NIA - Auditoria de Sistemas en Planeacion - Auditoria de Sistemas... · Juan Carlos Echeverri -CV...

Auditoria de los sistemas en la etapa de planeación

NORMAS INTERNACIONALES DE ASEGURAMIENTO DE LA INFORMACIÓN “NAI”

Juan Carlos Echeverri - CV

Ingeniero de Sistema de la Universidad EAFIT, con estudios en Alta Gerencia, Finanzas,Fraude, Riesgos, Autocontrol, técnicas de Auditoria computarizada, sistemas deinformación ERP como SAP y Oracle One World.

Certificado como:

• CIA - Certified Internal Audit del IIA Global

• CCSA – Certified Control Self Assessment del IIA Global

• CRMA en proceso – Certified Risk Management Assurance

Certificado en Internal Quality Assesment• Certificado en Internal Quality Assesment

• Certificado GRI (Global Report Iniciative)

24 años de experiencia en Auditoria en:

PwC (Gerente de Auditoria) - Ernst & Young (Gerente Auditoria)

Codere Colombia y Grupo Mundial (Gerente Corporativo Auditoria)

Grupo ISA (Director de Auditoria ISA / INTERCOLOMBIA)

Docente en Postgrados, Diplomados y Preparación CIA en: U. de M., EAFIT, UniNorte, Politécnico JIC.

1.Recuento Normas - Planeación

2.Auditoria de Sistemas

3.Marco teórico (COBIT , ITIL)

Agenda

3.Marco teórico (COBIT , ITIL)

4.Otras consideraciones

Recuento de Normas - Planeación

Módulo 2: Planeación

NIA 300 - Planeación de una auditoría de estados financieros

NIA 315 - Identificación y evaluación del riesgo de errores materiales a través del conocimiento de la entidad y de su entorno

NIA 320 - Materialidad en la planeación y la ejecución de la auditoríaNIA 320 - Materialidad en la planeación y la ejecución de la auditoría

NIA 330 - Procedimientos del auditor en respuesta a los riesgos evaluados

NIA 402 - Consideraciones de auditoría relativas a entidades que utilizan organizaciones de servicio

NIA 450 - Evaluación de los errores identificados durante la auditoría

Auditoria Auditoria de los sistemas en la etapa de planeaciónde los sistemas en la etapa de planeación

En la En la NIANIA 300 300 –– Planeación de la Auditoria de Estados FinancierosPlaneación de la Auditoria de Estados Financieros


NIANIA 315 315 -- Identificación Identificación y evaluación del riesgo de errores materiales a y evaluación del riesgo de errores materiales a través del conocimiento de la entidad y de su entornotravés del conocimiento de la entidad y de su entorno


Auditoria de Sistemas

Que es auditoria de sistemas?

Que es auditoria de sistemas en la etapa de Planeación?

Por lo tanto replanteo la pregunta:

¿Que es auditoria de sistemas en la etapa de planeación? Podría

<< Tomada del Rincón del Vago >>

¿Que es auditoria de sistemas en la etapa de planeación? Podría ser: ¿Que es auditoria a los sistemas de información, o que es Auditoria de los sistemas en la etapa de planeación?

Veremos en esta presentación:

� Técnicas de Auditoria de sistemas� Auditoria de sistemas a los sistemas de información� Planeación de auditoria con apoyo de auditoria de sistemas

NIA 401 – Auditoria en un ambiente de sistemas de información computarizado

Propósito:

Establecer normas y proporcionarlineamientos sobre los procedimientos quedeben seguirse cuando se conduce unaauditoría en un ambiente de sistemas deinformación computarizado (SIC).

Para fines de las NIA’s, un ambiente – SICPara fines de las NIA’s, un ambiente – SIC- existe cuando está involucrada unacomputadora de cualquier tipo o tamañoen el procesamiento de informaciónfinanciera de importancia para la auditoría,ya sea que dicha computadora seaoperada por la entidad o por un tercero.


El auditor deberá considerar como afecta a la auditoría un ambiente deSistemas de Información Computarizado - SIC.

El objetivo y alcance globales de una auditoría no cambia en un ambienteSIC. Sin embargo, el uso de una computadora cambia el procesamiento,almace-namiento y comunicación de la información financiera y puedeafectar los sistemas de contabilidad y de control interno empleados por laentidad.

Por consiguiente, un ambiente SIC puede afectar:

• Los procedimientos seguidos por un auditor para obtener unacomprensión suficiente de los sistemas de contabilidad y de controlinterno.

