2. ¿QUÉ SON LOS ITGCs?
Definiciones
ITGCs… son las políticas y procedimientos que se relacionan con los
sistemas y soportan el funcionamiento efectivo de los controles de
aplicación, ayudando a garantizar el continuo funcionamiento de los
sistemas de información.
ITGCs… son un componente importante de la fase de información y
comunicación del modelo de control interno COSO.
Nuestro objetivo son los ITGCs relacionados con sistemas que tienen un
impacto en la información financiera. Estos se consideran relevantes para
la auditoría y ayudan a confirmar la integridad de la información y la
seguridad de los datos procesados.
Página 2
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
3. ¿CUÁL ES LA FUNCIÓN DE LOS ITGCs?
Página 3
Apoyar la afirmación de que los sistemas funcionan según lo previsto y
que la información producida es confiable.
Cuando se configuran correctamente, los ITGCs deben asegurarse de
que los derechos de acceso y perfiles de los usuarios estén
debidamente segregados.
Proporcionar un entorno estable en el que los controles de aplicación
de los sistemas pueden operar .
Ayudar a garantizar la seguridad y confiabilidad de los datos generados
por los sistemas de información.
ITGCs…
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
4. EJEMPLOS DE ITGCs
Los controles que restringen el acceso a programas o datos , incluyendo los controles de
administración de usuarios, autorizaciones y privilegios y control de acceso lógico.
Los controles aplicados en implementaciones de software (sistemas, programas ).
Los controles sobre el software, sistemas o bases de datos, que restringen el acceso y el
uso de utilerías del sistema que podrían cambiar los datos financieros o registros sin dejar un
rastro de auditoría.
Los controles que aseguren la transferencia de información entre los sistemas de
procesamiento del libro mayor.
Control de cambios a programas y configuración.
Página 4
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
5. Control Interno de la entidad
Control interno
Es el proceso diseñado, implementado y mantenido por los encargados del
Gobierno corporativo, la administración y otro personal para proporcionar
razonabilidad sobre el logro de los objetivos de la entidad con respecto a:
Página 5
La
confiabilidad
de la
información
financiera
Efectividad y
eficiencia de
las
operaciones
El
cumplimiento
de las leyes y
reglamentos
aplicables
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
6. MODELO DE CONTROL INTERNO
Dividimos el control interno en cinco componentes que nos permite
considerar cómo los diferentes aspectos del control interno de una entidad
pueden afectar la auditoría.
Página 6
Como parte de la fase de
“identificación y evaluación
del riesgo” en la auditoría,
debemos identificar, evaluar
y obtener una comprensión
de cada uno de los siguientes
componentes del control
interno:
Control Interno de la entidad
- Monitoreo
-Los procesos de información y
comunicación, incluidas ITGCs.
-Actividades de control
- Proceso de evaluación de riesgos
- Medio ambiente de control
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
7. PORQUE ES NECESARIO EVALUAR LOS ITGCs?
• Confianza: La evaluación de los ITGCs son una fuente de identificación
para RMM potenciales. Podemos aprender de los sistemas y programas que
estén procesando inadecuadamente datos o procesamiento de datos
inexactos (cálculos), que afecta a la información financiera.
• El acceso no autorizado: La evaluación de los ITGCs ayudan a revelar a
los auditores donde el acceso no autorizado a los datos puede ser posible y
que pueda resultar en la destrucción de datos o cambios indebidos a los
datos sin rastros de auditoría, incluido el registro de las transacciones no
autorizadas o el registro inexacto de transacciones. Estos pueden
aumentar RMM potenciales para el auditor.
Página 7
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
8. PORQUE ES NECESARIO EVALUAR LOS ITGCs?
• Accesos privilegiados: Los auditores deberán identificar en donde exista
un riesgo de ruptura en la segregación de funciones e identificar el
personal que obtenga privilegios de acceso más allá de los necesarios para
llevar a cabo las tareas asignadas.
• Cambios no autorizados: La evaluación de los ITGCs identificar posibles
violaciones del sistema, tales como: cambios no autorizados a los datos en
los archivos maestros, a los sistemas o programas.
• Acceso a datos: El potencial de pérdida de datos o la imposibilidad de
acceder a los datos según sea necesario puede afectar la evaluación de los
ITGCs.
Página 8
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
9. ITGCs RELEVANTES PARA LA AUDITORIA?
Los ITGCs relacionados con sistemas de información que tienen un impacto
en la información financiera se consideran relevantes para la auditoría.
Los ITGCs ayudan a mantener la integridad de la información y la
seguridad de los datos procesados. Cuando hemos evaluado el entorno de
TI no complejo, los ITGCs que son relevantes para la auditoría son los
controles de seguridad lógica a nivel de aplicación (segregación de
funciones).
