ambiente de TI incluyen lo siguiente:

- Esquemas de seguridad y registro de transacciones. Los sistemas cuentan con esquemas de seguridad y registro de transacciones en donde se registran electrónicamente y de manera confiable los procesos y la información que genera cada uno de los usuarios, por lo que para dar seguimiento a los movimientos del sistema se requiere de un sistema de respaldos adecuado. En algunos casos los sistemas computarizados son diseñados de modo que un rastro completo de una transacción, que podría ser útil para fines de auditoría podría existir por sólo un periodo corto de tiempo o sólo en forma legible por computadora. Por consiguiente, los errores incluidos en la lógica de un programa de aplicaciones pueden ser difíciles de detectar oportunamente por procedimientos manuales y se requerirá del apoyo de un especialista.

- Procesamiento uniforme de transacciones. El procesamiento por computadora procesa uniformemente transacciones iguales con las mismas instrucciones de procesamiento; por lo que los errores en programas darán como resultado que todas las transacciones sean procesadas incorrectamente. Es importante, entre otros aspectos, considerar para minimizar estos riesgos, los resultados de las pruebas efectuadas por el área de TI y por los usuarios, dentro de sus planes de desarrollo.

- Falta de segregación de funciones. Muchos procedimientos de control que ordinariamente serían desempeñados por individuos por separado en los sistemas manuales, pueden ser concentrados en TI. Así, un individuo que tiene acceso a los programas de computadora, al procesamiento o a las bases de datos, puede estar en posición de desempeñar funciones incompatibles.

- Errores e irregularidades potenciales. El potencial para error humano en el desarrollo, mantenimiento y ejecución de TI puede ser relevante por el nivel de detalle inherente a estas actividades. También, el potencial de que los individuos tengan acceso no autorizados a los datos o a la alteración de datos sin evidencia visible o de fácil identificación o seguimiento.

- Disminución de la participación del personal. El manejo de transacciones procesadas en TI puede reducir el potencial para observar errores e irregularidades. Los errores o irregularidades que ocurren durante el diseño o modificación de programas de aplicación o del software de los sistemas pueden permanecer sin detectarse por largos periodos de tiempo.

- Iniciación o ejecución de transacciones. La TI puede incluir la capacidad de iniciar la ejecución de ciertos tipos de transacciones automáticamente. La autorización de estas transacciones o procedimientos puede no estar documentada de manera adecuada, y la autorización de la administración de estas transacciones puede estar implícita en su aceptación del diseño de TI y modificaciones subsecuente.

- Dependencia de otros controles del procesamiento por computadora. El procesamiento por computadora puede producir reportes y otros datos de salida que son usados en el desempeño de procedimientos de control manuales. La efectividad de estos procedimientos de control manuales puede depender de la efectividad de controles sobre la integridad y exactitud del procesamiento por computadora. A su vez, la efectividad y operación consistente de los controles de procesamiento de transacciones en las aplicaciones de computadora a menudo depende de la efectividad de los controles generales de TI.

- Posibilidad de mayor supervisión por parte de la administración. La TI puede ofrecer a la

Page 5: Boletín 3140 efectos TI

administración una variedad de herramientas analíticas que pueden ser usadas para revisar y supervisar las operaciones de la entidad. La disponibilidad de esos controles adicionales, si se usan, puede servir para mejorar toda la estructura de control interno.

- Potencial para uso de técnicas de auditoría con ayuda de computadora. El procesamiento y análisis de grandes cantidades de datos usando computadoras puede brindar al auditor oportunidades para aplicar técnicas y herramientas generales o especializadas de auditoría en computadora en la ejecución de pruebas de auditoría.

21. Tanto los riesgos como los controles introducidos como resultado de las características de TI mencionadas anteriormente tienen un impacto potencial sobre la evaluación del riesgo y sobre la naturaleza, oportunidad y alcance de los procedimientos de auditoría.

22. Los riesgos inherentes y los riesgos de control en un ambiente de TI pueden tener tanto un efecto general, como un efecto específico por cuenta, en la probabilidad de aseveraciones erróneas importantes, como sigue:

- Los riesgos pueden resultar de deficiencias en actividades generales de TI, como por ejemplo, el desarrollo y mantenimiento de programas, el soporte a programas de cómputo o a sistemas, las operaciones, la seguridad física, la seguridad lógica y el control sobre el acceso a programas de utilería restringidos. Esas deficiencias tenderían a tener un efecto importante en todos los sistemas de aplicación que se procesan en la computadora.

