2. Temas a revisar
• Conceptos
• Evaluación de Riesgos de Auditoria
• Flujo de Procesos de Auditoria
• Marcos de Trabajo: Cobit/ NIA – NAGAS – COSO 2013
Preparación para el examen de Fin de Carrera 2
3. Auditoría Informática
3
Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los
datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y
regulaciones establecidas.
Los objetivos de la auditoría Informática son:
•El análisis de la eficiencia de los Sistemas Informáticos
•La verificación del cumplimiento de la Normativa en este ámbito
•La revisión de la eficaz gestión de los recursos informáticos.
4. 4
Riesgo:
Se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. Los
factores que lo componen son la amenaza y la vulnerabilidad.
Amenaza:
Potencial ocurrencia de un hecho que pueda manifestarse en un lugar específico, con una duración e intensidad
determinadas. Cuando el Agente de riesgo selecciona una víctima contra la cual pretende cometer un acto delictivo,
automáticamente se convierte en una amenaza para ella. Se puede considerar que es la materialización del riesgo.
Vulnerabilidad:
Está íntimamente relacionado con el riesgo y la amenaza y se puede definir como la debilidad o grado de exposición
de un sujeto, objeto o sistema. También son aquellas fallas, omisiones o deficiencias de seguridad que puedan ser
aprovechadas por los delincuentes.
RIESGO = AMENAZA x VULNERABILIDAD
5. Metodologías para Auditoría Informática
• Octave
La metodología Octave es una evaluación que se basa en riesgos y planeación técnica de seguridad computacional.
Es un proceso interno de la organización, significa que las personas de la empresa tienen la responsabilidad de establecer la estrategia
de seguridad una vez que se realice dicha evaluación, y es precisamente lo interesante de esta metodología que la evaluación se basa
en el conocimiento del personal de la empresa para capturar el estado actual de la seguridad. De esta manera es más fácil determinar
los riesgos críticos.
En esta revisión es necesario que las empresas manejen el proceso de la evaluación y tomen las decisiones para proteger la
información. El equipo de análisis, integrado por personas de los departamentos de TI, de negocios, etc, lleva a cabo la evaluación,
debido a que todas las perspectivas son cruciales para controlar los riesgos de seguridad computacional.
5
6. 6
Magerit - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
La metodología Magerit fue desarrollada en España debido al rápido crecimiento de las tecnologías de información con la finalidad de
hacerle frente a los diversos riesgos relacionados con la seguridad informática.
“Las fases que contempla el modelo MAGERIT son:
1. Planificación del Proyecto.- establece el marco general de referencia para el proyecto.
2. Análisis de Riesgos.- permite determinar cómo es, cuánto vale y cómo están protegidos los activos.
3. Gestión de Riesgos.- permite la selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los
riesgos identificados”.
Al aplicar esta metodología se conocerá el nivel de riesgo actual de los activos, y por lo tanto se podrá mejorar las aplicaciones de
salvaguardas y se podrá conocer el riesgo reducido o residual.
7. Evaluación de Riesgos de Auditoria
• La evaluación del riesgo de auditoría es el requisito básico para verificar qué y cuándo deben
medirse los procesos y productos de calidad para obtener los máximos beneficios para la
organización. No obstante, con frecuencia, saber la respuesta a ese qué’ y cuándo puede ser
un gran desafío.
• A menudo, cuando analizamos el riesgo, podemos pasar por alto múltiples factores que
afectan a la actividad de negocio, por ello, es necesario que nuestro proceso esté adaptado a
los factores que afectan a la probabilidad de ocurrencia y consecuencia de un incidente o
evento.
• Podemos señalar que la identificación de los riesgos puede surgir mediante la aplicación de los
siguientes procedimientos de auditoría:
Preparación para el examen de Fin de Carrera 7
8. Evaluación de Riesgos de Auditoría
6 fases sobre cómo realizar una Evaluación del Riesgo de Auditoría
1. Producción de una lista de auditoría adecuada
Se puede comenzar elaborando una lista amplia de procesos y procedimientos a revisar que siga una
perspectiva sistemática de evaluación y una vez en la práctica, identificar donde se llevan a cabo las
auditorías más específicas.
