NORMAS INTERNACIONALES DE … - Auditoria de Sistemas... · NIA 330 - Procedimientos del auditor en...

Auditoria de Sistemas

NORMAS INTERNACIONALES DE

ASEGURAMIENTO DE LA INFORMACIÓN “NAI”

1.Recuento Normas - Planeación

2.Auditoria de Sistemas

3.Consideraciones

Agenda Parte I

http://www.google.com.co/url?sa=i&source=imgres&cd=&cad=rja&uact=8&ved=0CAkQjRwwAGoVChMI642C8f-NyAIVAiceCh24lwOG&url=http://es.123rf.com/imagenes-de-archivo/agenda_abierta.html&psig=AFQjCNGuALFrjUnUx3jOsILucTC72aYkVg&ust=1443126660656071

Recuento de Normas - Planeación

Módulo 2: Planeación

NIA 300 - Planeación de una auditoría de estados financieros

NIA 315 - Identificación y evaluación del riesgo de errores materiales a

través del conocimiento de la entidad y de su entorno

NIA 320 - Materialidad en la planeación y la ejecución de la auditoría

NIA 330 - Procedimientos del auditor en respuesta a los riesgos evaluados

NIA 402 - Consideraciones de auditoría relativas a entidades que utilizan

organizaciones de servicio

NIA 450 - Evaluación de los errores identificados durante la auditoría

Auditoria de los sistemas en la etapa de planeación

En la NIA 300 – Planeación de la Auditoria de Estados Financieros


NIA 315 - Identificación y evaluación del riesgo de errores materiales a

través del conocimiento de la entidad y de su entorno



Que es auditoria de sistemas?

Que es auditoria de sistemas en la etapa de Planeación?

<< Tomada del Rincón del Vago >>

Por lo tanto replanteo la pregunta:

¿Que es auditoria de sistemas en la etapa de planeación? Podría

ser: ¿Que es auditoria a los sistemas de información, o que es

Auditoria de los sistemas en la etapa de planeación?

Veremos en esta presentación:

Técnicas de Auditoria de sistemas

Auditoria de sistemas a los sistemas de información Planeación de auditoria con apoyo de auditoria de sistemas

NIA 401 – Auditoria en un ambiente de sistemas de información computarizado

Propósito:

Establecer normas y proporcionar

lineamientos sobre los procedimientos que

deben seguirse cuando se conduce unaauditoría en un ambiente de sistemas de

información computarizado (SIC).

Para fines de las NIA’s, un ambiente – SIC

- existe cuando está involucrada unacomputadora de cualquier tipo o tamaño

en el procesamiento de información

financiera de importancia para la auditoría,

ya sea que dicha computadora sea

operada por la entidad o por un tercero.


El auditor deberá considerar como afecta a la auditoría un ambiente de

Sistemas de Información Computarizado - SIC.

El objetivo y alcance globales de una auditoría no cambia en un ambiente

SIC. Sin embargo, el uso de una computadora cambia el procesamiento,almacenamiento y comunicación de la información financiera y puede

afectar los sistemas de contabilidad y de control interno empleados por la

entidad.

Por consiguiente, un ambiente SIC puede afectar:

• Los procedimientos seguidos por un auditor para obtener unacomprensión suficiente de los sistemas de contabilidad y de control

interno.

• La consideración del riesgo inherente y del riesgo de control a través del

cual el auditor llega a la evaluación del riesgo.

• El diseño y desarrollo por el auditor de pruebas de control yprocedimientos sustantivos apropiados para cumplir con el objetivo de la

auditoría.


El auditor debería tener suficiente conocimiento del SIC para planear dirigir,

supervisar y revisar el trabajo desarrollado.

El auditor debería considerar si se necesitan habilidades especializadas en

SIC en una auditoría.

Estas pueden necesitarse para:

• Obtener una suficiente comprensión de los sistemas de contabilidad y de

control interno afectados por el ambiente SIC.

• Determinar el efecto del ambiente SIC sobre la evaluación del riesgo

global y del riesgo al nivel de saldo de cuenta y de clase de transacciones.

• Diseñar y desempeñar pruebas de control y procedimientos sustantivosapropiados.


