Riesgos especiales asociados con los sistemas de información informáticos
El Comité de Prácticas Internacionales de Auditoría (IAPC) de la Federación Internacional de Contadores (IFAC) ha realizado anteriormente investigaciones sobre auditoría en el entorno de sistemas de información informáticos y ha emitido una serie de normas relacionadas. Hasta ahora se han promulgado seis normas internacionales de auditoría sobre el contenido de la auditoría ambiental de los sistemas de información informáticos. Se establecen disposiciones complementarias, respectivamente, sobre el impacto del entorno de procesamiento electrónico de datos en el sistema contable en sistemas independientes, sistemas en línea y sistemas de bases de datos, así como sobre la investigación y evaluación de los controles internos. El contenido de estas normas se resume e introduce.
En primer lugar, la auditoría en el entorno de los sistemas de información. Esta norma especifica el propósito y alcance de la auditoría en un entorno de sistema de información informática, los requisitos técnicos y de competencia, las consideraciones de planificación de la auditoría, el impacto de la investigación del control interno, la evaluación y valoración de riesgos, y los aspectos a los que se debe prestar atención al desarrollar e implementar la auditoría. procedimientos. Esta norma sólo estipula los principios y directrices generales para la auditoría en un entorno de sistemas de información informáticos. Las otras cinco normas o anuncios de práctica son complementos o extensiones de esta norma.
Al realizar auditorías en un entorno de sistemas de información computarizados, los auditores deben comprender completamente el hardware, el software y los sistemas de procesamiento en el plan acordado, comprender la investigación y evaluación de los controles internos por parte de los sistemas de información computacionales y cómo afecta los Procedimientos de auditoría, incluidas las técnicas de auditoría asistidas por ordenador. El auditor también debe tener conocimiento suficiente del procesamiento de los sistemas de información informáticos utilizados para realizar los procedimientos de auditoría, dependiendo del método de auditoría específico utilizado.
2. Evaluación de riesgos y control interno - Características ambientales y precauciones de los sistemas de información informáticos. Este boletín de práctica es un complemento de la primera norma y aclara las características del entorno del sistema de información informático, el contenido y los métodos de evaluación del control interno en el entorno del sistema de información informático.
El auditor debe recopilar información sobre el entorno del sistema de información informática relevante para el plan de auditoría, incluidas las funciones del sistema de información informática, la concentración o distribución del procesamiento informático, el hardware y software utilizado, el restablecimiento de datos. , etc.
Los auditores deben considerar lo siguiente al desarrollar un plan integral: determinar la confiabilidad de los controles del sistema de información informática en una evaluación integral de los controles internos; desarrollar un plan sobre cómo, dónde y cuándo inspeccionar las funciones del sistema de información informática; utilizar tecnología de auditoría asistida por computadora desarrolla planes de auditoría.
En tercer lugar, un microordenador que sea independiente del entorno del sistema de información informático. Este boletín de práctica complementa el primer estándar al aclarar los sistemas de microcomputadoras y sus características, los controles internos en un entorno de microcomputadoras y el impacto del entorno de microcomputadoras en los procedimientos de auditoría.
La norma establece que el impacto de las microcomputadoras en los sistemas contables y los riesgos relacionados generalmente dependerán de las siguientes condiciones: (1) el alcance de aplicación de las microcomputadoras en el procesamiento contable; ser procesado; aplicación La naturaleza de los archivos y programas utilizados. Los controles internos en un entorno de microcomputadoras deben incluir: regulaciones y controles sobre el funcionamiento de la microcomputadora por parte del departamento de gestión de software y control de integridad de datos, software y control de respaldo de datos;
Cuarto, entorno del sistema de información informática: sistema informático en línea. Este boletín de práctica complementa el primer estándar al aclarar los sistemas informáticos en línea y sus características, los controles internos en entornos informáticos en línea y el impacto de los entornos informáticos en línea en los procedimientos de auditoría.
El Código enfatiza que algunos procedimientos de control general son particularmente importantes para el procesamiento en línea, incluido el control de acceso, control de contraseñas, controles de desarrollo y mantenimiento de sistemas, programación y controles de registros comerciales. Al mismo tiempo, los controles de aplicaciones que son particularmente importantes para el procesamiento en línea incluyen la autorización adecuada antes del procesamiento y edición del dispositivo final. Plausibilidad y otras pruebas de validación, pruebas de corte, controles de documentación y controles de equilibrio.
