• ¿Cómo el auditor de SI apoya la auditoría financiera - Isaca

• ¿Cómo el auditor de SI apoya la auditoría financiera basada en las Normas Internacionales de Auditoría (NIA)?
Conferencia Latinoamericana CACS/ISRM 2014
6-7 Octubre de 2014 | Panamá , Ciudad de Panamá
¿CÓMO EL AUDITOR DE SI APOYA LA AUDITORÍA
FINANCIERA BASADA EN LAS NORMAS
INTERNACIONALES DE AUDITORÍA (NIA)?
• Objetivos de aprendizaje:
– conocer las Normas Internacionales
de auditoría (NIA) que afectan el
trabajo del auditor de sistemas de
información.
– identificar las fases de las NIA en que
puede entregar valor.
– conocer la participación de un auditor
de sistemas en la evaluación de
controles generales.
LAS NIA QUE SE DEBEN CONOCER
• NIA 200 Objetivos de la auditoría
• NIA 300 Planificación
• NIA 315 Identificación y evaluación
de los riesgos de error material
mediante el entendimiento de la
entidad y su entorno
• NIA 320 Materialidad (importancia
relativa)
• NIA 330 Respuestas del auditor a
los riesgos evaluados
Aspectos generales de las NIA
• Como todas las normas, se indica qué hacer, pero no el cómo
• Había indicaciones (declaraciones) más específicas, cómo que se debía revisar los sitios web transaccionales, pero fueron eliminados. • Se hace énfasis en el juicio profesional del auditor y depende de él mismo cumplir con las normas.
¿QUÉ ES UNA AUDITORÍA FINANCIERA
BASADA EN NIA?
• NIA 200 Objetivos generales del
auditor independiente y
conducción de una auditoria
•
El propósito de una auditoría es incrementar
el grado de confianza de los presuntos
usuarios en los estados financieros. Esto se
logra con la expresión de una opinión por el
auditor sobre si los estados financieros están
elaborados, en todos los aspectos
importantes, de acuerdo con un marco de
referencia de información financiera
aplicable.
El enfoque de auditoría se compone
1. Evaluación del
riesgo
2. Respuesta al
riesgo
3. Informe
4. Conclusion
You site here
La auditoría basada en riesgo
1
•
.
Evaluación de riesgo: planificar la auditoría y desempeñar procedimientos de evaluación
2
Respuesta al riesgo: diseñar y desempeñar procedimientos adicionales 3
Informes
RIESGOS DE AUDITORÍA
Riesgo inherente: Posibilidad de que el saldo de una cuenta o clase de transacciones sea susceptible a una representación errónea que pudiera ser de importancia relativa Riesgo de control: el control no funcione de acuerdo con el diseño.
Riesgo de detección: el auditor puede fallar en detectar una representación errónea material en los estados financieros (pertenece al auditor).
COMPONENTES DE CONTROLES INTERNOS
(NIA 315)
• El control interno se comprende
de cinco componentes.
– Ambiente de control;
– Evaluación de riesgo de la entidad;
– El sistema de información, incluyendo los
procesos de negocios relacionados,
relevantes a los informes financieros y
comunicación;
– Actividades de control relevantes a la
auditoría; y
– Monitoreo del control interno.
COMPONENTES DE CONTROLES INTERNOS
(NIA 315)
Ambiente
Informes
S.I
Act. De
control
Eval.
riesgo
AMBIENTE DE CONTROL
• El ambiente de control es la base para
un control interno efectivo, al proveer
disciplina y estructura para la entidad.
Establece el tono de la organización,
influencia la consciencia de control y
concientización de las personas.
• El ambiente de control atiende las
funciones de gobierno corporativo y
administración.
• En nuestro caso, sería por ejemplo, el
Gobierno de TI, que incluye
planificación y administración de riesgo
(se aconseja usar COBIT 5 como
referencia)
EVALUACIÓN DE RIESGO
• Un proceso de evaluación de riesgo
provee a la administración con la
información que es necesaria para
determinar si los riesgos de
negocio/fraude deben ser
administrados y las acciones (si
alguna) deben ser tomadas.
• Si el proceso de evaluación de riesgo
de la entidad es adecuado a las
circunstancias, asistirá al auditor a
identificar riesgos de errores de
representación materiales.
SISTEMAS DE INFORMACIÓN
• La administración y aquellos
encargados del gobierno requieren
información confiable para:
– administrar la entidad (planificación,
presupuesto, monitoreo del
desempeño, asignación de recursos,
precios y la preparación de estados
financieros);
– lograr los objetivos; e
– identificar, evaluar y responder a los
factores de riesgo.
SISTEMAS DE INFORMACIÓN (CONTINUACION)
• Un sistema de información consiste
en infraestructura (componentes
físicos y hardware), software,
personas, procedimientos y datos.
• Muchos sistemas de información
utiliza la tecnología de información
(TI). TI identifica, captura, procesa y
distribuye la información que apoya el
logro de los objetivos de los informes
financieros y de control interno.
LOS MÍNIMOS CONTROLES DE TI PARA EVALUAR
EN UNA AUDITORÍA FINANCIERA (II PARTE) POR
SINGLETON
Las mínimas cinco áreas a revisar:
• 1. Controles generales de TI
– Gobierno de TI (independiente del
tamaño o complejidad de la organización,
siempre existe).
– Políticas y procedimientos de TI,
planificación, recursos humanos y riesgo.
• 2. Administración del cambio
– Todos los cambios al portafolio de TI son
autorizados e implementados con
seguridad.