Página 9
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
10. CONTROLES DE SEGURIDAD LÓGICA
Página 10
• Definen las restricciones de acceso a los usuarios a fin
de evitar cambios a datos involuntarios y/o indebidos.
Acceso restringido
• Definen la aplicación para la adecuada segregación de
funciones . La división de tareas entre dos o más
individuos o grupos disminuye la probabilidad de que
las modificaciones no autorizadas no sean detectadas.
Segregación de
funciones
• También influyen en los procesos de negocio manuales ó
sistemas aislados, en donde el impacto es indirecto a
través de los sistemas de aplicación e interfaces.
El control indirecto
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
11. PORQUE ENFOCARNOS EN LOS CONTROLES DE
SEGURIDAD LÓGICA?
Nos centramos en los controles de seguridad lógica, ya que suelen
prevenir / detectar:
• El potencial para detectar la transacción fraudulenta que se produzca.
• Cambios involuntarios realizados en las transacciones registradas después
de que hayan sido procesadas las operaciones.
• El potencial de no ser capaz de confiar en ciertos controles
automatizados o susceptibles a ser alterados.
Página 11
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
12. COMO EVALUAMOS LOS ITGCs?
¿Quién realizará la evaluación?
El cuestionario entorno de TI (IT Environment questionnaire) en APT se
utiliza para documentar los sistemas de información y aplicaciones de
software utilizados por la entidad para la presentación de informes
financieros. El (cuestionario de ambiente de TI), una vez terminado,
ayuda al auditor a determinar si los sistemas y el software son complejos o
no complejos en última instancia, es lo que indica al auditor quién debe
participar en la evaluación ITGCs.
•Los tres pasos para la evaluación ITGCs:
Página 12
Paso 1 Paso 2 Paso 3
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
13. PASO 1 – IDENTIFICACIÓN DE LOS ITGCs
Los auditores pueden utilizar una combinación de conocimientos del año
anterior, la revisión de los papeles de trabajo de años anteriores y las
discusiones con el personal del cliente apropiadas para determinar qué
ITGCs son aplicables a la auditoría:
Los siguientes procedimientos ayudan a identificar ITGCs relevantes para
la auditoría:
1. Documentar los sistemas de información en uso por la entidad para
la presentación de informes financieros.
2. Determinar si los sistemas con implicación financiera son no
complejos o complejos, en base al cuestionario IT Environment de
APT.
3. Confirmar nuestra comprensión de los ITGCs con apoyo del Auditor
de TI.
Página 13
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
14. PASO 2 – EVALUACIÓN DE LOS ITGCs
El segundo paso de la evaluación de la ITGCs es evaluar el diseño e
implementación de los controles identificados y considerar si un RMM
surge como resultado del trabajo realizado.
1. Diseño de la evaluación consiste en determinar si los controles,
individualmente o en combinación con otros controles, son
capaces de prevenir efectivamente o detectar y corregir, errores
materiales.
2. La implementación de la aplicación significa que el control
existe(n) y se están utilizando en la entidad.
Página 14
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
15. PASO 3 – RESPUESTA A LOS ITGCs.
Considerar el impacto de la información obtenida en los ITGCs y/o en
cualquier riesgo relacionado con la TI en la estrategia y en los
procedimientos de auditoría relacionados.
Si se observa una deficiencia ya sea en el diseño o la implementación
de un ITGC, se deberá de:
• Documentar como un riesgo potencial (o un riesgo de fraude) para ser
discutidos y evaluados posteriormente.
• Investigar si existe un control supletorio, documentar claramente por
qué se obvia la necesidad de que el deficiente control deba operar con
eficacia.
Página 15
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
16. PASO 3 – RESPUESTA A LOS ITGCs. cont..
Si un control supletorio no elimina completamente el riesgo del control
deficiente para operar con eficacia, entonces:
- Documentar y desarrollar procedimientos sustantivos de auditoría que
mitiguen adecuadamente el riesgo.
- Determinar si la deficiencia representa un RMM.
Página 16
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
17. Identificando índices y cuestionarios
IT Environment Questionnaire (Ambiente de TI).
UIC Questionnaire (Entendiendo el control Interno).
Página 17
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
22. Llenar la matríz de aplicaciones
financieras conforme al entorno de
cada compañía.
Página 22
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
23. Por default la herramienta determina de acuerdo a la matríz de aplicaciones
evaluada, que el grado de complejidad general de sus Sistemas es alto. De lo
contrario se tiene que anular esa opción y justificar el motivo por el cual no se
consideran complejos sus Sistemas.
Página 23
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
24. Consideraciones:
3.- Se consideran las fallas o
interrupciones de alto impacto, que
alteraron o detuvieron la continuidad
de los servicios del área de TI,
durante el período revisado.
