Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
AUDITORIA DE<br />
SISTEMAS<br />
Jenny M. Acosta - 43331<br />
Luz Angela Esguerra - 490793<br />
Juan Pablo Quiroga - 515034<br />
Jenny V. Sánchez - 514602
P á g i n a 2<br />
AUDITORIA DE SISTEMAS<br />
DE CONTROL<br />
Introducción …….……………………..Pág. 3<br />
Situación 1…………………………….. Pág. 4<br />
Situación 2 …………………………….. Pág. 5<br />
Situación 3 …………………………….. Pág. 6<br />
Situación 4…………………………….. Pág. 7<br />
Auditoría <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Control – Casos prácticos<br />
Contaduría Pública
P á g i n a 3<br />
AUDITORIA DE SISTEMAS<br />
DE CONTROL<br />
En el ambiente informático, el <strong>control</strong><br />
interno se materializa fundamentalmente<br />
en <strong>control</strong>es <strong>de</strong> dos tipos:<br />
• Controles manuales; aquellos que son<br />
ejecutados por el personal <strong>de</strong>l área<br />
usuaria o <strong>de</strong> informática sin la<br />
utilización <strong>de</strong> herramientas<br />
computacionales.<br />
• Controles Automáticos; son<br />
generalmente los incorporados en el<br />
software, llámense estos <strong>de</strong> operación,<br />
<strong>de</strong> comunicación, <strong>de</strong> gestión <strong>de</strong> base <strong>de</strong><br />
datos, programas <strong>de</strong> aplicación, etc.<br />
Los <strong>control</strong>es según su finalidad se<br />
clasifican en:<br />
• Controles Preventivos, para<br />
tratar <strong>de</strong> evitar la producción <strong>de</strong><br />
errores o hechos fraudulentos,<br />
como por ejemplo el software <strong>de</strong><br />
seguridad que evita el acceso a<br />
personal no autorizado.<br />
• Controles Detectivos; trata <strong>de</strong><br />
<strong>de</strong>scubrir a posteriori errores o<br />
frau<strong>de</strong>s que no haya sido posible<br />
evitarlos con <strong>control</strong>es<br />
preventivos.<br />
• Controles Correctivos; tratan <strong>de</strong><br />
asegurar que se subsanen todos<br />
los errores i<strong>de</strong>ntificados<br />
mediante los <strong>control</strong>es<br />
<strong>de</strong>tectivos.<br />
Auditoría <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Control – Casos prácticos<br />
Contaduría Pública
P á g i n a 4<br />
Situación 1<br />
• Un empleado <strong>de</strong>l grupo <strong>de</strong> <strong>control</strong> <strong>de</strong><br />
datos obtuvo un formulario para<br />
modificaciones al archivo maestro <strong>de</strong><br />
proveedores (en blanco) y lo completó<br />
con el código y nombre <strong>de</strong> un<br />
proveedor ficticio, asignándole como<br />
domicilio el numero <strong>de</strong> una casilla <strong>de</strong><br />
correo que previamente había abierto<br />
a su nombre.<br />
• Su objetivo era que el sistema<br />
emitiera cheques a la or<strong>de</strong>n <strong>de</strong>l<br />
referido proveedor, y fueran luego<br />
remitidos a la citada casilla <strong>de</strong><br />
correo.<br />
• Cuando el listado <strong>de</strong> modificaciones<br />
al archivo maestro <strong>de</strong> proveedores<br />
(impreso por esta única modificación<br />
procesada en la oportunidad ) le fue<br />
enviado para su verificación con los<br />
datos <strong>de</strong> entrada, procedió a<br />
<strong>de</strong>struirlo.<br />
• Control preventivo<br />
• Control correctivo<br />
• Exactitud<br />
• Totalidad<br />
• Redundancia<br />
• Verificación <strong>de</strong> datos<br />
• Conteo <strong>de</strong> registros<br />
Mediante el <strong>control</strong> preventivo se hubiera podido establecer un consecutivo en los<br />
formularios <strong>de</strong> creación <strong>de</strong> proveedores.<br />
Mediante el <strong>control</strong> correctivo se podría establecer mas restricción en el acceso a los<br />
formularios en blanco.<br />
Mediante la exactitu<strong>de</strong> se crean mecanismos que verifiquen la vracidad <strong>de</strong> los datos<br />
ingresados y que realice cotejos entre bases <strong>de</strong> datos para hallar posibles errors.<br />
La totalidad evita la omission <strong>de</strong> registros<br />
La redundancia evita la duplicidad <strong>de</strong> los datos<br />
Con la verificación <strong>de</strong> los datos se pue<strong>de</strong> <strong>de</strong>terminar posible ingreso <strong>de</strong> datos erróneos<br />
Con el conteo <strong>de</strong> registros se permite llegar a establecer códigos que eviten la creación<br />