- Los riesgos pueden incrementar el potencial de errores o actividades fraudulentas en aplicaciones específicas, en bases de datos específicas o en archivos maestros, o en actividades de procesamiento específicas. Por ejemplo, los errores son frecuentes en los sistemas que desarrollan una lógica o cálculos complejos, o que deben manejar muchas y diferentes condiciones de excepción. Los sistemas que controlan desembolsos de efectivo u otros activos líquidos son susceptibles a acciones fraudulentas por los usuarios o por personal de TI.

23. La TI puede generar riesgos específicos en el control interno de una entidad, de los que el auditor debe estar conciente, entre estos riesgos se incluyen:

- Dependencia de los sistemas o programas que procesen información correcta en forma incorrecta o, que procesen incorrectamente información correcta.

- Acceso no autorizado a información que podría resultar en destrucción o modificaciones indebidas de información, incluyendo el registro de operaciones no autorizadas o inexistentes o registro inexacto de operaciones.

- Modificaciones no autorizadas de información en los archivos maestros o de transacciones.

- Modificaciones no autorizadas o cambios incorrectos a sistemas o programas.

- Dejar de efectuar modificaciones necesarias a sistemas o programas.

- Procesamiento incorrecto o incompleto, incluyendo el tratamiento de rechazos en los procesos periódicos o de cierre.

24. A medida que surgen nuevas tecnologías, frecuentemente son empleadas para implementar sistemas de cómputo cada vez más complejos que pueden incluir enlaces de microcomputadores y computadoras centrales a redes, bases de datos distribuidas, procesamiento de usuario final y sistemas de administración de negocios que alimentan información directamente a los sistemas de contabilidad. Dichos sistemas aumentan el grado de sofisticación general de TI y la complejidad de las aplicaciones específicas a las que afectan. Como resultado, pueden aumentar el riesgo y requerir una consideración adicional.

Efectos de un ambiente de TI en los procedimientos de auditoría

25. Para reducir el riesgo de auditoría a un nivel aceptablemente bajo, el auditor debe planificar sus procedimientos de auditoría considerando el ambiente de TI. Para ello, el auditor debe:

• Adquirir suficiente información relativa a la organización de TI y a los métodos, sistemas y actividades relativas al inicio, autorización, registro, proceso y reporte de transacciones con impacto financiero.

• Concluir acerca del grado de confianza en los sistemas de control de la entidad que el auditor planea depositar para cada cuenta, proceso o ciclo importante del negocio del ente.

Page 6: Boletín 3140 efectos TI

• En las plataformas o locaciones importantes del ente en los cuales se planea depositar confianza:

- Conocer y documentar los controles generales (tal como se describen en los párrafos 37 a 39).

- Evaluar si dichos controles cumplen con estándares aceptables.

- Seleccionar los controles generales clave.

- Probar los controles generales clave.

- Concluir acerca del efecto de las debilidades de control identificadas, si las hubiera, en la naturaleza, alcance y oportunidad de otros procedimientos de auditoría.

En las cuentas, procesos o ciclos importantes del ente en los cuales se planea depositar confianza:

- Definir los requerimientos de control del ciclo, incluyendo sus archivos maestros y sus transacciones, en cuanto al procesamiento completo, exacto, válido y a la restricción sobre la modificación de datos.

- Conocer y documentar detalladamente las actividades y controles, manuales o automatizados que afectan el ciclo.

- Evaluar si dichos controles cumplen o no con los requerimientos de control del ciclo.

- Seleccionar los controles clave del ciclo, sean manuales o automatizados.

- Probar los controles de aplicación clave.

- Concluir acerca del efecto de las debilidades de control identificadas, si las hubiera, en la naturaleza, alcance y oportunidad de otros procedimientos de auditoría.

26. Los objetivos específicos de auditoría no cambian en un ambiente manual o por computadora. Sin embargo, los métodos de aplicación de procedimientos de auditoría para reunir evidencia pueden ser influenciados por los métodos de procesamiento por computadora.

27. El auditor puede usar procedimientos de auditoría manuales, técnicas de auditoría con ayuda de la computadora, o una combinación de ambos para obtener suficiente evidencia. Sin embargo, en algunos sistemas de contabilidad que usan una computadora para procesar aplicaciones significativas, puede ser difícil o imposible para el auditor obtener ciertos datos para inspección, investigación, o confirmación sin la ayuda de la computadora.

