NORMAS INTERNACIONALES DE … - Auditoria de Sistemas... · NIA 330 - Procedimientos del auditor en...
Transcript of NORMAS INTERNACIONALES DE … - Auditoria de Sistemas... · NIA 330 - Procedimientos del auditor en...
Auditoria de Sistemas
NORMAS INTERNACIONALES DE
ASEGURAMIENTO DE LA INFORMACIÓN “NAI”
1.Recuento Normas - Planeación
2.Auditoria de Sistemas
3.Consideraciones
Agenda Parte I
Recuento de Normas - Planeación
Módulo 2: Planeación
NIA 300 - Planeación de una auditoría de estados financieros
NIA 315 - Identificación y evaluación del riesgo de errores materiales a
través del conocimiento de la entidad y de su entorno
NIA 320 - Materialidad en la planeación y la ejecución de la auditoría
NIA 330 - Procedimientos del auditor en respuesta a los riesgos evaluados
NIA 402 - Consideraciones de auditoría relativas a entidades que utilizan
organizaciones de servicio
NIA 450 - Evaluación de los errores identificados durante la auditoría
Auditoria de los sistemas en la etapa de planeación
En la NIA 300 – Planeación de la Auditoria de Estados Financieros
Recuento de Normas - Planeación
Recuento de Normas - Planeación
NIA 315 - Identificación y evaluación del riesgo de errores materiales a
través del conocimiento de la entidad y de su entorno
Recuento de Normas - Planeación
Recuento de Normas - Planeación
Recuento de Normas - Planeación
Auditoria de Sistemas
Que es auditoria de sistemas?
Que es auditoria de sistemas en la etapa de Planeación?
<< Tomada del Rincón del Vago >>
Por lo tanto replanteo la pregunta:
¿Que es auditoria de sistemas en la etapa de planeación? Podría
ser: ¿Que es auditoria a los sistemas de información, o que es
Auditoria de los sistemas en la etapa de planeación?
Veremos en esta presentación:
Técnicas de Auditoria de sistemas
Auditoria de sistemas a los sistemas de información Planeación de auditoria con apoyo de auditoria de sistemas
NIA 401 – Auditoria en un ambiente de sistemas de información computarizado
Propósito:
Establecer normas y proporcionar
lineamientos sobre los procedimientos que
deben seguirse cuando se conduce unaauditoría en un ambiente de sistemas de
información computarizado (SIC).
Para fines de las NIA’s, un ambiente – SIC
- existe cuando está involucrada unacomputadora de cualquier tipo o tamaño
en el procesamiento de información
financiera de importancia para la auditoría,
ya sea que dicha computadora sea
operada por la entidad o por un tercero.
NIA 401 – Auditoria en un ambiente de sistemas de información computarizado
El auditor deberá considerar como afecta a la auditoría un ambiente de
Sistemas de Información Computarizado - SIC.
El objetivo y alcance globales de una auditoría no cambia en un ambiente
SIC. Sin embargo, el uso de una computadora cambia el procesamiento,almacenamiento y comunicación de la información financiera y puede
afectar los sistemas de contabilidad y de control interno empleados por la
entidad.
Por consiguiente, un ambiente SIC puede afectar:
• Los procedimientos seguidos por un auditor para obtener unacomprensión suficiente de los sistemas de contabilidad y de control
interno.
• La consideración del riesgo inherente y del riesgo de control a través del
cual el auditor llega a la evaluación del riesgo.
• El diseño y desarrollo por el auditor de pruebas de control yprocedimientos sustantivos apropiados para cumplir con el objetivo de la
auditoría.
NIA 401 – Auditoria en un ambiente de sistemas de información computarizado
El auditor debería tener suficiente conocimiento del SIC para planear dirigir,
supervisar y revisar el trabajo desarrollado.
El auditor debería considerar si se necesitan habilidades especializadas en
SIC en una auditoría.
Estas pueden necesitarse para:
• Obtener una suficiente comprensión de los sistemas de contabilidad y de
control interno afectados por el ambiente SIC.
• Determinar el efecto del ambiente SIC sobre la evaluación del riesgo
global y del riesgo al nivel de saldo de cuenta y de clase de transacciones.
• Diseñar y desempeñar pruebas de control y procedimientos sustantivosapropiados.