2. Identificación de los factores de riesgo
Posteriormente, necesitamos reconocer los factores importantes en el proceso de evaluación del riesgo de
auditoría.
Estos factores de evaluación se basan en la probabilidad y las consecuencias.
Por ejemplo, fallas de hardware y/o software, fallas en los aires acondicionados, falla en el servicio
eléctrico, ataque por virus informáticos.
Preparación para el examen de Fin de Carrera 8
9. Evaluación de Riesgos de Auditoría
3. Criterios de clasificación para cada factor
Para que nuestra evaluación del riesgo de auditoría resulte exitosa, los factores de evaluación identificados
deben compararse entre sí.
Por ejemplo, se puede crear una escala numérica, dándole el valor más importante a los números más altos para
mantener los criterios de clasificación de los factores de evaluación.
4. Establecimiento del criterio de calificación del factor de riesgo
Este es el momento de asignar descripciones y calificaciones a cada uno de los factores de evaluación y
numerarlos.
Por ejemplo, podemos desarrollar una lista de descripciones con una calificación numérica para cada factor de
evaluación, relacionando el valor más alto junto con el máximo efecto.
Preparación para el examen de Fin de Carrera 9
10. Evaluación de Riesgos de Auditoría
5. Aplicación de las calificaciones
Con el sistema ya establecido, debemos aplicar los factores para la evaluación del riesgo de
auditoría. Es importante examinar cada tema individualmente en relación con todos los factores
de evaluación y determinar qué valor es más apropiado para el tema de la auditoría en los
criterios de evaluación.
6. Ponderar la importancia de cada factor
Agrupar las puntuaciones totales para reflejar el impacto de proceso de auditoría en la ejecución
general del proyecto.
Preparación para el examen de Fin de Carrera 10
11. Flujo de Procesos de Auditoría
Preparación para el examen de Fin de Carrera 11
12. Flujo de Procesos de Auditoría
Preparación para el examen de Fin de Carrera 12
13. Flujo de Procesos de Auditoría
Preparación para el examen de Fin de Carrera 13
https://www.seguridadyfirewall.cl/2017/01/el-proceso-de-auditoria-informatica.html
16. Cobit 5 Aplicado a la Auditoría de Sistemas
• Los cinco principios de COBIT 5:
• Satisfacer las necesidades de los interesados
• Cubrir la empresa de extremo a extremo
• Aplicar un solo marco integrado
• Habilitar un enfoque Holístico
• Separar Gobierno de Administración
Preparación para el examen de Fin de Carrera 16
17. Cobit 5 Aplicado a la Auditoría de Sistemas
• Facilitadores para Cobit 5:
• Cultura, Ética y Comportamiento
• Estructura Organizacional
• Información
• principios Políticas
• Habilidades y Competencias
• Capacidad de brindar Servicios
• Procesos
Preparación para el examen de Fin de Carrera 17
http://dspace.uniandes.edu.ec/bitstream/123456789/8396/1/TUBSIS005-2017.pdf
18. Cobit 5 Aplicado a la Auditoría de Sistemas
Con respecto a la meta seguridad de la información, infraestructura de
procesamiento y aplicaciones, COBIT 5 considera que es necesario implementar:
• Principalmente los procesos:
• BAI06 Gestionar los cambios
• DSS05 Gestionar los servicios de seguridad
• Secundariamente los procesos:
• BAI02 Gestionar la definición de requisitos
• BAI08 Gestionar el conocimiento
• BAI09 Gestionar los activos
• BAI10 Gestionar la configuración
• DSS01 Gestionar las operaciones
Preparación para el examen de Fin de Carrera 18
19. Cobit 5 Aplicado a la Auditoría de Sistemas
• Secundariamente los procesos:
• DSS02 Gestionar las peticiones y los incidentes del servicio
• DSS04 Gestionar la continuidad
• DSS06 Gestionar los controles de los procesos del negocio
• MEA01 Supervisar, evaluar y valorar rendimientos y conformidad
• MEA02 Supervisar, evaluar y valorar el sistema de control interno
• MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos
externos
Como puede observarse varios procesos se repiten. Puestos que los mismos
están íntimamente relacionados para la consecución de las metas y las
salidas de un proceso son la entrada de otro.
