Normas Internacionales de Auditoría

Normas Internacionales de Auditoría *

Declaraciones Internacionales de Auditoría

1008. EVALUACIÓN DEL RIESGO Y EL CONTROL INTERNO — CARACTERÍSTICAS Y CONSIDERACIONES DEL CIS

Introducción

Un entorno de sistema de información de cómputo (CIS) se define en la Norma Internacional de Auditoría (NIA) 401 “Auditoría en un Entorno de Sistemas de Información por Computadora,” como sigue:

Para los fines de las Normas Internacionales de Auditoría, existe un entorno de CIS cuando hay implicada una computadora de cualquier tipo o tamaño en el procesamiento por parte de la entidad de información financiera de importancia para la auditoría, ya sea que la computadora sea operada por la entidad o por un tercero.

La introducción de todos los controles deseados de CIS puede no ser factible cuando el tamaño del negocio es pequeño o cuando se usan microcomputadoras independientemente del tamaño del negocio. También, cuando los datos son procesados por un tercero, la consideración de las características del entorno de CIS puede variar dependiendo del grado de acceso al procesamiento del tercero. Se han desarrollado una serie de declaraciones internacionales de auditoría para suplementar los siguientes párrafos. Esta serie describe diversos entornos de CIS y su efecto sobre los sistemas de contabilidad y de control interno y sobre los procedimientos de auditoría.

Estructura organizacional

En un entorno de CIS, una entidad establecerá una estructura organizacional y procedimientos para administrar las actividades de CIS. Las características de una estructura organizacional de CIS incluyen:

a. Concentración de funciones y conocimiento— aunque la mayoría de los sistemas que emplean métodos de CIS incluye ciertas operaciones manuales, generalmente el número de personas involucradas en el procesamiento de información financiera es significativamente reducido. Más aún, cierto personal de procesamiento de datos pueden ser los únicos con un conocimiento detallado de la interrelación entre las fuente de datos, cómo se procesan, y la distribución y uso de los datos de salida. Es también probable que estén conscientes de cualesquiera debilidades en el control interno y, por lo tanto, pueden estar en posición de alterar programas o datos mientras están almacenados o durante el procesamiento. Todavía más, pueden no existir muchos controles convencionales basados en la segregación adecuada de funciones incompatibles, o en ausencia de controles de acceso u otros, pueden ser menos efectivos.

b. concentración de programas y datos—a menudo están concentrados los datos por transacción y del archivo maestro, generalmente en forma legible por la máquina, ya sea en una instalación de computadora localizada centralmente o en un número de instalaciones distribuidas por toda una entidad. Es probable que los programas de computadora que dan la capacidad de obtener acceso a, y de alterar dichos datos estén almacenados en la misma locación que los datos.

Por lo tanto, en ausencia de controles apropiados, hay un mayor potencial para acceso no autorizado a, y alteración de, programas y datos.

Naturaleza del procesamiento

El uso de computadoras puede dar como resultado el diseño de sistemas que proporcionen menos evidencia que aquellos que usen procedimientos manuales. Además, estos sistemas pueden ser accesibles a un mayor número de personas. Las características del sistema que pueden ser resultado de la naturaleza del procesamiento CIS incluyen:

a) Ausencia de documentos de entrada—los datos pueden ser alimentados directamente al sistema por computadora sin documentos que los soporten. En algunos sistemas de transacción en línea, la evidencia por escrito de la autorización de alimentación de datos individuales (por ej., aprobación para entrada de pedidos) puede ser reemplazada por otros procedimientos, como controles de autorización contenidos en los programas de computadora (por ej., aprobación del límite de crédito).

b) Falta de rastro visible de transacciones—ciertos datos pueden mantenerse en archivos de computadora solamente. En un sistema manual, normalmente es posible seguir una transacción a través del sistema examinando los documentos fuente, libros de cuentas, registros, archivos y reportes. En un entorno de CIS, sin embargo, el rastro de la transacción puede estar parcialmente en forma legible por máquina, y todavía más, puede existir sólo por un periodo limitado de tiempo.

c) Falta de datos de salida visibles—ciertas transacciones o resultados del procesamiento pueden no imprimirse. En un sistema manual, y en algunos sistemas de CIS, es posible normalmente examinar en forma visual los resultados del procesamiento. En otros sistemas de CIS, los resultados del procesamiento no pueden imprimirse, o pueden imprimirse sólo datos resumidos. Así, la falta de datos de salida visibles puede dar como resultado la necesidad de tener acceso a datos retenidos en archivos legibles sólo por computadora.

d) Facilidad de acceso a datos y programas de computadora—se puede tener acceso a los datos y los programas de computadora, y pueden ser alterados, en la computadora o por medio del uso de equipo de computación en locaciones remotas. Por lo tanto, en ausencia de controles apropiados, hay un potencial mayor para el acceso no autorizado a, y la alteración de, datos y programas por personas dentro o fuera de la entidad.

Aspectos de diseño y de procedimiento

El desarrollo de sistemas de CIS generalmente dará como resultado el diseño y características de procedimientos que son diferentes de los que se encuentran en los sistemas manuales. Estos aspectos diferentes de diseño y de procedimiento de los sistemas de CIS incluyen:

a) Consistencia de funcionamiento— los sistemas de CIS desempeñan funciones exactamente como se les programe y son potencialmente más confiables que los sistemas manuales, previsto que todos los tipos de transacción y todas las condiciones que puedan ocurrir se anticipen e incorporen en el sistema. Por otra parte, un programa de computadora que no esté correctamente

...