NIA 401 – Auditoria en un ambiente de sistemas de información computarizado
La naturaleza de los riesgos y las características del control interno en
ambientes SIC incluyen lo siguiente:
• Falta de rastros de las transacciones
• Procesamiento uniforme de transacciones
• Inadecuada segregación de funciones
• Potencial para errores e irregularidades
NIA 401 – Auditoria en un ambiente de sistemas de información computarizado
Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de
un profesional con dichas habilidades, quien puede pertenecer al personal
del auditor o ser un profesional externo.
Si se planea el uso de dicho profesional, el auditor debería obtener suficienteevidencia apropiada de auditoría de que dicho trabajo es adecuado para los
fines de la auditoría, de acuerdo con NIA "Uso del trabajo de un experto".
Al planear las porciones de la auditoría que pueden ser afectadas por el
ambiente SIC del cliente, el auditor debería obtener una comprensión de laimportancia y complejidad de las actividades de SIC y la disponibilidad de
datos para uso en la auditoría.
Cuando el SIC es significativo, el auditor deberá también obtener una
comprensión del ambiente SIC y de si puede influir en la evaluación de losriesgos inherentes y de control.
Auditoría en Sistemas de Información
La auditoria es el eje sobre el cual se avalúan todos los procesos de
información con el fin de recomendar mejoras y medidas correctivas para
el buen desempeño de los sistemas de información, ésta realiza un
control interno en las empresas para que los sistemas sean confiables y
con un buen nivel de seguridad.
En este sentido cobra fuerza la seguridad,
integridad, veracidad y confidencialidad de
la información, aunque en ciertos casos la
información se puede convertir en algo
accesible solo para aquellas personas que
están expresamente autorizadas.
Auditoria de Sistemas
Juan Carlos Echeverri – Evidencia de Auditoria
El método clásico del ciclo de vida de desarrollo de sistemas:
Conjunto de actividades que tanto analistas como diseñadores y usuarios
realizan, para desarrollar e implementar un sistema de información. este tipo de
ciclo consta de 6 etapas:
1. Investigación preliminar
2. Determinación de requerimientos
3. Diseño
4. Desarrollo
5. Prueba
6. Implementación y mantenimiento
Auditoria de Sistemas
Ciclo de vida de un sistema de información (General)
Juan Carlos Echeverri – Evidencia de Auditoria
Auditoria de Sistemas
Quienes hacen parte de un diseño de
un sistema de información?
Clientes
Proveedores
Empleados
Accionistas
Medio Ambiente
Gobierno
Otros terceros
Auditoria de Sistemas
Juan Carlos Echeverri – Evidencia de Auditoria
Auditoria de Sistemas
Juan Carlos Echeverri – Evidencia de Auditoria
Algunos ejemplos de ERP
Auditoria de Sistemas
Como está construido un ERP
- Por capas
- Modular
Auditoria de Sistemas
Diseño típico de un ERP
Auditoria de Sistemas
Auditoria de Sistemas
Auditorias sistematizas – CAAT´s
Es la denominación de las técnicas de Auditoría asistida por computador. CAAT´s
es la práctica de usar computadores y software para automatizar o simplificar el
proceso de auditoría.
Existen algunas técnicas, denominadas:
- Utilización de software genérico de Auditoría
- Generadores de datos de prueba
- Técnicas de pruebas integradas
El uso de las CAATs proporciona un
medio para mejorar el grado de análisisde la información, a fin de cubrir losobjetivos de las revisiones de auditoría,
y reportar los hallazgos con relevanciaen el nivel de confiabilidad de los
registros generados y mantenidos ensistemas computadorizados.
NORMA DETALLE
NIA 15 y 16Se establece la necesidad de utilizar otras técnicas además de las manuales.