• La consideración del riesgo inherente y del riesgo de control a través delcual el auditor llega a la evaluación del riesgo.

• El diseño y desarrollo por el auditor de pruebas de control yprocedimientos sustantivos apropiados para cumplir con el objetivo de laauditoría.


El auditor debería tener suficiente conocimiento del SIC para planear dirigir, supervisar y revisar el trabajo desarrollado.

El auditor debería considerar si se necesitan habilidades especializadas enSIC en una auditoría.

Estas pueden necesitarse para:

• Obtener una suficiente comprensión de los sistemas de contabilidad y de• Obtener una suficiente comprensión de los sistemas de contabilidad y decontrol interno afectados por el ambiente SIC.

• Determinar el efecto del ambiente SIC sobre la evaluación del riesgoglobal y del riesgo al nivel de saldo de cuenta y de clase de transacciones.

• Diseñar y desempeñar pruebas de control y procedimientos sustantivosapropiados.


Si se necesitan habilidades especializadas, el auditor buscaría la ayuda deun profesional con dichas habilidades, quien puede pertenecer al personaldel auditor o ser un profesional externo.

Si se planea el uso de dicho profesional, el auditor debería obtener suficienteevidencia apropiada de auditoría de que dicho trabajo es adecuado para losfines de la auditoría, de acuerdo con NIA "Uso del trabajo de un experto".

Al planear las porciones de la auditoría que pueden ser afectadas por elAl planear las porciones de la auditoría que pueden ser afectadas por elambiente SIC del cliente, el auditor debería obtener una comprensión de laimportancia y complejidad de las actividades de SIC y la disponibilidad dedatos para uso en la auditoría.

Cuando el SIC es significativo, el auditor deberá también obtener unacomprensión del ambiente SIC y de si puede influir en la evaluación de losriesgos inherentes y de control.


La naturaleza de los riesgos y las características del control interno enambientes SIC incluyen lo siguiente:

• Falta de rastros de las transacciones

• Procesamiento uniforme de transacciones

• Inadecuada segregación de funciones• Inadecuada segregación de funciones

• Potencial para errores e irregularidades

Auditoría en Sistemas de Información

La auditoria es el eje sobre el cual se avalúan todos los procesos deinformación con el fin de recomendar mejoras y medidas correctivas parael buen desempeño de los sistemas de información, ésta realiza uncontrol interno en las empresas para que los sistemas sean confiables ycon un buen nivel de seguridad.


En este sentido cobra fuerza la seguridad,seguridad,integridad,integridad, veracidadveracidad yy confidencialidadconfidencialidad dedelala informacióninformación, aunque en ciertos casos lainformación se puede convertir en algoaccesible solo para aquellas personas queestán expresamente autorizadas.

El método clásico del ciclo de vida de desarrollo de sistemas:

Conjunto de actividades que tanto analistas como diseñadores y usuariosrealizan, para desarrollar e implementar un sistema de información. este tipo deciclo consta de 6 etapas:

1. Investigación preliminar

2. Determinación de requerimientos


Juan Carlos Echeverri – Evidencia de Auditoria

2. Determinación de requerimientos

3. Diseño

4. Desarrollo

5. Prueba

6. Implementación y mantenimiento

Ciclo de vida de un sistema de información (General)



Quienes hacen parte de un diseño de un sistema de información?

Clientes

Proveedores


Empleados

Accionistas

Medio Ambiente

Gobierno

Otros terceros

Algunos ejemplos de ERP



Como está construido un ERP

- Por capas

- Modular


Diseño típico de un ERP



Auditorias sistematizas – CAAT´s

Es la denominación de las técnicas de Auditoría asistida por computador. CAAT´ses la práctica de usar computadores y software para automatizar o simplificar el proceso de auditoría.

Existen algunas técnicas, denominadas:

- Utilización de software genérico de Auditoría

El uso de las CAATs proporciona unmedio para mejorar el grado de análisis

- Utilización de software genérico de Auditoría

- Generadores de datos de prueba

- Técnicas de pruebas integradas

medio para mejorar el grado de análisisde la información, a fin de cubrir losobjetivos de las revisiones de auditoría,y reportar los hallazgos con relevanciaen el nivel de confiabilidad de losregistros generados y mantenidos ensistemas computadorizados.

NORMANORMA DETALLEDETALLE

NIANIA 15 y 1615 y 16Se establece la necesidad de utilizar otras técnicas además de Se establece la necesidad de utilizar otras técnicas además de

las manuales.las manuales.