Preparación para el examen de Fin de Carrera 19
http://www.isaca.org/COBIT/focus/Pages/COBIT-5-Applied-to-the-Argentine-Digital-Accounting-System-Spanish.aspx
21. 21
COSO (Committee of Sponsoring
Organizations of the Treadway)
Es una Comisión voluntaria constituida por representantes de cinco organizaciones del sector privado en
EEUU, para proporcionar liderazgo intelectual frente a tres temas interrelacionados:
la gestión del riesgo empresarial (ERM), el control interno, y la disuasión del fraude.
Las organizaciones son:
• La Asociación Americana de Contabilidad (AAA)
• El Instituto Americano de Contadores Públicos Certificados (AICPA)
• Ejecutivos de Finanzas Internacional (FEI), el Instituto de Auditores Internos (IIA)
• La Asociación Nacional de Contadores (ahora el Instituto de Contadores Administrativos [AMI]).
Desde su fundación en 1985 en EEUU, promovida por las malas prácticas empresariales y los años de crisis
anteriores, COSO estudia los factores que pueden dar lugar a información financiera fraudulenta y elabora
textos y recomendaciones para todo tipo de organizaciones y entidades reguladoras como el SEC (Agencia
Federal de Supervisión de Mercados Financieros).
22. COSO
Algunos de los beneficios de utilizar el estándar COSO en las organizaciones
son:
• Promueve la gestión de riesgos en todos los niveles de la organización y
establece directrices para la toma de decisiones de los directivos para el
control de los riesgos y la asignación de responsabilidades.
• Ayuda a la integración de los sistemas de gestión de riesgos con otros
sistemas que la organización tenga implantados
• Ayuda a la optimización de recursos en términos de rentabilidad
• Mejora la comunicación en la organización
• Mejora el control interno de la organización
22
23. COSO 2013
• COSO: Componentes de control Interno
• Ambiente de Control.
• Evaluación de Riesgos.
• Actividades de Control.
• Información y Comunicación.
• Supervisión y Seguimiento.
Preparación para el examen de Fin de Carrera 23
24. COSO 2013
• COSO: Ambiente de Control.
• Se recogen en cinco principios la relevancia de la integridad y los valores
éticos.
• Se explican las relaciones entre los componentes del Control Interno para
destacar la importancia del Entorno de Control.
• Se amplía la información sobre el Gobierno Corporativo de la organización.
• Se enfatiza la supervisión del riesgo y la relación entre el riesgo y la
respuesta al mismo.
Preparación para el examen de Fin de Carrera 24
25. COSO 2013
• COSO: Evaluación de Riesgos
• Se amplía la categoría de objetivos de Reporte.
• Se aclara que la evaluación de riesgos incluye la identificación, análisis y
respuesta a los riesgos.
• Se incluyen los conceptos de velocidad y persistencia de los riesgos.
• Se considera la tolerancia al riesgo en la evaluación de los niveles
aceptables de riesgo.
• Se amplía la consideración del riesgo al fraude.
Preparación para el examen de Fin de Carrera 25
26. COSO 2013
• COSO: Actividades de Control
• Se indica que las actividades de control son acciones establecidas por
políticas y procedimientos.
• Se considera el rápido cambio y evolución de la tecnología.
• Se enfatiza la diferenciación entre controles automáticos y Controles
Generales de Tecnología.