Auditorias sistematizas – CAAT´s
• Algunos de los sistemas mas comunes son:
Auditoria de Sistemas
Ejemplos de utilización de técnicas CAAT
• Generadores de datos de prueba
• Sistemas expertos
• Utilitarios estándares
• Paquetes de biblioteca de software
• Instalaciones de pruebas integradas
• Archivos de revisión de auditoría de control del sistema
• Software especializado de auditoría
Juan Carlos Echeverri – Evidencia de Auditoria
Auditoria de Sistemas
Ventajas de las técnicas CAAT
• Reducir el nivel de riesgo de auditoría
• Mayor independencia respecto del auditado
• Cobertura más amplia y coherente de la auditoría
• Mayor disponibilidad de información
• Mejor identificación de excepciones
• Mayores oportunidades de cuantificar las debilidades del control interno
Juan Carlos Echeverri – Evidencia de Auditoria
Auditoria de Sistemas
Documentación de las técnicas CAAT
• Listados de programas
• Flujogramas
• Informes de muestras
• Diseño de archivos y registros
• Definición de campos
• Instrucciones de operación
Juan Carlos Echeverri – Evidencia de Auditoria
Auditoria de Sistemas
Se pueden utilizar para realizar varios procedimientos de auditoria incluyendo:
• Prueba de los detalles de operaciones y saldos
• Procedimientos de revisión analíticos
• Pruebas de cumplimiento de los controles generales de sistemas de
información
• Pruebas de cumplimiento de los controles de aplicación
• Muestreo de programas para extraer datos para pruebas de auditoria
• Rehacer cálculos realizados por los sistemas de contabilidad de la entidad.
Juan Carlos Echeverri – Evidencia de Auditoria
Auditoria de Sistemas
Las áreas en las cuales podemos aplicar pruebas CAAT’s, de tal forma que
podamos ayudar a las organizaciones, son:
• Ingresos / Comisiones, Tasas, Descuentos y Promociones
• Consolidación de los Estados Financieros
• Ingresos / Análisis de Cuentas por Cobrar
• Ingreso Diferido y otras Cuentas por Pagar
• Adquisiciones / Análisis de Gastos
• Análisis de Inventario
• Análisis de Planillas
• Pruebas de Activos Fijos
• Análisis de Journal Entry (SAS 99)
• Procedimientos analíticos desagregados (SAS 99)
Juan Carlos Echeverri – Evidencia de Auditoria
Auditoria de Sistemas
Juan Carlos Echeverri – Evidencia de Auditoria
Consideraciones
Juan Carlos Echeverri – Evidencia de Auditoria
El propósito de COBIT es:
Brindar a la Alta Dirección de una compañía confianza en
los sistemas de información y en la información que estos
produzcan.
COBIT permite entender como dirigir y gestionar el uso de
tales sistemas así como establecer un código de buenas
practicas a ser utilizado por los proveedores de sistemas.
COBIT suministra las herramientas para supervisar todas
las actividades relacionadas con IT.
Marco Teórico (COSO II, Cobit, ITIL)
Juan Carlos Echeverri – Evidencia de Auditoria
Que resultados se obtienen al implementar COBIT?
• El ciclo de vida de costos de IT será mas transparente y predecible
• IT entregara información de mayor calidad y en menor tiempo
• IT brindara servicios con mayor calidad y todos los proyectos
apoyados en IT serán mas exitosos
• Los requerimientos de seguridad y privacidad serán más fácilmente
identificados, y su implementación podrá ser mas fácilmente
monitoreada
• Todos los riesgos asociados a IT serán gestionados con mayor
efectividad
• El cumplimiento de regulaciones relacionadas a IT serán una práctica
normal dentro de su gestión
Marco Teórico (COSO II, Cobit, ITIL)
Modelo MECI
El Modelo Estándar de Control Interno para entidades del Estado, se genera
tomando como base el artículo 1 de la Ley 87 de 1993, el cual se encuentra
compuesto por una serie de Subsistemas, Componentes y Elementos deControl.
El Modelo Estándar de Control Interno que se establece para las entidades
del Estado proporciona una estructura para el control a la estrategia, la
gestión y la evaluación en las entidades del Estado, cuyo propósito esorientarlas hacia el cumplimiento de sus objetivos institucionales y la
contribución de estos a los fines esenciales del Estado.
Este Modelo se ha formulado con el propósito de que las entidades del
Estado obligadas puedan mejorar su desempeño institucional mediante elfortalecimiento del control y de los procesos de evaluación que deben llevar a
cabo las Oficinas de Control Interno, Unidades de Auditoría Interna o quien
haga sus veces
Juan Carlos Echeverri – Evidencia de Auditoria
Consideraciones
Modelo MECI
Consideraciones
Apoyo en la planeación ?
