Auditoría: evaluación de los controles de TI de una entidad

Rodrigo Ricardo Publicado el 19 octubre, 2020 6 minutos y 16 segundos de lectura
¿Quieres explorar más? 📂 Explorar Categorías 🔥 Tendencias 🎓 Cursos

Evaluación comparativa de controles de aplicaciones automatizados

La auditoría del sistema de información general y los controles de aplicación está cubierta por la norma de auditoría No 5. La norma de auditoría No 5 proporciona a los auditores pautas sobre cómo realizar la auditoría de controles internos sobre los estados financieros. Al auditar el sistema de información general y los controles de las aplicaciones, la norma de auditoría n. ° 5 permite la evaluación comparativa de los controles automatizados. Se le permite confiar en la prueba de control del año anterior si puede verificar que los controles de aplicaciones automatizadas no hayan cambiado desde la última auditoría o que se haya realizado un cambio mínimo desde que se estableció la línea de base de evaluación comparativa. Basarse en la evaluación comparativa requiere que un auditor evalúe los siguientes factores de riesgo:

  • La estabilidad de la aplicación, es decir, con qué frecuencia cambia la aplicación. Si el código de la aplicación se cambia con frecuencia, es posible que la evaluación comparativa no sea un método eficaz para evaluar los controles de la aplicación.
  • Si es posible verificar el cambio realizado en la aplicación mediante informes u otra información verificable. La evaluación comparativa es menos responsable si la información para verificar el cambio no está disponible o no es lo suficientemente sustancial para verificar los cambios.

Auditoría de control general y de aplicaciones

La auditoría de control general se refiere a la auditoría de todos los componentes del sistema de la organización que incluyen procesos y datos comerciales, mientras que el alcance de la auditoría de control de aplicaciones se limita a procesos comerciales o sistemas de aplicaciones específicos.

Los ejemplos de auditoría de control general incluyen:

  • Controles de recuperación del sistema.
  • Controles de seguridad para un centro de datos.
  • Controles de gestión de cambios.

Los ejemplos de auditoría de control de aplicaciones incluyen:

  • Controles de segregación de funciones.
  • Procesamiento de controles de órdenes de venta.
  • Controles de adquisición de órdenes de compra.

Control de aplicaciones VS control manual

La auditoría de control de aplicaciones requiere comprender el sistema de información de la compañía, extraer información de los procesos comerciales que son relevantes para la presentación de informes financieros y evaluar si los informes financieros generados por los sistemas de información están libres de errores materiales.

Tema relacionado:
Controles y variables en Experimentos Científicos: Definición y ejemplos

Una auditoría del sistema de información implica una evaluación del nivel de controles de la entidad tanto para las aplicaciones como para los procedimientos manuales. Como auditor, debe identificar las transacciones que son relevantes para los estados financieros y el procedimiento para registrar y procesar esas transacciones tanto en el sistema de información como en el sistema manual.

Los controles de aplicación están sujetos a menos errores y son más confiables que los controles manuales porque no están sujetos a la interferencia humana una vez que se establecen los controles. Puede seguir confiando en los controles de la aplicación si nada ha cambiado o si los cambios han sido mínimos desde la última auditoría. Cuando los controles generales que están integrados con el control de la aplicación funcionan con normalidad, puede probar los controles una vez durante el período de prueba. El control de aplicación toma menos tiempo para probar que los controles manuales porque su efectividad se puede probar a partir de una muestra, mientras que una prueba de controles manuales depende de la frecuencia con la que se prueban los controles. La frecuencia puede ser diaria, semanal, mensual, trimestral o anual.

Enfoque de arriba hacia abajo

El enfoque de arriba hacia abajo es una técnica de auditoría utilizada para auditar los controles internos sobre los estados financieros. Un auditor comienza desde el nivel financiero y avanza hacia los controles a nivel de entidad. Puede utilizar el enfoque de arriba hacia abajo para identificar el riesgo y seleccionar las aplicaciones que se incluirán como parte de la revisión del control interno y el tipo de prueba que se realizará.

La identificación de riesgos requiere el uso de un plan de revisión de riesgos que identifique las debilidades críticas de la aplicación relacionadas con los requisitos de cumplimiento, operaciones e informes de la organización.

Método para revisar los controles de la aplicación

Hay dos métodos que puede utilizar para revisar los controles de la aplicación.

Tema relacionado:
Las 10 heurísticas de usabilidad: ejemplos y evaluación

  • Método de proceso empresarial.
  • Método de aplicación única.

Un método de proceso empresarial es un enfoque descendente que se utiliza para revisar los controles de aplicaciones disponibles en todos los sistemas que admiten un proceso empresarial en particular. El método de proceso empresarial es popular en el entorno de planificación de recursos empresariales (ERP) porque las aplicaciones empresariales están integradas con los sistemas ERP y abarcan diferentes módulos. En un entorno que no sea ERP, debe identificar las interfaces entrantes y salientes de las aplicaciones que componen el proceso empresarial al revisar los controles.

Se utiliza un método de aplicación única al revisar los controles dentro de una aplicación o módulo único. El método de aplicación única es adecuado para entornos que no son ERP o no integrados porque los datos de entrada y salida se procesan dentro de la aplicación o el módulo.

Resumen de la lección

La auditoría de las aplicaciones del sistema de información está cubierta por la norma de auditoría No 5. La auditoría de los controles de la aplicación se puede comparar con el período de auditoría anterior si un auditor puede verificar que los controles de la aplicación no han cambiado o que el cambio mínimo ha entrado en vigor desde que se estableció la línea de base.

Hay dos tipos de auditorías de control interno de sistemas de información que realiza un auditor.

  • Auditoría de control general
  • Auditoría de aplicaciones

La auditoría de control general es la evaluación del control de todo el sistema de la organización que incluye la aplicación y los datos. La auditoría de aplicaciones se centra en procesos o programas comerciales específicos.

Tema relacionado:
Manipulación Contable: Definición, Tipos y Ejemplos

Dos tipos de control que un auditor debe revisar durante el proceso de auditoría del sistema de información son los controles de aplicación y los controles manuales. La auditoría de control de sistemas de información requiere que un auditor evalúe el registro y procesamiento de transacciones tanto para los sistemas de información de la organización como para los sistemas manuales. El control de aplicaciones toma menos tiempo para probar y está sujeto a menos errores que el manual porque no requiere interfaz humana.

El método recomendado para identificar el control de entidades en el entorno es el enfoque de arriba hacia abajo. El enfoque de arriba hacia abajo comienza desde el nivel financiero y desciende hasta los controles a nivel de entidad. Los dos métodos que un auditor puede utilizar para revisar los controles de la aplicación son el método de proceso empresarial y un método de aplicación único.

Explora más sobre este tema

Selecciona un tema y sigue aprendiendo...

auditoraauditoriacontrolesentidadevaluacionti
Rodrigo Ricardo
Rodrigo Ricardo Editor y fundador

Artículos relacionados

Manipulación Contable: Definición, Tipos y Ejemplos
Evaluación 360°: Definición, Características y Ejemplos
Resistencia Muscular y Fuerza: Evaluación y diferencias
Dios Shang Ti: Historia, significado y religión