<strong>de</strong> datos fraudlentos.<br />
Auditoría <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Control – Casos prácticos<br />
Contaduría Pública
P á g i n a 5<br />
Situación 2<br />
• Al realizar una prueba <strong>de</strong> facturación<br />
los auditores observaron que<br />
los precios facturados en algunos<br />
casos no coincidían con los indicados<br />
en las listas <strong>de</strong> precios vigente.<br />
• Posteriormente se comprobó que<br />
ciertos cambios en las listas <strong>de</strong><br />
precios no habían sido procesados,<br />
razón por la cual el archivo maestro<br />
<strong>de</strong> precios estaba <strong>de</strong>sactualizado.<br />
• Control <strong>de</strong>tectivo<br />
• Totales <strong>de</strong> <strong>control</strong><br />
• Verificación <strong>de</strong> datos <strong>de</strong> entrada<br />
En este caso se habla <strong>de</strong> un <strong>control</strong> <strong>de</strong>tectivo ya que existe la posiblidad<br />
<strong>de</strong> intervenir y subsanar parte <strong>de</strong>l daño. Se <strong>de</strong>tecta una situació y se toman<br />
<strong>de</strong>cisions con el fin <strong>de</strong> <strong>de</strong>terminer la eficiencia <strong>de</strong> los <strong>control</strong>es preventivos.<br />
Mediante la verificación <strong>de</strong> datos <strong>de</strong> entrada, se pue<strong>de</strong>n establecer<br />
mo<strong>de</strong>los para verificar la compatibilidad <strong>de</strong> los datos y así <strong>de</strong>finir el grado <strong>de</strong><br />
actualización <strong>de</strong> los mismos.<br />
Totales <strong>de</strong> <strong>control</strong>: Uso <strong>de</strong> totales <strong>de</strong> línea, columnas, cantidad <strong>de</strong><br />
formularios, cifras <strong>de</strong> <strong>control</strong> entre otros, a fin <strong>de</strong> encontrar registros con<br />
diferencias<br />
Es también necesario realizar <strong>control</strong>es <strong>de</strong> procesamiento que sigan los<br />
procesos <strong>de</strong> la información <strong>de</strong>s<strong>de</strong> el momento <strong>de</strong> entrada hasta el momento <strong>de</strong><br />
salida.<br />
Con lo anterior se garantiza que todos los datos sean procesados, exactos<br />
y que que<strong>de</strong> un registro disponible para la gerencia.<br />
Asimismo la <strong>de</strong>legación <strong>de</strong> un responsable que haga seguimiento a los<br />
procesos ayudará a subsanar este tipo <strong>de</strong> situaciones.<br />
Auditoría <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Control – Casos prácticos<br />
Contaduría Pública
P á g i n a 6<br />
Situación 3<br />
• El operador <strong>de</strong>l turno <strong>de</strong> la noche,<br />
cuyos conocimientos <strong>de</strong> programación<br />
eran mayores <strong>de</strong> los que los <strong>de</strong>más<br />
suponían, modificó (por consola) al<br />
archivo maestro<br />
<strong>de</strong> remuneraciones a efectos <strong>de</strong><br />
lograr que se abonara a una<br />
remuneración más elevada a un<br />
operario <strong>de</strong>l área <strong>de</strong> producción con el<br />
cual estaba emparentado.<br />
• Control correctivo<br />
• Autenticidad<br />
• Exactitud<br />
• Totales <strong>de</strong> <strong>control</strong><br />
• El frau<strong>de</strong> fue <strong>de</strong>scubierto<br />
acci<strong>de</strong>ntalmente varios meses<br />
<strong>de</strong>spués.<br />
El <strong>control</strong> correctivo en este caso supondría reevaluar los <strong>control</strong>es<br />
<strong>de</strong>tectivos que permitieran <strong>de</strong>scubrir este tipo <strong>de</strong> situaciones. De lo anterior<br />
surge un tipo <strong>de</strong> investigación que <strong>de</strong> como resultado el establecimiento <strong>de</strong><br />
mejores <strong>control</strong>es preventivos y <strong>de</strong>tectivos.<br />
• La autenticidad cumple<br />
con la labor <strong>de</strong> verificar<br />
aspectos como claves o<br />
firmas digitales.<br />
• La exactitu<strong>de</strong> se enfoca en<br />
la coherencia <strong>de</strong> los datos<br />
<strong>de</strong> validación <strong>de</strong> campos<br />
• Totales <strong>de</strong> <strong>control</strong> se<br />
pue<strong>de</strong>n llevar a cabo<br />
mediante software <strong>de</strong><br />
seguridad que <strong>de</strong>tenga el<br />
ingreso a los sistemas <strong>de</strong><br />