La naturaleza de los riesgos y las características del control interno en

ambientes SIC incluyen lo siguiente:

• Falta de rastros de las transacciones

• Procesamiento uniforme de transacciones

• Inadecuada segregación de funciones

• Potencial para errores e irregularidades


Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de

un profesional con dichas habilidades, quien puede pertenecer al personal

del auditor o ser un profesional externo.

Si se planea el uso de dicho profesional, el auditor debería obtener suficienteevidencia apropiada de auditoría de que dicho trabajo es adecuado para los

fines de la auditoría, de acuerdo con NIA "Uso del trabajo de un experto".

Al planear las porciones de la auditoría que pueden ser afectadas por el

ambiente SIC del cliente, el auditor debería obtener una comprensión de laimportancia y complejidad de las actividades de SIC y la disponibilidad de

datos para uso en la auditoría.

Cuando el SIC es significativo, el auditor deberá también obtener una

comprensión del ambiente SIC y de si puede influir en la evaluación de losriesgos inherentes y de control.

Auditoría en Sistemas de Información

La auditoria es el eje sobre el cual se avalúan todos los procesos de

información con el fin de recomendar mejoras y medidas correctivas para

el buen desempeño de los sistemas de información, ésta realiza un

control interno en las empresas para que los sistemas sean confiables y

con un buen nivel de seguridad.

En este sentido cobra fuerza la seguridad,

integridad, veracidad y confidencialidad de

la información, aunque en ciertos casos la

información se puede convertir en algo

accesible solo para aquellas personas que

están expresamente autorizadas.


Juan Carlos Echeverri – Evidencia de Auditoria

El método clásico del ciclo de vida de desarrollo de sistemas:

Conjunto de actividades que tanto analistas como diseñadores y usuarios

realizan, para desarrollar e implementar un sistema de información. este tipo de

ciclo consta de 6 etapas:

1. Investigación preliminar

2. Determinación de requerimientos

3. Diseño

4. Desarrollo

5. Prueba

6. Implementación y mantenimiento


Ciclo de vida de un sistema de información (General)



Quienes hacen parte de un diseño de

un sistema de información?

Clientes

Proveedores

Empleados

Accionistas

Medio Ambiente

Gobierno

Otros terceros



Algunos ejemplos de ERP


Como está construido un ERP

- Por capas

- Modular


Diseño típico de un ERP



Auditorias sistematizas – CAAT´s

Es la denominación de las técnicas de Auditoría asistida por computador. CAAT´s

es la práctica de usar computadores y software para automatizar o simplificar el

proceso de auditoría.

Existen algunas técnicas, denominadas:

- Utilización de software genérico de Auditoría

- Generadores de datos de prueba

- Técnicas de pruebas integradas

El uso de las CAATs proporciona un

medio para mejorar el grado de análisisde la información, a fin de cubrir losobjetivos de las revisiones de auditoría,

y reportar los hallazgos con relevanciaen el nivel de confiabilidad de los

registros generados y mantenidos ensistemas computadorizados.

NORMA DETALLE

NIA 15 y 16Se establece la necesidad de utilizar otras técnicas además de las manuales.

Auditorias sistematizas – CAAT´s

• Algunos de los sistemas mas comunes son:


Ejemplos de utilización de técnicas CAAT

• Generadores de datos de prueba

• Sistemas expertos

• Utilitarios estándares

• Paquetes de biblioteca de software

• Instalaciones de pruebas integradas

• Archivos de revisión de auditoría de control del sistema

• Software especializado de auditoría



Ventajas de las técnicas CAAT

• Reducir el nivel de riesgo de auditoría

• Mayor independencia respecto del auditado

• Cobertura más amplia y coherente de la auditoría

• Mayor disponibilidad de información

• Mejor identificación de excepciones

• Mayores oportunidades de cuantificar las debilidades del control interno



Documentación de las técnicas CAAT

• Listados de programas

• Flujogramas

• Informes de muestras

• Diseño de archivos y registros

• Definición de campos

• Instrucciones de operación



Se pueden utilizar para realizar varios procedimientos de auditoria incluyendo:

• Prueba de los detalles de operaciones y saldos

• Procedimientos de revisión analíticos

• Pruebas de cumplimiento de los controles generales de sistemas de

información

• Pruebas de cumplimiento de los controles de aplicación

• Muestreo de programas para extraer datos para pruebas de auditoria

• Rehacer cálculos realizados por los sistemas de contabilidad de la entidad.