El impacto del entorno en línea en el sistema contable y sus riesgos relacionados generalmente depende de los siguientes puntos: (1) el alcance del procesamiento del sistema en línea con aplicaciones de contabilidad seca; el tipo y la importancia del negocio financiero; procesado; La naturaleza de los archivos de aplicación y programas utilizados.
En quinto lugar, el entorno del sistema de información informática-sistema de base de datos. Este boletín de práctica complementa el primer estándar y aclara los sistemas de bases de datos y sus características, los controles internos bajo los sistemas de bases de datos y el impacto del entorno de la base de datos en los procedimientos de auditoría.
En sexto lugar, la tecnología de auditoría asistida por ordenador. Esta norma es una extensión de la primera norma y define dos tecnologías de auditoría auxiliares, el software de auditoría y los datos de prueba, el alcance y los factores que deben considerarse al utilizar tecnología de auditoría asistida por computadora y el trabajo y control principal de los contadores públicos certificados en la aplicación de medios de auditoría asistida por ordenador.
Las "Directrices" señalan que la tecnología de auditoría asistida por computadora se puede utilizar en las siguientes situaciones: cuando faltan archivos de entrada y pistas de auditoría visibles en la aplicación de procedimientos de cumplimiento del sistema y autenticidad de los datos; El uso de tecnología de auditoría asistida por computadora puede mejorar la eficacia y eficiencia de los procedimientos de auditoría.
Existen muchos tipos de técnicas de auditoría asistidas por computadora, y las Normas Internacionales de Auditoría explican dos de ellas: software de auditoría con fines de auditoría y técnicas de prueba de datos. El software de auditoría se puede utilizar como parte del proceso de auditoría para procesar datos de auditoría importantes del sistema de contabilidad de la unidad. Las técnicas de prueba de datos se utilizan para ingresar datos en el sistema informático de una empresa al realizar procedimientos de auditoría y comparar los resultados obtenidos con resultados predeterminados.
Al desarrollar un plan de auditoría, los auditores deben considerar una combinación adecuada de técnicas de auditoría manuales y asistidas por computadora.
Los factores a considerar al determinar si se utiliza tecnología de auditoría asistida por computadora incluyen: el conocimiento, la experiencia y la experiencia del auditor; la disponibilidad de tecnología de auditoría asistida por computadora y el equipo informático apropiado; el factor tiempo.
Enlaces clave en la auditoría de sistemas de información
[Fecha: 28 de mayo de 2007] Fuente: Autor: Zhang Jingyi, Oficina de Auditoría de Materiales de Construcción y Construcción de la Oficina Nacional de Auditoría [Fuente: grande , Mediano, Pequeño]
La auditoría del sistema de información es el proceso de recopilar y evaluar evidencia de auditoría para determinar si el sistema de información puede proteger la seguridad de los activos, mantener la integridad de los datos, lograr de manera efectiva los objetivos de la unidad auditada y hacer uso eficiente de los recursos de la organización.
Método de auditoría del sistema de información
El proceso de auditoría del sistema de información es el mismo que el proceso de auditoría general y se divide en etapa de preparación, etapa de implementación y etapa de presentación de informes. Entre ellos, los métodos técnicos involucrados en la etapa de preparación y presentación de informes no son muy diferentes de los utilizados en la auditoría financiera, mientras que los métodos técnicos involucrados en la etapa de implementación tienen las características de la tecnología de la información. En la fase de implementación, el trabajo realizado por los auditores se puede dividir en tres niveles: comprensión, descripción y prueba.
En comparación con los métodos de auditoría tradicionales en entornos manuales, los métodos de auditoría en entornos de sistemas de información informáticos han aumentado correspondientemente el contenido de tecnología informática. Los métodos de auditoría de sistemas de información incluyen tanto métodos generales, es decir, métodos manuales, como métodos de auditoría informática. Los métodos generales de auditoría de sistemas de información se utilizan principalmente para comprender y describir sistemas de información, incluidas entrevistas, revisiones de documentos del sistema, observaciones, descripciones textuales de sistemas informáticos, descripciones de tablas, descripciones gráficas, etc. Los métodos informáticos se utilizan generalmente para controlar y probar sistemas de información, incluidos: método de datos de prueba, método de simulación paralela, tecnología de auditoría continua en línea (implementada mediante un módulo de auditoría integrado), método de prueba integral, método de procesamiento controlado y método de reprocesamiento controlado. Los métodos de auditoría que utilizan tecnología informática se refieren principalmente a la aplicación de técnicas y herramientas de auditoría asistidas por computadora. Sin embargo, el proceso de utilizar técnicas y herramientas de auditoría asistidas por computadora no puede equipararse a la auditoría de sistemas de información. En el proceso de auditoría del sistema de información, todavía se requiere una gran cantidad de tecnología de auditoría manual.
