• ¿Cómo el auditor de SI apoya la auditoría financiera basada en las Normas Internacionales de Auditoría (NIA)? Conferencia Latinoamericana CACS/ISRM 2014 6-7 Octubre de 2014 | Panamá , Ciudad de Panamá ¿CÓMO EL AUDITOR DE SI APOYA LA AUDITORÍA FINANCIERA BASADA EN LAS NORMAS INTERNACIONALES DE AUDITORÍA (NIA)? • Objetivos de aprendizaje: – conocer las Normas Internacionales de auditoría (NIA) que afectan el trabajo del auditor de sistemas de información. – identificar las fases de las NIA en que puede entregar valor. – conocer la participación de un auditor de sistemas en la evaluación de controles generales. LAS NIA QUE SE DEBEN CONOCER • NIA 200 Objetivos de la auditoría • NIA 300 Planificación • NIA 315 Identificación y evaluación de los riesgos de error material mediante el entendimiento de la entidad y su entorno • NIA 320 Materialidad (importancia relativa) • NIA 330 Respuestas del auditor a los riesgos evaluados Aspectos generales de las NIA • Como todas las normas, se indica qué hacer, pero no el cómo • Había indicaciones (declaraciones) más específicas, cómo que se debía revisar los sitios web transaccionales, pero fueron eliminados. • Se hace énfasis en el juicio profesional del auditor y depende de él mismo cumplir con las normas. ¿QUÉ ES UNA AUDITORÍA FINANCIERA BASADA EN NIA? • NIA 200 Objetivos generales del auditor independiente y conducción de una auditoria • El propósito de una auditoría es incrementar el grado de confianza de los presuntos usuarios en los estados financieros. Esto se logra con la expresión de una opinión por el auditor sobre si los estados financieros están elaborados, en todos los aspectos importantes, de acuerdo con un marco de referencia de información financiera aplicable. El enfoque de auditoría se compone 1. Evaluación del riesgo 2. Respuesta al riesgo 3. Informe 4. Conclusion You site here La auditoría basada en riesgo 1 • . Evaluación de riesgo: planificar la auditoría y desempeñar procedimientos de evaluación 2 Respuesta al riesgo: diseñar y desempeñar procedimientos adicionales 3 Informes RIESGOS DE AUDITORÍA Riesgo inherente: Posibilidad de que el saldo de una cuenta o clase de transacciones sea susceptible a una representación errónea que pudiera ser de importancia relativa Riesgo de control: el control no funcione de acuerdo con el diseño. Riesgo de detección: el auditor puede fallar en detectar una representación errónea material en los estados financieros (pertenece al auditor). COMPONENTES DE CONTROLES INTERNOS (NIA 315) • El control interno se comprende de cinco componentes. – Ambiente de control; – Evaluación de riesgo de la entidad; – El sistema de información, incluyendo los procesos de negocios relacionados, relevantes a los informes financieros y comunicación; – Actividades de control relevantes a la auditoría; y – Monitoreo del control interno. COMPONENTES DE CONTROLES INTERNOS (NIA 315) Ambiente Informes S.I Act. De control Eval. riesgo AMBIENTE DE CONTROL • El ambiente de control es la base para un control interno efectivo, al proveer disciplina y estructura para la entidad. Establece el tono de la organización, influencia la consciencia de control y concientización de las personas. • El ambiente de control atiende las funciones de gobierno corporativo y administración. • En nuestro caso, sería por ejemplo, el Gobierno de TI, que incluye planificación y administración de riesgo (se aconseja usar COBIT 5 como referencia) EVALUACIÓN DE RIESGO • Un proceso de evaluación de riesgo provee a la administración con la información que es necesaria para determinar si los riesgos de negocio/fraude deben ser administrados y las acciones (si alguna) deben ser tomadas. • Si el proceso de evaluación de riesgo de la entidad es adecuado a las circunstancias, asistirá al auditor a identificar riesgos de errores de representación materiales. SISTEMAS DE INFORMACIÓN • La administración y aquellos encargados del gobierno requieren información confiable para: – administrar la entidad (planificación, presupuesto, monitoreo del desempeño, asignación de recursos, precios y la preparación de estados financieros); – lograr los objetivos; e – identificar, evaluar y responder a los factores de riesgo. SISTEMAS DE INFORMACIÓN (CONTINUACION) • Un sistema de información consiste en infraestructura (componentes físicos y hardware), software, personas, procedimientos y datos. • Muchos sistemas de información utiliza la tecnología de información (TI). TI identifica, captura, procesa y distribuye la información que apoya el logro de los objetivos de los informes financieros y de control interno. LOS MÍNIMOS CONTROLES DE TI PARA EVALUAR EN UNA AUDITORÍA FINANCIERA (II PARTE) POR SINGLETON Las mínimas cinco áreas a revisar: • 1. Controles generales de TI – Gobierno de TI (independiente del tamaño o complejidad de la organización, siempre existe). – Políticas y procedimientos de TI, planificación, recursos humanos y riesgo. • 2. Administración del cambio – Todos los cambios al portafolio de TI son autorizados e implementados con seguridad. LOS MÍNIMOS CONTROLES DE TI PARA EVALUAR EN UNA AUDITORÍA FINANCIERA (II PARTE) POR SINGLETON • 3. Seguridad de la información – Seguridad física – Seguridad lógica • 4. Respaldos y recuperación – Por ejemplo, planes de continuidad. • 5. Proveedores externos de TI – Contratos, acuerdos de niveles de servicio, riesgo Marco conceptual para basar las observaciones: COBIT 5 Procesos para el Gobierno Corporativo de TI Evaluar, dirigir y Monitorear EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento EDM02 Asegurar la Entrega de Valor EDM03 Asegurar la Optimización de los Riesgos EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia a las partes interesadas Alinear, Planear y Organizar APO01 Administrar el Marco de la Administración de TI APO08 Administrar las Relaciones APO02 Administrar la Estrategia APO09 Administrar los Contratos de Servicios Monitorear, Evaluar y Valorar APO03 Administrar la Arquitectura Corporativa APO10 Administrar los Proveedores APO04 Administrar la Innovación APO11 Administrar la Calidad APO05 Administrar el Portafolio APO06 Administrar el Presupuesto y los Costos APO12 Administrar los Riesgos APO13 Administrar la Seguridad BAI05 Administrar la Habilitación del Cambio BAI06 Administrar Cambios DSS05 Administrar los Servicios de Seguridad DSS06 Administrar los Controles en los Procesos de Negocio APO07 Administrar el Recurso Humano MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento Construir, Adquirir e Implementar BAI01 Administrar Programas y Proyectos BAI02 Administrar la Definición de Requerimientos BAI03 Administrar la Identificación y Construcción de Soluciones BAI08 Administrar el Conocimiento BAI09 Administrar los Activos BAI10 Administrar la Configuración BAI04 Administrar la Disponibilidad y Capacidad BAI07 Administrar la Aceptación de Cambios y Transiciones MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno Entregar, Servir y Dar Soporte DSS01 Administrar las Operaciones DSS02 Administrar las Solicitudes de Servicios y los Incidentes DSS03 Administrar Problemas DSS04 Administrar la Continuidad Procesos para la Administración de TI Corporativa Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved. MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos COMUNICACIÓN • La comunicación es un componente clave para un exitoso sistema de información. Consecuentemente, si la información es usada para la toma de decisiones y para facilitar el funcionamiento del control interno, necesita ser comunicada oportunamente (tanto interna como externamente) a las personas adecuadas. ACTIVIDADES DE CONTROL • Las actividades de control son las políticas y los procedimientos que ayudan a asegurar a la administración que las directrices son llevadas a cabo. Ejemplos incluye controles para asegurar que los bienes no son enviados a clientes con un mal crédito o que sólo las compras autorizadas sean hechas. Estos controles atienden el riesgo que, si no es mitigado, amenazaría el logro de los objetivos de la entidad. CONTROLES (BÁSICOS) • Segregación de funciones (ver cuadro de ISACA) • Controles de autorización • Reconciliaciones de cuentas • Controles de TI para aplicaciones • Revisión de los resultados reales ENTENDIENDO LOS RIESGOS Y CONTROLES DE TI • Controles generales de TI – Estos controles operan a través de todas las aplicaciones y usualmente consisten en una mezcla de controles automatizados (integrados a los programas de computadora) y controles manuales (tales como el presupuesto de TI y los contratos con proveedores de servicio); y ENTENDIENDO LOS RIESGOS Y CONTROLES DE TI • Controles de aplicación de TI – Estos controles son controles automatizados que se relacionan específicamente a las aplicaciones (tales como el procesamiento de ventas y planillas). PRUEBAS DE CONTROLES GENERALES DE TI • La auditoría financiera necesita probar que los controles generales de TI estén funcionando. • Básicamente, los controles generales son Gobierno de TI (planificación, administración de riesgo), administración de cambio, respaldos, planes de continuidad, seguridad de la información, entre otros. CONTROLES AUTOMATIZADOS • Puede haber algunas instancias en las actividades del control son desempeñadas por computadora y la documentación de apoyo no existe, En estas situaciones, el auditor puede tener que volver a desempeñar algunos controles para asegurar que algunos controles están trabajando como fueron diseñado. Otro enfoque es usar Técnicas de Auditoría Asistidas por Computadora (TAAC). USO DE CAATS • Hacer extracciones de cantidades de importancia relativa • Extraer los registros superiores e inferiores de una base de datos. • Identificar registros faltantes o duplicados • Identificar posibles fraudes (usando la ley de Benford). USO DE CAATS (CONTINUACIÓN) • Ordenar transacciones con características específicas • Hacer muestras • Probar la población completa en vez de una muestra • Recálculos • Hacer vínculos con otra base de datos. Preguntas CONCLUSIONES • El auditor de SI debe: – Entender el objetivo de la auditoría de los EF y la materialidad (establecer un adecuado alcance). – Participar desde el inicio en el proceso de respuesta de riesgos de la auditoría – Evaluar los componentes del control interno: • Ambiente de control; evaluación de riesgo de la entidad; el sistema de información, actividades de control; y monitoreo. – Realizar pruebas de detalle para confirmar las aseveraciones (saldos y transacciones). MUCHAS GRACIAS POR SU ATENCIÓN • Preguntas o consultas adicionales • Luis Diego León Barquero • Correo electrónico: [email protected]
© Copyright 2024