Las áreas en las cuales podemos aplicar pruebas CAAT’s, de tal forma que

podamos ayudar a las organizaciones, son:

• Ingresos / Comisiones, Tasas, Descuentos y Promociones

• Consolidación de los Estados Financieros

• Ingresos / Análisis de Cuentas por Cobrar

• Ingreso Diferido y otras Cuentas por Pagar

• Adquisiciones / Análisis de Gastos

• Análisis de Inventario

• Análisis de Planillas

• Pruebas de Activos Fijos

• Análisis de Journal Entry (SAS 99)

• Procedimientos analíticos desagregados (SAS 99)




Consideraciones


El propósito de COBIT es:

Brindar a la Alta Dirección de una compañía confianza en

los sistemas de información y en la información que estos

produzcan.

COBIT permite entender como dirigir y gestionar el uso de

tales sistemas así como establecer un código de buenas

practicas a ser utilizado por los proveedores de sistemas.

COBIT suministra las herramientas para supervisar todas

las actividades relacionadas con IT.

Marco Teórico (COSO II, Cobit, ITIL)


Que resultados se obtienen al implementar COBIT?

• El ciclo de vida de costos de IT será mas transparente y predecible

• IT entregara información de mayor calidad y en menor tiempo

• IT brindara servicios con mayor calidad y todos los proyectos

apoyados en IT serán mas exitosos

• Los requerimientos de seguridad y privacidad serán más fácilmente

identificados, y su implementación podrá ser mas fácilmente

monitoreada

• Todos los riesgos asociados a IT serán gestionados con mayor

efectividad

• El cumplimiento de regulaciones relacionadas a IT serán una práctica

normal dentro de su gestión

Marco Teórico (COSO II, Cobit, ITIL)

Modelo MECI

El Modelo Estándar de Control Interno para entidades del Estado, se genera

tomando como base el artículo 1 de la Ley 87 de 1993, el cual se encuentra

compuesto por una serie de Subsistemas, Componentes y Elementos deControl.

El Modelo Estándar de Control Interno que se establece para las entidades

del Estado proporciona una estructura para el control a la estrategia, la

gestión y la evaluación en las entidades del Estado, cuyo propósito esorientarlas hacia el cumplimiento de sus objetivos institucionales y la

contribución de estos a los fines esenciales del Estado.

Este Modelo se ha formulado con el propósito de que las entidades del

Estado obligadas puedan mejorar su desempeño institucional mediante elfortalecimiento del control y de los procesos de evaluación que deben llevar a

cabo las Oficinas de Control Interno, Unidades de Auditoría Interna o quien

haga sus veces


Consideraciones

Modelo MECI

Consideraciones

Apoyo en la planeación ?

- Detectando cambios en los sistemas de información

- Probando controles automáticos

- Generando consultas (CAAT’s)- Apoyando el análisis de variaciones

- Realizando inventarios de sistemas de información

- Atando los sistemas de información a los procesos

- Realizando pruebas analíticas con base en información sistematizada

- Definición de pruebas sustantivas, cumplimiento- Detectando nuevos riesgos (Virus, redes sociales, media, seguridad,

malware, ilegalidad de software, entre otros)

- Si la compañía reporta bajo SOX:

- Aportes en certificación de procesos

- Análisis de controles clave- Análisis de controles automáticos

- Revisión del sistema GRC (Governance, Risk and Control)

Otras Consideraciones

Apoyo en expertos, para que no nos pase. !!!