4.- Se consideran los cambios
organizacionales, en infraestructura,
seguridad y aplicaciones críticas de la
compañía.
5.- Se consideran los cambios
organizacionales, en infraestructura,
seguridad y aplicaciones críticas de la
compañía, programados para el
siguiente año de revisión.
Página 24
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
26. Para cada sistema evaluado
en la matriz del
cuestionario anterior, la
herramienta presentará un
esquema de seguridad que
se deberá llenar de
acuerdo a los atributos
mostrados.
Página 26
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
27. En cada pregunta se deberá detallar
la descripción, así como anotar le
referencia.
Por cada aplicación
registrada en la matríz del
cuestionario de ambiente de
TI, se deberá llenar las
preguntas correspondientes
a la gestión de cuentas de
usuarios.
Página 27
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
32. IMPACTO EN LA AUDITORIA
•Obtener un entendimiento de los ITGCs es el mismo que el propósito de
obtener una comprensión de los otros elementos de control interno.
•Evaluamos los ITGCs como parte de nuestros procesos de identificación y
evaluación de riesgos. Las debilidades en los ITGCs pueden tener un efecto
limitante sobre los controles en los que podemos confiar.
•También puede modificar el alcance de nuestras pruebas sustantivas.
Esta comprensión de los ITGCs principalmente nos ayuda a:
• Identificar posibles riesgos de errores materiales.
• Valorar la importancia y la probabilidad de riesgos potenciales
identificados.
Página 32
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
33. CONSIDERACIONES Y RESPUESTAS
•El auditor deberá realizar consideraciones para evaluar el impacto de un
hallazgo o riesgos de ITGC y determinar el alcance de los procedimientos
de auditoría financiera.
•Consideraciones generales:
•¿Existen controles compensatorios para mitigar el riesgo ITGC y son
controles adecuadamente diseñados para detectar un error material en los
estados financieros?
•Si existe un riesgo no atendido, que riesgo de ITGC corresponde a las
aplicaciones financieras?
Página 33
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
34. CONSIDERACIONES Y RESPUESTAS
• Con base a las aplicaciones afectadas, cuál es el riesgo para los estados
financieros y qué podría ser incorrecto como resultado de la deficiencia?
Lo aseveraciones de los estados financieros, se verían impactados?
• Con relación a la auditoría de estados financieros, de qué manera es
planeada la respuesta al riesgo, consiste en procedimientos sustantivos,
pruebas de controles compensatorio, ó ambos?
•¿Hemos evaluado apropiadamente y comunicado la deficiencia a la
administración, incluyendo el impacto en el ICFR?
Página 34
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
35. CONSIDERACIONES Y RESPUESTAS
Al responder a estas preguntas, las consideraciones más específicas
pueden incluir:
• ¿El hallazgo ITGC se refiere a una aplicación particular de información
financiera, de manera que la exposición se limita a determinados procesos
de negocio?
• Para los procesos de negocio afectados por los hallazgos de ITGC, ¿en
qué medida son confiables los controles automáticos en comparación con
los controles manuales?
Página 35
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
36. CONSIDERACIONES Y RESPUESTAS
•¿Según el caso, cuáles controles de detección están presentes para
mitigar el riesgo de TI para el registro de transacciones inapropiadas o no
autorizadas y/ó cambios en las aplicaciones de información financiera?
• ¿Son suficientes los controles de contabilidad general u otros controles
de conciliación para identificar cambios inapropiados a programas o
transacciones no autorizadas y hacer uso de conciliaciones o estar de
acuerdo con los datos cuando se encuentran sujetos a errores o
modificaciones?
• ¿Hay una importante desconfianza en el procesamiento de transacciones,
de tal manera que nuestro enfoque de auditoría sería más adecuado en
base a los procedimientos sustantivos?
Página 36
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
37. RIESGOS DE TI COMUNES
1. Programadores con acceso a los sistemas (producción):
•Riesgo: Posibles cambios no autorizados a programas que podría afectar
la exactitud de las transacciones procesadas, cálculos en el sistema y
reportes financieros del sistema.
•Consideraciones: Revisar los cambios realizados al sistema, evaluar su
impacto e identificar si el procedimiento empleado fue el adecuado,
probado y autorizado para su implementación en producción. Considerar
la ampliación del tamaño de una muestra para probar controles de las
diferentes áreas de negocio.
Página 37
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
38. RIESGOS DE TI COMUNES
2. Empleado dado de baja de la empresa y usuario activo en el sistema
•Riesgo: Posible registro de transacciones no autorizadas y/o fraudulentas
en el sistema.
•Consideraciones: Examinar del ID del usuario, los accesos y privilegios en
el sistema. Así también solicitar el histórico de transacciones a partir de la
fecha dado de baja e identificar posibles inconsistencias.