- Detectando cambios en los sistemas de información
- Probando controles automáticos
- Generando consultas (CAAT’s)- Apoyando el análisis de variaciones
- Realizando inventarios de sistemas de información
- Atando los sistemas de información a los procesos
- Realizando pruebas analíticas con base en información sistematizada
- Definición de pruebas sustantivas, cumplimiento- Detectando nuevos riesgos (Virus, redes sociales, media, seguridad,
malware, ilegalidad de software, entre otros)
- Si la compañía reporta bajo SOX:
- Aportes en certificación de procesos
- Análisis de controles clave- Análisis de controles automáticos
- Revisión del sistema GRC (Governance, Risk and Control)
Otras Consideraciones
Otras Consideraciones
Apoyo en expertos, para que no nos pase. !!!
Otras Consideraciones
1. Recuento Normas - Evidencia
2. Técnicas para obtener evidencia de
auditoria - ejercicios prácticos
3. Evidencia Digital
4. Fraude
5. Ejercicios prácticos Auditoria de Sistemas y
otros medios de obtenerla
Agenda Parte II
Recuento de Normas - Evidencia
Módulo 3 Evidencia de Auditoria
NIA 500 - Evidencia de auditoría
NIA 501 - Consideraciones específicas para ítems seleccionados
NIA 505 - Confirmaciones externas
NIA 510 - Contratos de auditoría sobre saldos iniciales
NIA 520 - Procedimientos analíticos
NIA 530 - Muestreo de auditoría
NIA 540 - Auditoría de estimaciones contables, incluyendo estimaciones del valor razonable y otras revelaciones relacionadas
NIA 550 - Partes relacionadas
NIA 560 - Eventos subsecuentes
NIA 570 - Negocio en marcha
NIA 580 - Representaciones escritas
Auditoria de los sistemas para obtener evidencia de auditoria
Recuento de Normas - Evidencia
La evidencia debe ser:
NIA 500 – Evidencia:
Recuento de Normas - Evidencia
Aserciones (ejemplos):
Recuento de Normas - Evidencia
Recuento de Normas - Evidencia
Controles alternos
• Cuando existen deficiencias de control interno, el auditor debe estar
atento a la existencia de controles alternos que mitigan el riesgo
• Muchos de los “Controles Alternos” están presentes en las siguientes
categorías
• Controles de monitoreo de gerencia
• Controles manuales directos
• Controles automáticos directos
• Controles generales de sistemas
• El ambiente de control
Técnicas para obtener evidencia
En atención a la naturaleza, objetivos, diferencias y correlación, las pruebas en
Auditoría se pueden clasificar en:
• Pruebas globales: Identifican las áreas potencialmente críticas donde puede
ser necesario un mayor análisis a consecuencia de existir variaciones
significativas. Por ejemplo, comprobar el monto total cargado o abonado conel monto del año pasado y con el presupuesto para este año; comparar el
total facturado con lo cargado en el mayor de clientes, comparar distintos
indicadores, etc.
• Pruebas de cumplimiento: Confirman el conocimiento que el auditor tieneacerca de los mecanismos de control, obtenido en la etapa de evaluación y
verifican su funcionamiento efectivo durante el período.
• Pruebas sustantivas: Comprueban la validez de las operaciones y/o
actividades realizadas y pueden referirse a un universo o parte del mismo,de una misma característica o naturaleza.
Técnicas para obtener evidencia
Técnicas de Pruebas - Existen diversas técnicas que pueden usarse para
obtener evidencia de Auditoría sobre la eficacia de la operación de los controles:
• Observación
• Indagación
• Repetición
• Inspección
• Indagación corroborativa
• Evaluación de conocimientos (técnicas de entrevista)
• Indagación del sistema (lógica de sistemas de información – reportes de
excepción)
• Procedimientos analíticos
• Muestreos
• CAAT’s
Técnicas para obtener evidencia
Muestreo estadístico
El muestreo estadístico resulta beneficioso para implementarlo en la realización
de un estudio, debido a que mediante este se pueden obtener probabilidades
bajas o altas. El tipo de muestreo más utilizado en pruebas de Auditoría es el muestreo estadístico aleatorio simple y es aquel en que cada elemento de la
población tiene la misma probabilidad de ser seleccionado para integrar la
muestra. Una muestra simple aleatoria es aquella en que sus elementos son
seleccionados mediante el muestreo aleatorio simple.
Para calcular el tamaño de muestra se pueden utilizar las siguientes fórmulas:
n Tamaño muestral
N Tamaño de la población, número total de historias.