Vínculos clave a los que se debe prestar atención en las auditorías de sistemas de información
1. Transmisor de datos
En la auditoría, se debe utilizar un método para realizar un seguimiento y avanzar. hacia atrás Registros individuales de transacciones y activos para que los auditores puedan seleccionar algunas transacciones para examinarlas en detalle y confirmar si los registros de transacciones cumplen con los objetivos generales de la auditoría. Por ejemplo, al inspeccionar la información contable, es necesario verificar su integridad, puntualidad, cumplimiento y divulgación de la información, incluso si todas las transacciones relacionadas con el año fiscal en curso están registradas; si todas las transacciones registradas son razonables y están relacionadas con el año fiscal en curso; ;Si las transacciones registradas son precisas en términos de datos y cálculos: si las transacciones registradas cumplen con las disposiciones legales básicas y auxiliares y cumplen con los requisitos de agencias autorizadas específicas; si las transacciones registradas están clasificadas correctamente y cumplen con los requisitos de divulgación de información; Para verificar la información en los estados financieros, se debe verificar su integridad, existencia, medición contable, propiedad y divulgación de información, incluso si todos los activos y pasivos están contabilizados: si todos los activos y pasivos contabilizados existen; los pasivos son precisos y el método de cálculo Si cumple con los requisitos de las políticas contables formuladas de acuerdo con estándares razonables y consistentes: confirmar que los activos pertenecen a la unidad auditada, los pasivos deben ser asumidos por la unidad auditada, si los activos y pasivos son generados por razones legales actividades económicas; si los activos, pasivos, capital e inventarios son revelación adecuada. Al mismo tiempo, también se debe analizar la información comercial proporcionada por el sistema de información, como salario mensual total, lista de pagos, información de pedidos en una determinada etapa, etc. , descubra la situación básica de la transacción y rastree hasta la fuente de la información. La tecnología de auditoría asistida por computadora se puede utilizar para analizar la información anterior, resumir, clasificar, organizar, comparar y seleccionar los datos de acuerdo con estándares específicos y realizar diversas operaciones.
2. Enlace de control interno
En términos generales, el control interno significa que los directivos de la organización mantienen la seguridad e integridad de los bienes y materiales, garantizan la autenticidad y confiabilidad de la información contable, y asegurar la operación y las actividades de gestión. Un mecanismo de gestión interna que ajusta, inspecciona y restringe las actividades de gestión empresarial con base en la economía, la eficiencia y la eficacia, así como el cumplimiento de diversas leyes y regulaciones. Es un sistema de autodisciplina formado por una organización para lograr objetivos de gestión. El control interno de los sistemas informáticos se divide principalmente en tres vertientes: control de aplicaciones, control general y control de gestión. Durante el proceso de auditoría se debe evaluar el sistema de control interno de la unidad auditada, incluido el sistema de control interno del sistema computarizado. Para evaluar el sistema de control interno de un sistema, el auditor debe verificar que el sistema de control interno existe y proporcionar evidencia satisfactoria de que está funcionando de manera efectiva. En los sistemas informáticos deberán comprobarse los siguientes aspectos para comprobar la eficacia del sistema de control interno: (1) Controlar el acceso a los recursos del sistema. Incluye recursos físicos como terminales, servidores, cajas de conexión, documentación relacionada, etc. También incluye recursos lógicos como software, archivos y tablas del sistema, datos, etc. (2) Controlar el uso de los recursos del sistema. Los usuarios sólo deben operar con recursos autorizados para ellos. (3) Establecer un sistema que asigne recursos en función de las funciones del usuario. Separe las funciones de tareas importantes según usuarios o grupos de usuarios para reducir operaciones incorrectas no intencionadas, abuso de recursos del sistema y modificación no autorizada de datos. (4) Registre el uso del sistema. Establezca un registro cronológico de uso que incluya excepciones, quién desencadenó eventos relacionados con la seguridad y quién creó, modificó y eliminó información financiera. (5) Confirmar la exactitud del proceso de tratamiento.
Utilice la información de control financiero generada para confirmar la finalización precisa de los procedimientos de tratamiento. (6) Los administradores modifican el sistema de información financiera. Se debe garantizar que todas las modificaciones a los sistemas de información financiera estén autorizadas, documentadas, probadas exhaustivamente (independientemente) y, en última instancia, puestas en uso de manera controlada. (7) Proteger los sistemas de información financiera de virus informáticos. Debe existir un conjunto de controles para detectar virus y evitar que infecten los sistemas de información financiera.