Consideraciones que deben hacerse en la evaluación de riesgos en un ambiente de TI

Estructura organizacional

28. En un entorno de TI, una entidad establecerá una estructura organizacional y procedimientos para administrar las actividades de TI. Las características de una estructura organizacional de TI incluyen:

a. Concentración de funciones y conocimiento - Aunque la mayo ría de los sistemas que emplean métodos de TI incluyen ciertas operaciones manuales, generalmente el número de personas involucradas en el procesamiento de información financiera es reducido. Más aún, cierto personal de procesamiento de da tos puede ser el único con un conocimiento detallado de la interrelación entre las fuentes de datos, cómo se procesan, y la distribución y uso de los datos de salida. Es también probable que éstos estén conscientes de cualquier debilidad en el control interno y, por lo tanto, pueden estar en posición de alterar programas o datos mientras están almacenados o durante el procesamiento. Todavía más, pueden no existir muchos controles convencionales basados en la segregación adecuada de funciones incompatibles, o en ausencia de controles de acceso u otros, pueden ser menos efectivos.

b. Concentración de programas y datos - A menudo están concentrados los datos por transacción y del archivo maestro, generalmente en forma legible por el equipo de cómputo, ya sea en una instalación de computadora localizada centralmente o en un número de instalaciones distribuidas por toda una entidad. Es probable que los programas de computadora que dan la capacidad de obtener acceso a, y de alterar dichos datos estén almacenados en la misma locación que los datos. Por lo tanto en ausencia de controles apropiados, hay un mayor potencial para acceso no autorizado y alteración de programas y datos.

Naturaleza del procesamiento

29. El uso de computadoras puede dar como resultado el diseño de sistemas que proporcionen menos

Page 7: Boletín 3140 efectos TI

evidencia documental que aquéllos que usen procedimientos manuales. Además, estos sistemas pueden ser accesibles a un mayor número de personas. Las características de los sistemas que pueden ser resultado de la naturaleza de la TI incluyen:

a. Ausencia de documentos de entrada - Los datos pueden ser alimentados directamente al sistema por computadora sin documentos que los soporten. En algunos sistemas de transacción en línea, la evidencia por escrito de la autorización de alimentación de datos individuales (por ej, aprobación para entrada de pedidos) puede ser reemplazada por otros procedimientos, como controles de autorización contenidos en los programas de computadora (por ej., aprobación de límites de crédito).

b. Falta de rastro visible de transacciones - Ciertos datos pueden mantenerse en archivos de computadora solamente. En un sistema manual, normalmente es posible seguir una transacción a través del sistema examinando los documentos fuente, libros de cuentas, registros, archivos y reportes. En un entorno de TI, sin embargo, el rastro de la transacción puede estar parcialmente en forma legible por computadora, y todavía más, puede existir sólo por un periodo limitado de tiempo.

c. Falta de datos de salida visibles - Ciertas transacciones o resultados del procesamiento pueden no imprimirse. En un sistema manual, y en algunos sistemas de TI, es posible normalmente examinar en forma visual los resultados del procesamiento. En otros sistemas de TI, los resultados del procesamiento no pueden imprimirse, o pueden imprimirse sólo datos resumidos. Así, la falta de datos de salida visibles puede dar como resultado la necesidad de tener acceso a datos retenidos en archivos legibles sólo por computadora.

d. Facilidad de acceso a datos y programas de computadora - Se puede tener acceso a los datos y a los programas de computadora, que pueden ser alterados, en la computadora o por medio del uso de equipo de computación en locaciones remotas. Por lo tanto, en ausencia de controles apropiados, existe un potencial mayor para el acceso no autorizado y la alteración de datos y programas por personas dentro o fuera de la entidad.

Aspectos de diseño y de procedimientos

30. El desarrollo de sistemas de TI generalmente dará como resultado el diseño y características de procedimientos que son diferentes de los que se encuentran en los sistemas manuales. Estos aspectos diferentes de diseño y de procedimiento de los sistemas de TI incluyen:

a. Consistencia de funcionamiento - Los sistemas de TI desempeñan funciones exactamente como se les programe y son potencialmente más confiables que los sistemas manuales, previendo que todos los tipos de transacción y todas las condiciones que puedan ocurrir se anticipen e incorporen en el sistema. Por otra parte, un programa de computadora que no esté probado puede procesar en forma consistente transacciones y otros datos en forma errónea.

b. Procedimientos de control programados - La naturaleza del procesamiento por computadora permite el diseño de procedimientos de control interno en los programas de computadora. Estos procedimientos pueden ser diseñados para proporcionar con troles con visibilidad limitada (por ej., se puede dar protección de datos contra acceso no autorizado mediante el uso de palabras clave). Pueden diseñarse otros procedimientos para uso con intervención manual, tales como la revisión de informes impresos para reportar excepciones y errores, así como la verificación de la razonabilidad y de los límites establecidos de los datos.

c. Actualización sencilla de una transacción de archivos múltiples o de base de datos - Una entrada sencilla al sistema de contabilidad puede automáticamente actualizar todos los registros asociados con la transacción (por ej., los documentos de embarque de mercancías pueden de manera automática actualizar los archivos de ventas, cuentas por cobrar a clientes, inventarios, etc. y por otra parte una entrada equivocada en dicho sistema puede crear errores en diversas cuentas financieras).