1. Recuento Normas - Evidencia

2. Técnicas para obtener evidencia de

auditoria - ejercicios prácticos

3. Evidencia Digital

4. Fraude

5. Ejercicios prácticos Auditoria de Sistemas y

otros medios de obtenerla

Agenda Parte II

http://www.google.com.co/url?sa=i&source=imgres&cd=&cad=rja&uact=8&ved=0CAkQjRwwAGoVChMI642C8f-NyAIVAiceCh24lwOG&url=http://es.123rf.com/imagenes-de-archivo/agenda_abierta.html&psig=AFQjCNGuALFrjUnUx3jOsILucTC72aYkVg&ust=1443126660656071

Recuento de Normas - Evidencia

Módulo 3 Evidencia de Auditoria

NIA 500 - Evidencia de auditoría

NIA 501 - Consideraciones específicas para ítems seleccionados

NIA 505 - Confirmaciones externas

NIA 510 - Contratos de auditoría sobre saldos iniciales

NIA 520 - Procedimientos analíticos

NIA 530 - Muestreo de auditoría

NIA 540 - Auditoría de estimaciones contables, incluyendo estimaciones del valor razonable y otras revelaciones relacionadas

NIA 550 - Partes relacionadas

NIA 560 - Eventos subsecuentes

NIA 570 - Negocio en marcha

NIA 580 - Representaciones escritas

Auditoria de los sistemas para obtener evidencia de auditoria


La evidencia debe ser:

NIA 500 – Evidencia:


Aserciones (ejemplos):

Controles alternos

• Cuando existen deficiencias de control interno, el auditor debe estar

atento a la existencia de controles alternos que mitigan el riesgo

• Muchos de los “Controles Alternos” están presentes en las siguientes

categorías

• Controles de monitoreo de gerencia

• Controles manuales directos

• Controles automáticos directos

• Controles generales de sistemas

• El ambiente de control

Técnicas para obtener evidencia

En atención a la naturaleza, objetivos, diferencias y correlación, las pruebas en

Auditoría se pueden clasificar en:

• Pruebas globales: Identifican las áreas potencialmente críticas donde puede

ser necesario un mayor análisis a consecuencia de existir variaciones

significativas. Por ejemplo, comprobar el monto total cargado o abonado conel monto del año pasado y con el presupuesto para este año; comparar el

total facturado con lo cargado en el mayor de clientes, comparar distintos

indicadores, etc.

• Pruebas de cumplimiento: Confirman el conocimiento que el auditor tieneacerca de los mecanismos de control, obtenido en la etapa de evaluación y

verifican su funcionamiento efectivo durante el período.

• Pruebas sustantivas: Comprueban la validez de las operaciones y/o

actividades realizadas y pueden referirse a un universo o parte del mismo,de una misma característica o naturaleza.


Técnicas de Pruebas - Existen diversas técnicas que pueden usarse para

obtener evidencia de Auditoría sobre la eficacia de la operación de los controles:

• Observación

• Indagación

• Repetición

• Inspección

• Indagación corroborativa

• Evaluación de conocimientos (técnicas de entrevista)

• Indagación del sistema (lógica de sistemas de información – reportes de

excepción)

• Procedimientos analíticos

• Muestreos

• CAAT’s


Muestreo estadístico

El muestreo estadístico resulta beneficioso para implementarlo en la realización

de un estudio, debido a que mediante este se pueden obtener probabilidades

bajas o altas. El tipo de muestreo más utilizado en pruebas de Auditoría es el muestreo estadístico aleatorio simple y es aquel en que cada elemento de la

población tiene la misma probabilidad de ser seleccionado para integrar la

muestra. Una muestra simple aleatoria es aquella en que sus elementos son

seleccionados mediante el muestreo aleatorio simple.

Para calcular el tamaño de muestra se pueden utilizar las siguientes fórmulas:

n Tamaño muestral

N Tamaño de la población, número total de historias.

Z Valor correspondiente a la distribución de Gauss 1,96 para a =0,05 y 2,58 para a =0,01.

p Prevalencia esperada del parámetro a evaluar. En caso de desconocerse, aplicar la opción más desfavorable (p=0,5), que hace mayor el tamaño muestral.

q 1-p (Si p=30%, q=70%)

i Error que se prevé cometer. Por ejemplo, para un error del 10%, introduciremos en la fórmula el valor 0,1. Así, con un error del 10%, si el parámetro estimado resulta del 80%, tendríamos una seguridad del 95% (para a =0,05) de que el parámetro real se sitúa entre el 70% y el 90%. Vemos, por tanto, que la amplitud total del intervalo es el doble del error que introducimos en la fórmula.