Auditorias sistematizas – CAAT´s

• Algunos de los sistemas mas comunes son:


Ejemplos de utilización de técnicas CAAT

• Generadores de datos de prueba

• Sistemas expertos

• Utilitarios estándares

• Paquetes de biblioteca de software


• Paquetes de biblioteca de software

• Instalaciones de pruebas integradas

• Archivos de revisión de auditoría de control del sistema

• Software especializado de auditoría


Ventajas de las técnicas CAAT

• Reducir el nivel de riesgo de auditoría

• Mayor independencia respecto del auditado

• Cobertura más amplia y coherente de la auditoría

• Mayor disponibilidad de información


• Mayor disponibilidad de información

• Mejor identificación de excepciones

• Mayores oportunidades de cuantificar las debilidades del control interno


Documentación de las técnicas CAAT

• Listados de programas

• Flujogramas

• Informes de muestras


• Diseño de archivos y registros

• Definición de campos

• Instrucciones de operación


Se pueden utilizar para realizar varios procedimientos de auditoria incluyendo:

• Prueba de los detalles de operaciones y saldos

• Procedimientos de revisión analíticos

• Pruebas de cumplimiento de los controles generales de sistemas de información


información

• Pruebas de cumplimiento de los controles de aplicación

• Muestreo de programas para extraer datos para pruebas de auditoria

• Rehacer cálculos realizados por los sistemas de contabilidad de la entidad.


Las áreas en las cuales podemos aplicar pruebas CAAT’s, de tal forma que podamos ayudar a las organizaciones, son:

• Ingresos / Comisiones, Tasas, Descuentos y Promociones

• Consolidación de los Estados Financieros

• Ingresos / Análisis de Cuentas por Cobrar

• Ingreso Diferido y otras Cuentas por Pagar


• Ingreso Diferido y otras Cuentas por Pagar

• Adquisiciones / Análisis de Gastos

• Análisis de Inventario

• Análisis de Planillas

• Pruebas de Activos Fijos

• Análisis de Journal Entry (SAS 99)

• Procedimientos analíticos desagregados (SAS 99)


Marco Teórico (COSO II, Cobit, ITIL)


Marcos de referencia



Evidencia soporte de la Auditoría Interna

Marco de Control COBIT – Control Objetives for Information and Related Technology:

El marco de control COBIT es un estándar generalmente aplicable y aceptado paralas buenas prácticas de control y seguridad en Tecnología de Información (TI). Sefundamenta en los objetivos de control definidos por la Information Systems Audit


fundamenta en los objetivos de control definidos por la Information Systems Auditand Control Foundation (ISACF), mejorados a partir de estándares internacionalestécnicos, profesionales, regulatorios y específicos para la industria.

Los objetivos de control resultantes de este marco han sido desarrollados para suaplicación en los recursos de TI en toda la Organización, manteniendoindependencia respecto a las diferentes plataformas de TI existentes en elmercado.


El propósito de COBIT es:

Brindar a la Alta Dirección de una compañía confianza enlos sistemas de información y en la información que estosproduzcan.

COBIT permite entender como dirigir y gestionar el uso de



COBIT permite entender como dirigir y gestionar el uso detales sistemas así como establecer un código de buenaspracticas a ser utilizado por los proveedores de sistemas.

COBIT suministra las herramientas para supervisar todaslas actividades relacionadas con IT.

Que resultados se obtienen al implementar COBIT?

• El ciclo de vida de costos de IT será mas transparente y predecible

• IT entregara información de mayor calidad y en menor tiempo

• IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT serán mas exitosos

• Los requerimientos de seguridad y privacidad serán más fácilmente



• Los requerimientos de seguridad y privacidad serán más fácilmente identificados, y su implementación podrá ser mas fácilmente monitoreada

• Todos los riesgos asociados a IT serán gestionados con mayor efectividad

• El cumplimiento de regulaciones relacionadas a IT serán una práctica normal dentro de su gestión

COBIT 5: está enfocado en el gobierno empresarial de lastecnologías de información, a diferencia de su antecesor, enfocadoprincipalmente al gobierno de TI.

Está basado en cinco principios:

• Satisfacer las necesidades de los interesados

• Cubrir la empresa de extremo a extremo



• Cubrir la empresa de extremo a extremo

• Aplicar un solo marco integrado

• Habilitar un enfoque holístico

• Separar gobierno de administración

COBIT 5: Habilitadores



ITILITIL -- Desarrollada a finales de 1980, laBiblioteca de Infraestructura de Tecnologíasde la Información (ITIL) se ha convertido enel estándar mundial de facto en la Gestiónde Servicios Informáticos.