d. Transacciones generadas por sistemas - Ciertas transacciones pueden iniciarse por el sistema de TI automáticamente, sin necesidad de un documento de entrada. La autorización de dichas transacciones puede no ser evidenciada con documentos de entrada visibles ni documentada en la misma forma que las transacciones que se inician fuera del sistema de TI (por ej., el interés puede

Page 8: Boletín 3140 efectos TI

ser calculado y cargado automáticamente a los saldos de cuentas de clientes con base en términos previamente autorizados contenidos en un programa de computadora).

e. Vulnerabilidad de datos y medios de almacenamiento de programas - Grandes volúmenes de datos y los programas de computadora usados para procesar dichos datos pueden almacenarse en medios de almacenamiento portátil o fijo, como discos y cintas magnéticos. Estos medios son vulnerables a pérdidas, o destrucción intencional o accidental.

Control interno en un ambiente de TI

31. Los controles internos sobre el procesamiento por computadora, que ayudan a lograr los objetivos globales del control interno, incluyen tanto procedimientos manuales como procedimientos integrados en programas de computadora. Dichos procedimientos de control manuales y por computadora comprenden los controles globales que afectan al entorno de TI (controles de aplicación de TI).

32. Los objetivos de los controles establecidos en la empresa deben enfocarse a la creación, a través de las políticas y procedimientos adecuados, de un sistema que asegure que toda la información que deba ser procesada, se procese en forma correcta y oportuna y que de dicho proceso se obtenga la información financiera esperada. Los objetivos generales del control interno, son los siguientes:

- Objetivos de autorización - Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o específicas de la administración.

- Objetivos de procesamiento y clasificación de transacciones -Todas las operaciones deben registrarse para permitir la preparación de estados financieros de conformidad con las Normas de Información Financiera o de cualquier otro criterio aplicable a dichos estados y para mantener en archivos apropiados datos relativos a los activos sujetos a custodia.

- Objetivos de salvaguarda física - El acceso a los activos sólo debe permitirse de acuerdo con autorizaciones de la administración y,

- Objetivos de verificación y evaluación - Los datos registrados relativos a los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonables y tomarse las medidas apropiadas respecto a las diferencias que existan. Asimismo, deben existir controles relativos a la verificación y evaluación periódica de los saldos que se informan en los estados financieros, ya que estos objetivos complementan en forma importante a los mencionados anteriormente.

33. Para que el control interno funcione en una empresa determinada, es necesario que su estructura organizacional esté diseñada para que quienes son responsables del establecimiento de los procedimientos de control y de su supervisión, tengan la autoridad necesaria para hacer cumplir sus objetivos. Esto es particularmente importante en el área de TI, ya que ocasionalmente estas funciones en las empresas serán nuevas o recientes y quizá no se les haya asignado un nivel adecuado en la estructura de organización.

34. Los controles que intervienen en un ambiente de TI se dividen en: controles generales y controles de aplicación o específicos. Los controles generales son los controles y los procedimientos que proveen un soporte para asegurar que los sistemas de aplicación procesan transacciones confiablemente; éstos pueden aplicar a uno o más sistemas y a uno o más ambientes de procesamiento. Dichos controles se enfocan a la organización general del departamento y a las funciones de quienes intervienen en el desarrollo de sistemas; esto es, el medio ambiente en que se desarrollan los sistemas. Los controles de aplicación o específicos se refieren a los establecidos en la operación del computador que incluye la entrada, el proceso y la salida de datos, o sea, que todos los datos se procesen una sola vez oportunamente (entrada), sujetos a un proceso de validación (proceso) y que sean la base para producir información confiable y completa (salida).

35. A medida que el uso del computador se ha generalizado debido a la reducción real en los costos de los equipos y a la facilidad en su operación, algunos controles de los que se describen en esta sección son de aplicación limitada, tratándose de computadores conocidos como "microcomputadoras" o "mini computadoras", de tal forma que, por ejemplo, los controles relativos a la reinstalación o a la organización del departamento de TI se ven, en las circunstancias,

Page 9: Boletín 3140 efectos TI

modificados a trámites menores o bien, a departamentos de TI compuestos de una o dos personas donde la segregación de funciones puede no ser ortodoxa, requiriéndose de controles adicionales.

36. Cuando se tiene TI en la propia empresa, la revisión, estudio y evaluación del control interno, deberá dirigirse principalmente a los siguientes aspectos:

Controles generales

37. El propósito de los controles generales de TI es establecer un marco de referencia de control global sobre las actividades de TI y proporcionar un nivel razonable de certeza de que se logran los objetivos globales del control interno como son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información financiera.