personal no autorizado y<br />
<strong>de</strong> tal manera<br />
salvaguardar la<br />
confi<strong>de</strong>ncialidad <strong>de</strong> la<br />
información y los<br />
programas.<br />
Auditoría <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Control – Casos prácticos<br />
Contaduría Pública
P á g i n a 7<br />
Situación 4<br />
• XX Inc. Es un mayorista <strong>de</strong> equipos<br />
<strong>de</strong> radio que comercializa sus equipos<br />
a través <strong>de</strong> una vasta red <strong>de</strong><br />
representantes. Sus clientes son<br />
minoristas locales y <strong>de</strong>l exterior;<br />
algunos son consi<strong>de</strong>rados " clientes<br />
especiales", <strong>de</strong>bido al volumen <strong>de</strong><br />
sus compras , y los mismos son<br />
atendidos directamente por los<br />
supervisores <strong>de</strong> ventas. Los clientes<br />
especiales no se incrementan por lo<br />
general, en la misma proporción que<br />
aquellas facturadas a los clientes<br />
especiales.<br />
• Al incrementarse los precios, el archivo<br />
maestro <strong>de</strong> precios y condiciones<br />
<strong>de</strong> venta a clientes especiales no es<br />
automáticamente actualizado; los<br />
propios supervisores estipulan qué<br />
porción <strong>de</strong>l incremento se aplica a cada<br />
uno <strong>de</strong> los clientes especiales.<br />
• El 2 <strong>de</strong> mayo <strong>de</strong> 1983 la compañía<br />
incrementó sus precios <strong>de</strong> venta en un<br />
23%; el archivo maestro <strong>de</strong> precios y<br />
condiciones <strong>de</strong> venta a clientes comunes<br />
fue actualizado en dicho porcentaje.<br />
• En lo que atañe a los clientes especiales,<br />
algunos supervisores incrementaron los<br />
precios en el referido porcentaje, en<br />
tanto que otros,<br />
por razones comercialesrecomendaron<br />
incrementos<br />
inferiores que oscilaron entre un<br />
10% y un 20%. Estos nuevos<br />
precios <strong>de</strong> venta fueron informados<br />
a la oficina central por medio <strong>de</strong><br />
formularios <strong>de</strong> datos <strong>de</strong> entrada,<br />
diseñados al efecto, procediéndose<br />
a la actualización <strong>de</strong>l archivo<br />
maestro.<br />
• En la oportunidad, uno <strong>de</strong> los<br />
supervisores acordó con uno <strong>de</strong><br />
sus clientes especiales no<br />
incrementar los precios <strong>de</strong> venta<br />
(omitió remitir el citado<br />
formulario para su<br />
procesamiento) a cambio <strong>de</strong> una<br />
"comisión’’ <strong>de</strong>l 5% <strong>de</strong> las ventas.<br />
• Ningún funcionario en la oficina<br />
central <strong>de</strong>tectó la no actualización<br />
<strong>de</strong> los precios facturados a<br />
referido cliente razón por la cual<br />
la compañía se vio perjudicada<br />
por el equivalente a US$ 50.000.<br />
El frau<strong>de</strong> fue <strong>de</strong>scubierto<br />
acci<strong>de</strong>ntalmente, <strong>de</strong>spidiéndose al<br />
involucrado, pero no se<br />
interrumpió la relación comercial.<br />
Auditoría <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Control – Casos prácticos<br />
Contaduría Pública
P á g i n a 8<br />
Situación 4<br />
• Los <strong>control</strong>es correctivos son importantes en este<br />
caso ya que permitirán en el futuro <strong>de</strong>tectar este<br />
tipo <strong>de</strong> frau<strong>de</strong>s<br />
• Para remediar esta<br />
situación es esencial tener<br />
en cuenta aspectos como:<br />
• La verificación, que<br />
permita hacer seguimiento<br />
a los procedimientos<br />
• Conteo <strong>de</strong> registros que<br />
cree campos en los cuales<br />
se acumulen registrosy<br />
permitan verificar la<br />
omission o cambio <strong>de</strong><br />
información.<br />
• Los <strong>control</strong>es <strong>de</strong><br />
procesamiento juegan un<br />
rol importante en este tipo<br />
<strong>de</strong> casos ya que hacen<br />
seguimiento a los procesos<br />
<strong>de</strong> la información<br />
Auditoría <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Control – Casos prácticos<br />
Contaduría Pública
P á g i n a 8<br />
Referencias<br />
• https://noris14.wordpress.com/2011/06/10/<strong>control</strong>interno-informatico/<br />
• http://en.calameo.com/read/00397519760c2b048774a<br />
Auditoría <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Control – Casos prácticos<br />
Contaduría Pública