3. Transmisión de datos y enlaces de transmisión
En los sistemas de información, algunos datos deben transferirse entre dos sistemas de información financiera o entre un sistema de información financiera y un sistema de información empresarial. Algunos problemas. pueden surgir durante este proceso, especialmente cuando se requiere el reingreso manual. Por lo tanto, se debe prestar atención a los siguientes aspectos durante la auditoría: los datos pueden cambiar durante el proceso de transmisión; la nueva tabla de códigos de cuenta puede ser diferente de la anterior y es necesario establecer una correspondencia compleja entre los dos sistemas de información financiera. : la base de datos central puede ser reemplazada por algunos servidores dispersos geográficamente; la calidad de los datos en el sistema de información financiera actual es deficiente; cuando un sistema de información financiera programado se reemplaza por un sistema de información general, es necesario complementar muchos datos nuevos. Al verificar este enlace, debemos asegurarnos de que el mensaje de salida esté aprobado, completo y preciso, asegurarnos de que el mensaje de salida se envíe con precisión al destinatario designado dentro del tiempo acordado, asegurar que el mensaje de flujo sea completo, preciso y real.
Análisis de casos de auditoría de sistemas de información
En 2006, durante la auditoría de un hotel, se puso a prueba la seguridad y confiabilidad del sistema de información del hotel. Los resultados de las pruebas mostraron que el sistema de información contenía errores en la transmisión y operación de datos. Mediante la verificación de datos se comprueba que la causa del error se debe a defectos en el propio sistema de información. Los resultados de la auditoría anteriores han sido reconocidos por la unidad auditada, lo que la llevó a reemplazar su sistema de información y mejorar su nivel de gestión informática.
La razón por la que esta auditoría ha logrado ciertos resultados se debe principalmente al énfasis en los datos y los sistemas de control interno, y al uso de una combinación de tecnología de auditoría asistida por computadora y tecnología de auditoría manual para realizar auditorías del sistema de información. . (1) En el enlace de datos, la auditoría del sistema de información y la auditoría de datos utilizan datos del sistema desde diferentes ángulos. La auditoría de datos se centra en la correlación entre los datos y es el resultado de la auditoría de datos. La auditoría del sistema de información se centra en la verdadera integridad de los datos, es decir, auditar la seguridad y confiabilidad del sistema de información probando la verdadera integridad de los datos. Durante la auditoría, comprenda en detalle la estructura de la base de datos del sistema de información, determine los archivos de la tabla de la base de datos que se consultarán comparando el número de registros en la base de datos y la integridad de los campos, y utilice la integridad de los datos de la tabla principal como base. objetivo clave de la prueba. (2) En términos de control interno y transmisión de datos, comprender de manera integral los procesos comerciales y las características de trabajo del hotel mediante la elaboración de organigramas, diagramas de flujo del sistema y visitas in situ. Comprender los procesos comerciales del hotel, rastrear las tendencias de los flujos de datos básicos en los procesos comerciales y bloquear una gran cantidad de puntos de operación de datos son las claves para determinar la dirección de la auditoría. Todas las actividades comerciales en el sistema de información se concentran en el flujo de datos básico. El flujo de datos básico es una parte importante del sistema de información. Una gran cantidad de puntos de operación de datos son los puntos clave para probar la seguridad y confiabilidad del sistema. Sobre esta base, se determinaron tres módulos del sistema como foco para probar la seguridad y confiabilidad del sistema de información: resumen del informe anual, circulación en la sala de conferencias y transmisión manual de datos entre el sistema empresarial y el sistema de contabilidad financiera. Estos tres módulos son los puntos clave para las operaciones de datos a gran escala y la transmisión de datos entre sistemas en los sistemas de información. Dado que es posible que se produzcan errores y modificaciones de ajuste tanto en las transmisiones automáticas como en las manuales durante el funcionamiento, se utiliza tecnología de auditoría asistida por computadora para verificar los datos subyacentes.
Durante el proceso de verificación, las declaraciones de consulta y los programas se escriben gradualmente y se llaman datos para generar tablas intermedias para compararlas y encontrar puntos sospechosos. La comparación continúa en función de las características de los puntos sospechosos hasta que se produce el error. Se encuentra el punto. Cuando las declaraciones SQL no pueden garantizar la finalización de tareas de consulta y comparación a gran escala, el uso de JAVA, que tiene una mayor potencia informática y una velocidad de ejecución más rápida, para escribir programas de consulta logra el efecto de obtener el doble de resultado con la mitad de esfuerzo.