38. Los controles generales de TI pueden incluir:

1. Seguridad física y ambiental - Se refiere al acondicionamiento físico y medidas de seguridad en el área donde se localiza el equipo de cómputo.

2. Controles de organización y administración - Diseñados para establecer un marco de referencia organizacional sobre las actividades de TI, incluyendo:

• Políticas y procedimientos relativos a funciones de control.

• Segregación apropiada de funciones incompatibles (por ej., preparación de transacciones de entrada, programación y operaciones de computadora).

• Capacitación del personal.

3. Desarrollo de sistemas de aplicación y controles de mantenimiento - Diseñados para proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de manera eficiente y autorizada. También están diseñados típicamente para establecer control sobre:

a. Pruebas, conversión, implementación y documentación de sistemas nuevos y revisados.

b. Cambios a sistemas.

c. Acceso de documentación de sistemas.

d. Adquisición de sistemas de aplicación de terceros.

e. Verificación de controles sobre los cambios en la configuración o parametrización de sistemas integrados.

4. Controles de operación de computadoras y de seguridad - Diseñados para controlar la operación de los sistemas y proporcionar certeza razonable de que:

• Los sistemas son usados para propósitos autorizados únicamente.

• El acceso a las operaciones de la computadora es restringido a personal autorizado.

• Sólo se usan programas autorizados.

• Los errores de procesamiento son detectados y corregidos.

5. Controles de software de sistemas - Diseñados para proporcionar certeza razonable de que el software del sistema (sistema operativo) se adquiere o desarrolla de manera autorizada y eficiente, incluyendo:

• Autorización, aprobación, análisis, diseño, pruebas técnicas, pruebas de usuario, implementación, liberación y documentación de software de sistemas nuevos y modificaciones del software de sistemas.

• Restricción de acceso a software y documentación de sistemas al personal autorizado.

6. Controles de entrada de datos y programas (control de acceso)

- Diseñados para proporcionar certeza razonable de que:

i. Hay establecida una estructura de autorización sobre las transacciones que se alimentan al sistema.

ii.El acceso a datos y programas está restringido a personal autorizado.

39. Hay otras salvaguardas de TI que contribuyen a la continuidad del procesamiento de TI y a promover razonables prácticas de control, manuales o automatizadas, durante una interrupción del sistema principal. Éstas pueden incluir:

Page 10: Boletín 3140 efectos TI

- Respaldo de datos y programas de computadora en otro sitio.

- Procedimientos de recuperación para usarse en caso de robo, pérdida o destrucción intencional o accidental.

- Provisión para procesamiento externo en caso de desastre.

- Procedimientos y controles alternos durante el incidente de interrupción.

Controles de aplicación o específicos

40. El propósito de los controles de aplicación de TI es establecer procedimientos específicos de control sobre las aplicaciones contables para proporcionar certeza razonable de que todas las transacciones están autorizadas y registradas, y son procesadas completamente, con exactitud y con oportunidad. Los controles de aplicación de TI incluyen:

A. Controles sobre los datos de entrada - Diseñados para proporcionar certeza razonable de que:

• Las transacciones son autorizadas en forma apropiada antes de ser procesadas por la computadora.

• Las transacciones son convertidas con exactitud a una forma legible por computadora y registradas en los archivos de datos de la misma.

• Las transacciones incorrectas son rechazadas, corregidas y, si es necesario, procesadas nuevamente con oportunidad.

B. Controles sobre el procesamiento y sobre los archivos de datos de la computadora - Diseñados para proporcionar certeza razonable de que:

• Las transacciones, incluyendo las transacciones generadas por el sistema, son procesadas en forma apropiada por la computadora.

• Las transacciones no están perdidas, añadidas, duplicadas o cambiadas en forma no apropiada.

• Los errores de procesamiento son identificados y corregidos oportunamente.

C. Los controles sobre los datos de salida - Diseñados para proporcionar certeza razonable de que:

• Los resultados del procesamiento son exactos.

• El acceso a los datos de salida está restringido a personal autorizado.

• Los datos de salida se proporcionan al personal autorizado apropiado oportunamente.

D. Las restricciones sobre el acceso de los usuarios a las funciones de procesamiento de transacciones o a los registros de datos resultantes - Diseñados para proveer un grado de seguridad razonable de que personas no autorizadas no puedan crear, modificar o borrar información de los archivos de datos o ingresar sin autorización transacciones para su procesamiento.

Revisión de controles de aplicación de TI

41. Los controles generales de TI que el auditor puede probar se describen en el párrafo 37. El auditor deberá considerar cómo estos controles generales de TI afectan las aplicaciones de TI importantes para la auditoría. Los controles generales de TI que se relacionan a algunas o todas las aplicaciones son controles típicamente interdependientes en cuanto que su operación es a menudo esencial para la efectividad de los controles de aplicación de TI. Consecuentemente, además de ser necesario, puede ser más eficiente revisar el diseño de los controles generales antes de revisar los controles de aplicación.