LOS MÍNIMOS CONTROLES DE TI PARA
EVALUAR EN UNA AUDITORÍA FINANCIERA (II
PARTE) POR SINGLETON
• 3. Seguridad de la información
– Seguridad física
– Seguridad lógica
• 4. Respaldos y recuperación
– Por ejemplo, planes de continuidad.
• 5. Proveedores externos de TI
– Contratos, acuerdos de niveles de
servicio, riesgo
Marco conceptual para basar las observaciones: COBIT 5
Procesos para el Gobierno Corporativo de TI
Evaluar, dirigir y Monitorear
EDM01 Asegurar
que se fija el Marco de Gobierno y su Mantenimiento
EDM02 Asegurar
la Entrega de Valor
EDM03 Asegurar
la Optimización de los Riesgos
EDM04 Asegurar
la Optimización de los Recursos
EDM05 Asegurar
la Transparencia a las partes interesadas
Alinear, Planear y Organizar
APO01 Administrar el Marco de la Administración de TI
APO08 Administrar las Relaciones
APO02 Administrar
la Estrategia
APO09 Administrar los Contratos de Servicios
Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura Corporativa
APO10 Administrar
los Proveedores
APO04 Administrar la Innovación
APO11 Administrar
la Calidad
APO05 Administrar el Portafolio
APO06 Administrar
el Presupuesto y los Costos
APO12 Administrar los Riesgos
APO13 Administrar la Seguridad
BAI05 Administrar la Habilitación del Cambio
BAI06 Administrar Cambios
DSS05 Administrar los Servicios de Seguridad
DSS06 Administrar los Controles en los Procesos de Negocio
APO07 Administrar el Recurso Humano
MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento
Construir, Adquirir e Implementar
BAI01 Administrar
Programas y Proyectos
BAI02 Administrar
la Definición de Requerimientos
BAI03 Administrar
la Identificación y Construcción de Soluciones
BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos
BAI10 Administrar la Configuración
BAI04 Administrar la Disponibilidad y Capacidad
BAI07 Administrar la Aceptación de Cambios y Transiciones
MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno
Entregar, Servir y Dar Soporte
DSS01 Administrar las Operaciones
DSS02 Administrar las Solicitudes de Servicios y los Incidentes
DSS03 Administrar Problemas
DSS04 Administrar la Continuidad
Procesos para la Administración de TI Corporativa
Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos
COMUNICACIÓN
• La comunicación es un componente
clave para un exitoso sistema de
información. Consecuentemente, si la
información es usada para la toma de
decisiones y para facilitar el
funcionamiento del control interno,
necesita ser comunicada
oportunamente (tanto interna como
externamente) a las personas
adecuadas.
ACTIVIDADES DE CONTROL
• Las actividades de control son las
políticas y los procedimientos que
ayudan a asegurar a la administración
que las directrices son llevadas a
cabo. Ejemplos incluye controles para
asegurar que los bienes no son
enviados a clientes con un mal
crédito o que sólo las compras
autorizadas sean hechas. Estos
controles atienden el riesgo que, si no
es mitigado, amenazaría el logro de
los objetivos de la entidad.
CONTROLES (BÁSICOS)
• Segregación de funciones (ver
cuadro de ISACA)
• Controles de autorización
• Reconciliaciones de cuentas
• Controles de TI para
aplicaciones
• Revisión de los resultados
reales
ENTENDIENDO LOS RIESGOS Y CONTROLES
DE TI
• Controles generales de TI
– Estos controles operan a través de todas
las aplicaciones y usualmente consisten
en una mezcla de controles
automatizados (integrados a los
programas de computadora) y controles
manuales (tales como el presupuesto de
TI y los contratos con proveedores de
servicio); y
ENTENDIENDO LOS RIESGOS Y CONTROLES
DE TI
• Controles de aplicación de TI
– Estos controles son controles
automatizados que se
relacionan específicamente a
las aplicaciones (tales como el
procesamiento de ventas y
planillas).
PRUEBAS DE CONTROLES GENERALES DE TI
• La auditoría financiera necesita
probar que los controles generales
de TI estén funcionando.
• Básicamente, los controles
generales son Gobierno de TI
(planificación, administración de
riesgo), administración de cambio,
respaldos, planes de continuidad,
seguridad de la información, entre
otros.
CONTROLES AUTOMATIZADOS
• Puede haber algunas instancias en
las actividades del control son
desempeñadas por computadora y la
documentación de apoyo no existe,
En estas situaciones, el auditor puede
tener que volver a desempeñar
algunos controles para asegurar que
algunos controles están trabajando
como fueron diseñado. Otro enfoque
es usar Técnicas de Auditoría
Asistidas por Computadora (TAAC).
USO DE CAATS
• Hacer extracciones de
cantidades de importancia
relativa
• Extraer los registros superiores
e inferiores de una base de
datos.
• Identificar registros faltantes o
duplicados
• Identificar posibles fraudes
(usando la ley de Benford).
USO DE CAATS (CONTINUACIÓN)
• Ordenar transacciones con
características específicas
• Hacer muestras
• Probar la población completa en
vez de una muestra
• Recálculos
• Hacer vínculos con otra base de
datos.
Preguntas
CONCLUSIONES
• El auditor de SI debe:
– Entender el objetivo de la auditoría de los EF
y la materialidad (establecer un adecuado
alcance).
– Participar desde el inicio en el proceso de
respuesta de riesgos de la auditoría
– Evaluar los componentes del control interno:
• Ambiente de control; evaluación de riesgo de la entidad; el sistema de información, actividades de control; y monitoreo.
– Realizar pruebas de detalle para confirmar
las aseveraciones (saldos y transacciones).
MUCHAS GRACIAS POR SU ATENCIÓN
• Preguntas o consultas
adicionales
• Luis Diego León Barquero
• Correo electrónico:
[email protected]