ponencia abril 2015

Auditoría basadaen Riesgosen un Entorno informatizado

AddConIT Cía. Ltda.

Data Assurance

ContenidoIntroducción

Auditoría basada en riesgosRevisión de los controles generales

Concepto de Control GeneralNivel de entidadNivel de sistemasNivel de procesos / aplicacioens de gestión

Interrelación con controles de aplicación

Normas aplicables

Categoirias de los Controles Generales

Identificar los CGTI relevantes

Pruebas de sientos de diario

AddConIT Cía. Ltda.Data Assurance

Introducción

Auditoría basada en riesgos


Data Assurance

Introducción

Revisión de controles generales


Data Assurance

El término "control interno" abarca los

cinco componentes del control interno,

los cuales son:

• El ambiente de control;

• El proceso de valoración del riesgo de

la entidad;

• El sistema de información, incluyendo

los procesos de negocio relacionados,

relevantes para la información

financiera, y la comunicación;

• Las actividades de control; y

• El monitoreo del control interno.

Esos componentes se relacionan

principalmente con los objetivos de la

información financiera de la entidad.

Introducción

Revisión de los controles generales


Data Assurance

ISA 315:

89. El auditor debe

entender cómo la

entidad comunica

los roles y las

responsabilidades

relacionados con la

información

financiera, así

como los asuntos

importantes

relacionados con la

información

financiera.

Concepto de CGTI


Data Assurance

• Hay una serie de factores de

riesgo relacionados con la

administración de la TI y las

aplicaciones que, de no mitigarse,

podría dar lugar a un error

importante en los estados

financieros.

• Hay 2 tipos de controles de IT que

necesitan ser trabajados en

conjunto para asegurar el

procesamiento de la información

completa y precisa.

Concepto de CGTI


Data Assurance

Concepto de CGTI

Nivel de entidad


Data Assurance

• Los controles a este nivel se reflejan en la forma de

funcionar de una organización, e incluyen políticas,

procedimientos y otras prácticas de alto nivel que

marcan las pautas de la organización.

• La capacidad de la dirección para eludir controles

(management override) y un pobre tono de control (que

se manifiesta a nivel de la entidad) son dos aspectos

comunes en un mal comportamiento corporativo.

• La identificación de los CGTI debe integrarse en la

evaluación general de controles realizada a nivel de

entidad.

Concepto de CGTI

Nivel de los sistemas de IT


Data Assurance

Hardware DatabasesNetworksSystems

software

Constituyen la base de las operaciones

y son prestados a través de toda la

organización. Normalmente incluyen la

gestión de redes, la gestión de bases

de datos, la gestión de sistemas

operativos, la gestión de

almacenamiento, la gestión de las

instalaciones y sus servicios y la

administración de seguridad. Todo ello

está gestionado generalmente por un

departamento TI centralizado.

Sistemas TI de base sistemas de

gestión de las bases de datos

Sistemas operativos (SO)

DOS, Linux, Mac-OS

Infraestructura física

Son todos los elementos físicos, el

hardware. Incluye redes y

comunicaciones.

Concepto de CGTI

Nivel de procesos / aplicaciones de gestión


Data Assurance

Los inputs, el procesamiento y los outputs son

aspectos de los procesos de gestión, que cada

vez están más automatizados e integrados en

complejos sistemas informáticos.

Si el auditor llega a una conclusión favorable

sobre los CGTI al nivel de la entidad y de los

sistemas TI, se deberá evaluar y comprobar la

eficacia de los CGTI en aquellas aplicaciones

significativas que van a ser revisadas, antes de

revisar sus controles de aplicación

Interrelación entre CGTI


Data Assurance

Con los controles de aplicación

CGTI

• Estos controles operan a través de todas las aplicaciones y por lo general consisten en una mezcla de controles automatizados (incorporado en los programas de ordenador) y controles manuales (tales como el presupuesto de TI y contratos con proveedores de servicios)

Controles de Aplicación

• Estos controles son controles automatizados que se refieren específicamente a las aplicaciones (como el procesamiento de ventas o nómina).

Interrelación entre CGTI


Data Assurance

Con los controles de aplicación

• La emisión y revisión manual de un informe especial de

elementos no coincidentes puede ser un control de

aplicación efectivo; no obstante, dicho control dejará

de ser efectivo si los controles generales permitiesen

realizar modificaciones no autorizadas de los

programas, de forma que determinados elementos

quedasen excluidos deliberadamente de manera

indebida del informe revisado.