42. El control sobre los datos de entrada, procesamiento, archivos de datos y datos de salida puede desempeñarse por personal de TI, por usuarios del sistema, por un grupo de control separado, o puede ser programado en el software de aplicación. Los controles de aplicación de TI que el auditor puede desear probar incluyen:

A. Controles manuales ejercidos por el usuario - Si los controles manuales ejercidos por el usuario del sistema de aplicación tienen la capacidad de dar certeza razonable de que los datos de salida del sistema son completos, exactos y autorizados, el auditor puede decidir limitar las pruebas de control a estos controles manuales (por ej., los controles manuales ejercidos por el usuario sobre un sistema computarizado del control de entradas para los pagos brutos, la comprobación de los

Page 11: Boletín 3140 efectos TI

cálculos de salida de salarios netos, la aprobación de pagos y transferencia de fondos, la comparación con las cifras del registro de nómina, y una rápida conciliación bancaria). En este caso, el auditor puede desear probar sólo los controles manuales ejercidos por el usuario.

B. Controles sobre los datos de salida del sistema - Si, además de los controles manuales ejercidos por el usuario, los controles que deben probarse usan información producida por la computadora o están contenidos dentro de programas de computadora, puede ser posible probar dichos controles examinando los datos de salida del sistema usando técnicas de auditoría ya sea manuales o con ayuda de computadora. Dichos datos de salida pueden ser en forma de medios magnéticos, microfilm o impresos (por ej., el auditor puede probar los controles ejercidos por la entidad sobre la conciliación de totales de reportes con las cuentas de control del libro mayor y puede realizar pruebas manuales de dichas conciliaciones). Alternativamente, cuando la conciliación se realiza por computadora, el auditor puede desear probar la conciliación volviendo a ejecutar el control con el uso de técnicas de auditoría con ayuda de computadora.

C. Procedimientos de control programados - En el caso de ciertos sistemas por computadora, el auditor puede encontrar que no sea posible o, en algunos casos, no sea práctico probar los controles examinando sólo los controles del usuario o los datos de salida del sistema (por ej., en una aplicación que no da resultados impresos de aprobaciones críticas o violaciones a las políticas normales, el auditor puede querer probar los procedimientos de control contenidos dentro del programa de aplicación). El auditor puede considerar llevar a cabo pruebas de control con el uso de técnicas de auditoría con ayuda de computadora, como prueba de los datos, reprocesamiento de datos de transacciones o, en situaciones inusuales, examinar la codificación del programa de aplicación.

Evaluación

43. Los controles generales de TI pueden tener un efecto importante en el procesamiento de transacciones en los sistemas de aplicación. Si estos controles no son efectivos, puede haber un riesgo de que pudieran ocurrir aseveraciones erróneas y no ser detectadas en los sistemas de aplicación. Así, las debilidades en los controles generales de TI pueden imposibilitar la prueba de ciertos controles de aplicación de TI; sin embargo, los procedimientos manuales ejercidos por los usuarios pueden proporcionar control efectivo al nivel de aplicación.

Centro de cómputo externo

44. Cuando el procesamiento electrónico de datos se realice en un centro de cómputo externo, la revisión, estudio y evaluación del control interno deberá considerar lo mencionado por el Boletín 5090 de las Normas y procedimientos de auditoría y Normas para atestiguar "Revisión de control interno de entidades que utilizan organizaciones de servicio". Adicionalmente se deben considerar los siguientes aspectos:

1. Selección del centro de cómputo - Debe seleccionarse un centro de cómputo que asegure la obtención de información confiable y oportuna, vigilándose aspectos como: localización, seguridad en el manejo de datos y archivos, organización, capacidad instalada y soporte técnico.

2. Contrato de servicio - El contrato con el centro de cómputo debe contener los términos en que el servicio será prestado.

3. Control de los datos - Es necesario que toda la información enviada, ya sea a través de unidades de proceso directo (terminales) o bien, físicamente, se someta a un control que asegure que se incluyen todos los datos, que la información transmitida sea correcta, que existan archivos de soporte en caso de pérdida accidental de información y que la información se devuelva completa y oportunamente a la empresa una vez procesada.

4. Personal - La relación con el centro de cómputo, así como el envío de la documentación, recepción y revisión de la información debe estar asignada a personal competente.

5. Otros controles - En general, la empresa que contrate servicios de TI a través de un centro de cómputo externo, debe asegurarse que dicho centro reúna los controles comentados en la sección de controles generales (párrafos 37 y 38) y de aplicación o específicos (párrafo 40).