Asegura una gestión de servicios de TIeficiente, gracias al control y una posteriorla mejora continua del servicio. Sirve para


la mejora continua del servicio. Sirve paraaquellos servicios que se encuentran en lafase operacional. Dicha fase forma parte dela etapa de mayor tiempo y costo paracualquier solución de IT y es, justamente,donde el negocio depende casiinminentemente de los servicios de TI.


ModeloModelo MECIMECI

El Modelo Estándar de Control Interno para entidades del Estado, se generatomando como base el artículo 1 de la Ley 87 de 1993, el cual se encuentracompuesto por una serie de Subsistemas, Componentes y Elementos deControl.

El Modelo Estándar de Control Interno que se establece para las entidadesdel Estado proporciona una estructura para el control a la estrategia, la


del Estado proporciona una estructura para el control a la estrategia, lagestión y la evaluación en las entidades del Estado, cuyo propósito esorientarlas hacia el cumplimiento de sus objetivos institucionales y lacontribución de estos a los fines esenciales del Estado.

Este Modelo se ha formulado con el propósito de que las entidades delEstado obligadas puedan mejorar su desempeño institucional mediante elfortalecimiento del control y de los procesos de evaluación que deben llevar acabo las Oficinas de Control Interno, Unidades de Auditoría Interna o quienhaga sus veces


ModeloModelo MECIMECI


Consideraciones especiales: banderas rojas (1/2)

1. Inadecuada o mínima administración del controles, especialmente después del downsizing (reducción)

2. Pagos realizados sin documentación de soporte

3. Pagos realizados a lugares inusuales o proveedores improbables

4. Huellas o rastros de auditoria incompletos; perdida de documentos

Otras consideraciones

4. Huellas o rastros de auditoria incompletos; perdida de documentos clave o destrucción accidental

5. Acumulación de trabajo creando desorden en el mantenimiento de registros, además sin reconciliaciones

6. Inmediatamente después del cierre de una auditoria7. Áreas donde empleados claves se resienten por la intromisión8. La administración insiste en que no hay fraude porque su

personal es competente9. Nadie, incluyendo a la gerencia, entiende todos los pasos y

Consideraciones especiales: banderas rojas (2/2)


9. Nadie, incluyendo a la gerencia, entiende todos los pasos yconexiones

10. El estilo de vida de los empleados no es consiste con el estatus eingresos

ApoyoApoyo enen lala planeaciónplaneación ??

- Detectando cambios en los sistemas de información- Probando controles automáticos- Generando consultas (CAAT’s)- Apoyando el análisis de variaciones- Realizando inventarios de sistemas de información- Atando los sistemas de información a los procesos- Realizando pruebas analíticas con base en información sistematizada


- Realizando pruebas analíticas con base en información sistematizada- Definición de pruebas sustantivas, cumplimiento- Detectando nuevos riesgos (Virus, redes sociales, media, seguridad,

malware, ilegalidad de software, entre otros)- Si la compañía reporta bajo SOX:

- Aportes en certificación de procesos- Análisis de controles clave- Análisis de controles automáticos- Revisión del sistema GRC (Governance, Risk and Control)

Apoyo en expertos, para que no nos pase. !!!


Francisco Vasco Consulting S.A.S. agradece su atención

Francisco Vasco

agradece su atención

• Auditoria externa: Es un examen de estados financieros hecho con el fin deformar una opinión imparcial sobre bases objetivas.

• Auditoria interna: Es una función evaluadora independiente establecida dentrode una organización con el fin de examinar y evaluar sus actividades, como unservicio a la organización.

• Auditoria gubernamental: Es el estudio de eficiencia y economía en la

Definiciones

Francisco Vasco

• Auditoria gubernamental: Es el estudio de eficiencia y economía en lautilización de los recursos; por ejemplo el equipo del gobierno.

• Auditoria financiera: Es un examen sistemático de los estados financieros, losregistros y las operaciones correspondientes para determinar la observancia delos P.C.G.A. y las políticas de la administración de requisitos fijados.

• Auditoría operacional.

NIA - Auditoria de Sistemas en Planeacion - Auditoria de Sistemas... · Juan Carlos Echeverri -CV...

Documents

Transcript of NIA - Auditoria de Sistemas en Planeacion - Auditoria de Sistemas... · Juan Carlos Echeverri -CV...