• Garantizar la seguridad de las bases de datos se

considera un requisito indispensable para que la

información financiera sea fiable. Sin seguridad a nivel

de base de datos, las entidades estarían expuestas a

cambios no autorizados en la información financiera.

Normas TécnicasAplicables


Data Assurance

Categrias de los CGTI


Data Assurance

Controles Generales IT

Desarrollo de

sistemas

Operaciones del

Computador

Cambios a

Programas Acceso a programas y datos

Controles Generales de Tecnología de Ia Información

La estructura de gobierno de la TI

Cómo los riesgos de la TI son identificados, mitigados y administrados

El sistema de información, el plan estratégico y el presupuesto

Las políticas, los procedimientos y los estándares de la TI

La estructura organizacional y la segregación de funciones

El Ambiente de Control TI


Data Assurance


Adquisiciones, instalaciones, configuraciones, integración, y mantenimiento de la infraestructura de la TI

Entrega de servicios de información a los usuarios

Administración de los proveedores que son terceros

Uso de programas del sistema, seguridad de los programas, sistemas y utilidades de administración de la base de datos

Rastreo de incidentes, etiquetados del sistema y funciones de monitoreo

Operaciones de computación del día-a-día


Data Assurance


Seguridad de las claves

Protecciones en Internet y controles de acceso remoto

Encriptamiento de datos y claves criptográficas

Cuentas de usuario y controles de acceso privilegiado

Uso de perfiles que permiten o restringen el acceso

Revocación de claves de empleados e identificaciones de los usuarios cuando los empleados renuncian o terminan el trabajo

Acceso a programas y datos


Data Assurance


Adquisición e implementación de aplicaciones nuevas

Desarrollo de sistemas y metodología del aseguramiento de lacalidad

Mantenimiento de las aplicaciones existentes incluyendo los controles sobre los cambios de programas

Desarrollo de programas y cambios de programas

Políticas y procedimientos relacionados con el sistema de información y la presentación de reportes que aseguren que los usuarios cumplen con los controles generales de TI y que la TI está alineada con los requerimientos del negocio.

Monitoreo de las operaciones de la TI


Data Assurance

Devise audit strategy

(planned control reliance?)

Identificar CGIT Relevantes

Global audit technologyEnsures compliance with International

Standards on Auditing (ISAs)

Creates and tailors

audit programs

Stores audit

evidence

Documents processes

and controls

Understanding

the

environment

and the entity

Understanding

management’s

focus

Understanding

the business

Evaluating the

year’s results

Inherent

risks

Significant

risks

Other

risks

Material

balances

Yes No

Test controls

Substantive

analytical

review

Tests of detail

Test of

detail

Substantive

analytical

review

Financial statements

Conclude and report

General audit procedures

Arbutus

Extract

your

data

Report

output to

teams

Analyse data

using

relevant

parameters

Develop audit plan

to obtain

reasonable

assurance that the

Financial

Statements as a

whole are free

from material

misstatement and

prepared in all

materiala respects

with the CIPFA

Code of Practice

framework using

our global

methodology and

audit software

Note:

a. An item would be considered

material to the financial

statements if, through its

omission or non-disclosure, the

financial statements would no

longer show a true and fair view.

Prueba de asientos de diario

a) Probar que todos los asientos de diario

(journal entries) han sido registrados en el libro

mayor, incluyendo otros ajustes hechos en la

preparación de los estados financieros.

b) Revisar las estimaciones contables en busca

de posibles sesgos y evaluar si las

circunstancias que producen el sesgo están

razonablemente justificadas.


Data Assurance

Uso de CAAT para probar los asientos de diario

Algunos de estos procedimientos podrían ser los siguientes:

Encuentra las entradas de diario que no cuadran

Encuentra saltos en la revista secuencia de número de entrada

Encuentra las asientos de diario por valores altos

Encontrar posibles registros duplicados

Encuentra los asientos de diario con montos redondeados

Mostrar información de los registros realizados por usuario

Buscar todos los registros realizadas por un empleado específico

Mostrar valores para el código 'tipo de registro'

Encuentra los registros manuales

Seleccionar una muestra de diarios (monetaria al azar o valores elevados)

Encuentra los registros específicos (por meses, días o JE #)

Encontrar todos los registros que contengan cuenta específica

Encontrar todos los registros en un rango de cuentas

Encuentra los registros de fecha posterior

Encuentra los registros con las descripciones (no estándar) “Insólito”

Encuentra todos los registros realizados en los fines de semana


Data Assurance

Prueba de asientos de diario

ponencia abril 2015

Technology