Entidades pequeñas y medianas

45. Los sistemas de información en organizaciones pequeñas o medianas son probablemente menos

Page 12: Boletín 3140 efectos TI

formales que en las organizaciones de mayor tamaño, pero su función es igualmente importante. Las entidades pequeñas con participación activa por parte de la administración pueden no requerir descripciones extensas de los procedimientos contables, registros contables sofisticados, o políticas por escrito. La comunicación puede ser menos formal y más fácil de lograr en una compañía pequeña o mediana que en una de mayores dimensiones debido al tamaño y menores niveles de la organización pequeña, así como también a la mayor visibilidad y disponibilidad de la administración.

46. La comunicación implica permitir la comprensión de las funciones y responsabilidades individuales correspondientes al control interno sobre reporte de información financiera.

47. El auditor debe adquirir suficiente conocimiento del sistema de información relacionada con reporte de información financiera a fin de entender:

- Las clases de transacciones dentro de las operaciones de la entidad que sean importantes para los estados financieros.

-Los procedimientos, tanto automatizados como manuales, mediante los cuales se inicien, registren, procesen, y reporten desde que tienen lugar hasta su inclusión en los estados financieros.

- Los registros contables correspondientes, ya sean electrónicos o manuales, que sustenten la información, y cuentas específicas de los estados financieros implicadas en el inicio, registro, procesamiento y reporte de transacciones.

- Forma en que el sistema de información captura las transacciones que son importantes para los estados financieros.

- El proceso de reporte de información financiera empleado para la preparación de los estados financieros de la entidad, que incluye estimaciones contables y revelaciones importantes.

48. Cuando se utiliza TI a fin de iniciar, registrar, procesar, o reportar operaciones y otra información financiera para su inclusión en los estados financieros, es posible que los sistemas y programas incluyan controles relacionados con las aseveraciones correspondientes de cuentas importantes o puedan ser determinantes para el funcionamiento eficiente de los controles manuales que dependan de TI.

Vigencia

49. Este Boletín es obligatorio para auditorías de estados financieros de ejercicios que inicien el 1 de enero de 2006. Se recomienda su aplicación anticipada.

50. Este Boletín sustituye y deja sin efectos al Boletín 5080 de las Normas y procedimientos de auditoría y Normas para atestiguar "Efectos del procesamiento electrónico de datos en el examen del control interno".


Efectos Biologicos

Efectos Biologicos

Business
Efectos nocivos

Efectos nocivos

Health & Medicine
Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor

Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor

Documents
TI TI TestGuardŽ for the TI-83 Plus

TI TI TestGuardŽ for the TI-83 Plus

Documents
Redalyc.Diagrama Ti - V: una nueva propuesta de ... · nación Ti V. Los efectos sobre la norma CIPW y el tipo de rocas, utilizando diferentes programas de cómputo, han sido señalados

Redalyc.Diagrama Ti - V: una nueva propuesta de ... · nación Ti V. Los efectos sobre la norma CIPW y el tipo de rocas, utilizando diferentes programas de cómputo, han sido señalados

Documents
REPUBLlCA ti DE COLOMBIA - Presidencia de la …es.presidencia.gov.co/normativa/normativa/DECRETO 1659 DEL 21 DE... · de Regulación Financiera (URF), a efectos de modificar la planta

REPUBLlCA ti DE COLOMBIA - Presidencia de la …es.presidencia.gov.co/normativa/normativa/DECRETO 1659 DEL 21 DE... · de Regulación Financiera (URF), a efectos de modificar la planta

Documents
La CONDUSEF cerca de ti - gob.mx · 2020-04-09 · cerca de ti Asimismo, te informamos que con el fin de mitigar los efectos asociados a la contingencia, las instituciones financieras

La CONDUSEF cerca de ti - gob.mx · 2020-04-09 · cerca de ti Asimismo, te informamos que con el fin de mitigar los efectos asociados a la contingencia, las instituciones financieras

Documents
Efectos Biologicos Efectos Deterministicos y Estocasticos

Efectos Biologicos Efectos Deterministicos y Estocasticos

Documents
MUSIC THEORY - Complete WB...(two sets) ti- ri ti ti- Exercises Add stems with flags or beams to make 16th notes as indicated. a ri ti- ti a ri ti ti- Flags a. a ri 1 ti- ti ti- ri

MUSIC THEORY - Complete WB...(two sets) ti- ri ti ti- Exercises Add stems with flags or beams to make 16th notes as indicated. a ri ti- ti a ri ti ti- Flags a. a ri 1 ti- ti ti- ri