Tamaño de la población infinito o desconocido

Tamaño de la población finito


Muestreo - ejemplo:

Para una población de 100 la muestra a seleccionar sería 49, sin

embargo, el tamaño de la muestra varía de acuerdo con el error tolerable y la confiabilidad del sistema de control interno.

Error 0,10 Varianza 0,25

Conf iabilidad 95% percent il 1,96

N 100

m uestra 49

Calculo de tam año de Muest ra


Muestreo utilizado al aplicar la ley

Sarbanes-oxley

• Identificar el universo

• Luego seleccionar la muestra

Esta se debe seleccionar

teniendo en cuenta la

frecuencia con la cual opera el

control objeto de revisión. Estafrecuencia se debe ubicar en la

siguiente tabla

Frecuencia de Control Muestra Simple Mínima

Cuándo Ocurre / Eventual Promedio de la Frecuencia*

Control Continuo

(varias veces en un día)25

Control Diaria 25

Control Semanal 5

Control Quincenal 3

Control Mensual 2

Control Trimestral 2

Control Semestral 1

Control Anual 1


Ejemplo – Muestreo SOX

Para explicar un poco más la forma como se debe aplicar la tabla tomaremos

como ejemplo la primera fila de la grafica.

En este caso, vamos analizar un control que es eventual, para analizar este

control debemos identificar primero como se comporta.

Si tenemos un control “Eventual” que se ha efectuado 300 veces entre los 3

primeros meses del año (ene-marzo), el auditor debe sacar el promedio de la

frecuencia (300 repeticiones entre 90 días, da un resultado de 3,34 veces por

día) determinando su clasificación (frecuencia “Continuo”).

Frecuencia de Control Muestra Simple Mínima

Cuando Ocurre / Eventual Promedio de la Frecuencia*

Control Continuo

(varias veces en un días)25


Usted a recibido un detalle de ventas (ver archivo anexo), realizar las

pruebas necesarias para determinar la integridad de la información.

Que pruebas haría?

Explicar la respuesta.

Ejercicio

Francisco Vasco

Francisco Vasco Consulting S.A.S. agradece su atención

Francisco Vasco

ANEXO

FRAUDE Y EVIDENCIA DIGITAL

El fraude es producto de:

Triangulo de fraude

Presión

Oportunidad Racionalización

Fraude

Barry MinkowKenneth Lay

Bernard Madoff

Bernard Ebbers

Jeff Skilling

David Murcia Guzmán

Fraude

– Soborno

– Cohecho

– Colusión

– Conflicto de intereses

– Declaraciones y reclamos

falsos

– Extorsión

– Tráfico de influencias

– Fraude telefónico y correo

– Conspiración

– Abuso de autoridad

– Abuso de confianza

– Anomalías en los reportes

a las autoridades

Fraude

Fraude – Auditoria Forense

Fases de la auditoria forense


Técnicas de auditoría forense


Conversión de la evidencia en prueba


Fraude Contable: Formas en las que se puede presentar

1. Sobrevaluación de activos

2. Pasivos no registrados o subvaluados

3. Sobrevaluación de ingresos

4. Gastos no registrados o subvaluados

5. Manipulando las fechas de corte en la generación de reportes

financieros

6. Manipulación de la clasificación de los estados financieros

7. Manipulación de la información relevante en las notas de los

estados financieros


Gerard Zack, Director General de Global Forensics - ACFE

http://gestion.pe/tecnologia/predicciones-fraude-2015-y-tecnologia-como-eje-central-2118192

mailto:http://gestion.pe/tecnologia/predicciones-fraude-2015-y-tecnologia-como-eje-central-2118192

NORMAS INTERNACIONALES DE … - Auditoria de Sistemas... · NIA 330 - Procedimientos del auditor en...

Documents

Transcript of NORMAS INTERNACIONALES DE … - Auditoria de Sistemas... · NIA 330 - Procedimientos del auditor en...