Z Valor correspondiente a la distribución de Gauss 1,96 para a =0,05 y 2,58 para a =0,01.
p Prevalencia esperada del parámetro a evaluar. En caso de desconocerse, aplicar la opción más desfavorable (p=0,5), que hace mayor el tamaño muestral.
q 1-p (Si p=30%, q=70%)
i Error que se prevé cometer. Por ejemplo, para un error del 10%, introduciremos en la fórmula el valor 0,1. Así, con un error del 10%, si el parámetro estimado resulta del 80%, tendríamos una seguridad del 95% (para a =0,05) de que el parámetro real se sitúa entre el 70% y el 90%. Vemos, por tanto, que la amplitud total del intervalo es el doble del error que introducimos en la fórmula.
Tamaño de la población infinito o desconocido
Tamaño de la población finito
Técnicas para obtener evidencia
Muestreo - ejemplo:
Para una población de 100 la muestra a seleccionar sería 49, sin
embargo, el tamaño de la muestra varía de acuerdo con el error tolerable y la confiabilidad del sistema de control interno.
Error 0,10 Varianza 0,25
Conf iabilidad 95% percent il 1,96
N 100
m uestra 49
Calculo de tam año de Muest ra
Técnicas para obtener evidencia
Muestreo utilizado al aplicar la ley
Sarbanes-oxley
• Identificar el universo
• Luego seleccionar la muestra
Esta se debe seleccionar
teniendo en cuenta la
frecuencia con la cual opera el
control objeto de revisión. Estafrecuencia se debe ubicar en la
siguiente tabla
Frecuencia de Control Muestra Simple Mínima
Cuándo Ocurre / Eventual Promedio de la Frecuencia*
Control Continuo
(varias veces en un día)25
Control Diaria 25
Control Semanal 5
Control Quincenal 3
Control Mensual 2
Control Trimestral 2
Control Semestral 1
Control Anual 1
Técnicas para obtener evidencia
Ejemplo – Muestreo SOX
Para explicar un poco más la forma como se debe aplicar la tabla tomaremos
como ejemplo la primera fila de la grafica.
En este caso, vamos analizar un control que es eventual, para analizar este
control debemos identificar primero como se comporta.
Si tenemos un control “Eventual” que se ha efectuado 300 veces entre los 3
primeros meses del año (ene-marzo), el auditor debe sacar el promedio de la
frecuencia (300 repeticiones entre 90 días, da un resultado de 3,34 veces por
día) determinando su clasificación (frecuencia “Continuo”).
Frecuencia de Control Muestra Simple Mínima
Cuando Ocurre / Eventual Promedio de la Frecuencia*
Control Continuo
(varias veces en un días)25
Técnicas para obtener evidencia
Usted a recibido un detalle de ventas (ver archivo anexo), realizar las
pruebas necesarias para determinar la integridad de la información.
Que pruebas haría?
Explicar la respuesta.
Ejercicio
Francisco Vasco
Francisco Vasco Consulting S.A.S. agradece su atención
Francisco Vasco
ANEXO
FRAUDE Y EVIDENCIA DIGITAL
El fraude es producto de:
Triangulo de fraude
Presión
Oportunidad Racionalización
Fraude
Barry MinkowKenneth Lay
Bernard Madoff
Bernard Ebbers
Jeff Skilling
David Murcia Guzmán
Fraude
– Soborno
– Cohecho
– Colusión
– Conflicto de intereses
– Declaraciones y reclamos
falsos
– Extorsión
– Tráfico de influencias
– Fraude telefónico y correo
– Conspiración
– Abuso de autoridad
– Abuso de confianza
– Anomalías en los reportes
a las autoridades
Fraude
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fases de la auditoria forense
Fraude – Auditoria Forense
Técnicas de auditoría forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Fraude – Auditoria Forense
Conversión de la evidencia en prueba
Fraude – Auditoria Forense
Fraude Contable: Formas en las que se puede presentar
1. Sobrevaluación de activos
2. Pasivos no registrados o subvaluados
3. Sobrevaluación de ingresos
4. Gastos no registrados o subvaluados
5. Manipulando las fechas de corte en la generación de reportes
financieros
6. Manipulación de la clasificación de los estados financieros
7. Manipulación de la información relevante en las notas de los
estados financieros
Fraude – Auditoria Forense
Gerard Zack, Director General de Global Forensics - ACFE
http://gestion.pe/tecnologia/predicciones-fraude-2015-y-tecnologia-como-eje-central-2118192