Documents
EFECTOS DE LOS CONTAMINANTES EFECTOS “GRANDES” INTOXICACION, ENVENENAMIENTO, MUERTE

EFECTOS DE LOS CONTAMINANTES EFECTOS “GRANDES” INTOXICACION, ENVENENAMIENTO, MUERTE

Documents
EFECTOS QUE SE PRODUCEN CUANDO EL …biblioteca.oj.gob.gt/digitales/41152.pdf · ti mi agradecimiento eterno por este triunfo, ... El juicio del notario ... como requisito esencial

EFECTOS QUE SE PRODUCEN CUANDO EL …biblioteca.oj.gob.gt/digitales/41152.pdf · ti mi agradecimiento eterno por este triunfo, ... El juicio del notario ... como requisito esencial

Documents
DELIMITACIÓN DE ASENTAMIENTOS URBANÍSTICOS …pgouarcos.es/wordpress/wp-content/uploads/2013/11... · minado. A tal fi n, la aprobación del Avance tendrá efectos administra ti

DELIMITACIÓN DE ASENTAMIENTOS URBANÍSTICOS …pgouarcos.es/wordpress/wp-content/uploads/2013/11... · minado. A tal fi n, la aprobación del Avance tendrá efectos administra ti

Documents
Efectos Ópticos

Efectos Ópticos

Business
 · ov SPECIAL EFFECTS Efectos Especiales de Explosiones 47 AÑos Crendo • Efectos especiales de Agua • Efectos especiales de Are • Efectos especiales de Balazos

 · ov SPECIAL EFFECTS Efectos Especiales de Explosiones 47 AÑos Crendo • Efectos especiales de Agua • Efectos especiales de Are • Efectos especiales de Balazos

Documents
Efectos Encadenadoss

Efectos Encadenadoss

Documents
Efectos ópticos

Efectos ópticos

Business
Efectos de las sentencias definitivas en el proceso de ... · PDF fileANA MARIA GLOWER DE ALVARADO VICERRECTOR ACADEMICO ... ALABANZA sea para ti. ... hermano mayor Juan Carlos,

Efectos de las sentencias definitivas en el proceso de ... · PDF fileANA MARIA GLOWER DE ALVARADO VICERRECTOR ACADEMICO ... ALABANZA sea para ti. ... hermano mayor Juan Carlos,

Documents
efectos visuales

efectos visuales

Travel
Efectos Vibración

Efectos Vibración

Documents
Ti Küretten / Ti Mini Küretten Ti Curettes / Ti Mini Curettes

Ti Küretten / Ti Mini Küretten Ti Curettes / Ti Mini Curettes

Documents
Efectos opticos !!

Efectos opticos !!

Technology
Grandes Apuestas en TI Respondiendo a los Efectos de la ......Ambiente Actual Un Verdadero Ambiente Colaborativo—Sin Fronteras Una Manera más Eficiente de Hacer Negocios Efectiva

Grandes Apuestas en TI Respondiendo a los Efectos de la ......Ambiente Actual Un Verdadero Ambiente Colaborativo—Sin Fronteras Una Manera más Eficiente de Hacer Negocios Efectiva

Documents
Efectos sonoros

Efectos sonoros

Documents
Efectos Fisiologicos de la VMNI - vmkchile.clvmkchile.cl/wp-content/uploads/2.-Efectos-Fisiologicos-de-la-VMNI.pdf · Efectos sobre el Intercambio Gaseoso • Efectos evaluados a

Efectos Fisiologicos de la VMNI - vmkchile.clvmkchile.cl/wp-content/uploads/2.-Efectos-Fisiologicos-de-la-VMNI.pdf · Efectos sobre el Intercambio Gaseoso • Efectos evaluados a

Documents
Administración de Proyectos de TI - hospitalitaliano.org.ar · Problemas en proyectos Causa Efectos ... Conflictos no resueltos Criterio de Øxito gerencial diferente que el del

Administración de Proyectos de TI - hospitalitaliano.org.ar · Problemas en proyectos Causa Efectos ... Conflictos no resueltos Criterio de Øxito gerencial diferente que el del

Documents
lo s efectos d e l o s diferentes ti P os d e r e c o n d

lo s efectos d e l o s diferentes ti P os d e r e c o n d

Documents
EFECTOS DE LA DEGRADACION AMBIENTAL Efectos en sistemas vivos Efectos en sistemas no vivos

EFECTOS DE LA DEGRADACION AMBIENTAL Efectos en sistemas vivos Efectos en sistemas no vivos

Documents
efectos encadenados

efectos encadenados

Documents
Efectos de los efectos

Efectos de los efectos

Education
COMPARACION DE MODELOS DE EFECTOS FIJOS Y EFECTOS´ …

COMPARACION DE MODELOS DE EFECTOS FIJOS Y EFECTOS´ …

Documents