Página 38
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
39. RIESGOS DE TI COMUNES
3. Inadecuada segregación de funciones
•Riesgo: Posibles transacciones o manipulación a datos no autorizados en
el sistema reflejándose en los reportes financieros.
•Consideraciones: Evaluar los permisos y si no son los apropiados a su
función. Determinar si existen controles de detección que reduzcan el
riesgo de transacciones no autorizadas y/o manipulación de información
financiera. Emplearse pruebas sustantivas para identificar transacciones
incorrectas, así como considerar el impacto en las áreas de negocio.
Página 39
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
40. RIESGOS DE TI COMUNES
4. Usuarios con permisos de Súper Usuario y Administrador
•Riesgo: Posibles cambios a programas (códigos fuentes), configuraciones y
parámetros del sistema, así como la creación, modificación (perfil),
eliminación de cuentas de usuarios con derechos de accesos no
autorizados.
•Consideraciones: Evaluar los permisos de los usuarios y determinar si
corresponde a un riesgo significativo. Considerar el uso de CAAT´s para
detectar transacciones fraudulentas y el apoyo de confirmaciones de
terceros para confirmar saldos en las áreas de los estados financieros
afectadas.
Página 40
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
41. RIESGOS DE TI COMUNES
5. Inadecuado control de cambios a configuraciones del sistema.
•Riesgo: Cambios no autorizados a configuraciones clave del sistema que
posiblemente procesen transacciones y/ó cálculos relacionados con la
información financiera.
•Consideraciones: Identificar las áreas de negocio en donde es posible
exista error material. Identificar si existen controles implementados por el
negocio para detectar cambios a la configuración del sistema y si son los
adecuados.
Página 41
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
42. ROL DEL AUDITOR DE TI
Definición
¿Quién es un Auditor de TI?
Un Auditor de TI provee a los equipos de auditoría con expertos especialistas
respecto a los sistemas de información de la entidad.
¿Cuál es el Rol del Auditor de TI?
Los Auditores de TI proporcionan asistencia práctica a los auditores financieros en
la conducción de una auditoría de estados financieros.
¿Qué habilidades necesita un Auditor de TI?
Definido por el marco de competencias de la Auditoría de TI (disponible en BDO
connect), las firmas miembro podrían haber desarrollado su marco de
competencias propias
1. Un conocimiento de la Tecnología de la Información (TI) y los controles de TI
2. Un entendimiento de nuestra metodología de Auditoría de Estados Financieros
3. La habilidad de realizar procedimientos de Técnicas de Auditoría Asistidas por
Computadora (CAATs)
Página 42
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
43. ROL DEL AUDITOR DE TI
Por fase de la Auditoría
FASE DE LA AUDITORÍA PARTICIPACIÓN DEL AUDITOR DE SISTEMAS
Alcance
• Asistencia en el proceso de propuesta
• Asistencia con la identificación de información de
sistemas relevantes
Identificación y evaluación de
riesgos
• Evaluar el diseño e implementación de los ITGCs para
sistemas complejos
• Asistencia con la documentación de sistemas
Diseño de la respuesta de
Auditoría
• Asistir al equipo encargado de discusiones para sistemas
complejos
• Asistir con el diseño de procedimientos de auditoría
Obtener evidencia de Auditoría • Asistir con el desarrollo de procedimientos de Auditoría
Formulario de Opinión
• Asistencia en la evaluación de los resultados de
Auditoría
Reporte
• Asistir con la preparación de comunicaciones y
recomendaciones
Página 43
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
44. SOFTWARE RELACIONADO CON LA AUDITORÍA
No
incluido
en
el
enfoque
Incluido
en
el
enfoque
Aplicación de controles de TI
Integridad
Existencia
Precisión
Valoración
Controles Generales de TI
(relativos a aplicaciones)
Seguridad Lógica
Administración de cambios
Controles Generales de TI
(relativos a plataformas e
infraestructura)
Admin. y Autoridad en la Org. de TI
Operaciones de TI
Respaldos, Recup. en desastres
Arquitectura de Seguridad en Redes
Página 44
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
45. RESUMEN
En este curso , que hemos aprendido:
•ITGCs representan la base de la estructura de control de las TI.
•En un entorno de TI complejo no nos centramos solamente en ITGCs
relativas a la seguridad lógica.
• Las debilidades en ITGCs pueden afectar nuestra estrategia de auditoría ,
dependiendo de la naturaleza y la generalización de la debilidad, lo que
restringe nuestra capacidad de utilizar TOCs y SAPs.
•Los riesgos, respuestas y consideraciones, importantes para evaluar el
impacto en la auditoría de estados financieros.
•Rol del Auditor de TI
ESPECIALISTA EN AUDITORÍA DE SISTEMAS
Página 45