Preparación para el examen de Fin de Carrera 26
27. COSO 2013
• COSO: Información y Comunicación
• Se enfatiza la relevancia de la calidad de información dentro del Sistema de
Control Interno.
• Se profundiza en la necesidad de información y comunicación entre la
entidad y terceras partes.
• Se enfatiza el impacto de los requisitos regulatorios sobre la seguridad y
protección de la información.
• Se refleja el impacto que tiene la tecnología y otros mecanismos de
comunicación en la rapidez y calidad del flujo de información.
Preparación para el examen de Fin de Carrera 27
28. COSO 2013
• COSO: Supervisión y Seguimiento.
• Se clarifica la terminología definiendo dos categorías de actividades de
monitoreo: evaluaciones continuas y evaluaciones independientes.
• Se profundiza en la relevancia del uso de la tecnología y los proveedores de
servicios externos.
Preparación para el examen de Fin de Carrera 28
https://www.auditool.org/blog/control-interno/2659-cambios-en-los-5-componentes-de-coso
29. NIA
• NIA: Normas Internacionales de Auditoría
• Las Normas Internacionales de Auditoría se deberán aplicar en las
auditorías de los estados financieros.
• Las NIA contienen principios y procedimientos básicos y esenciales para el
auditor.
• Los principios y procedimientos deben ser interpretados en el contexto de
la aplicación en el momento de la auditoría.
Preparación para el examen de Fin de Carrera 29
30. NIA
• Tipos – NIA
Preparación para el examen de Fin de Carrera 30
NIAS DESCRIPCIÓN
NIA 200 Objetivos globales del auditor independiente
NIA 210 Acuerdo de los términos de encargo de auditoría
NIA 220 Control de calidad de la auditoría de estados financieros
NIA 230 Responsabilidad del auditor en la preparación de la documentación
NIA 240 Responsabilidades del auditor en la auditoría de estados financieros con respecto al
fraude
NIA 250 Responsabilidad del auditor de considerar las disposiciones legales y reglamentarias
https://aobauditores.com/nias/
31. NIA
• Tipos – NIA
Preparación para el examen de Fin de Carrera 31
NIAS DESCRIPCIÓN
NIA 260 Responsabilidad que tiene el auditor de comunicarse con los responsables del
gobierno
NIA 265 Responsabilidad que tiene el auditor de comunicar adecuadamente
NIA 300 Responsabilidad que tiene el auditor de planificar
NIA 315 Responsabilidad del auditor para identificar y valorar riesgos
NIA 320 Responsabilidad que tiene el auditor de aplicar concepto de importancia relativa
NIA 330 Responsabilidad del auditor de diseñar e implementar respuestas
32. NIA
• Tipos – NIA
Preparación para el examen de Fin de Carrera 32
NIAS DESCRIPCIÓN
NIA 402 Responsabilidad del auditor de la entidad usuaria de obtener evidencia de
auditoria
NIA 265 Responsabilidad que tiene el auditor de comunicar adecuadamente
NIA 300 Responsabilidad que tiene el auditor de planificar
NIA 315 Responsabilidad del auditor para identificar y valorar riesgos
NIA 320 Responsabilidad que tiene el auditor de aplicar concepto de importancia relativa
NIA 330 Responsabilidad del auditor de diseñar e implementar respuestas
33. NAGAS
• NAGAS: Normas de Auditoría Generalmente Aceptadas
• Son los principios fundamentales de auditoría que el contador público debe
seguir al momento de realizar una revisión de información
• Miden la calidad de los procedimientos que van de ser ejecutados
• Estas normas generalmente están, relacionadas y son dependientes entre sí.
Preparación para el examen de Fin de Carrera 33
34. NAGAS
• NAGAS: Tipos
1. Normas Personales
• El examen debe ser ejecutado por personas que tengan entrenamiento
adecuado y estén habilitadas legalmente para ejercer la Contaduría Pública
en Colombia.
• El Contador Público debe tener independencia mental en todo lo
relacionado con su trabajo, para garantizar la imparcialidad y objetividad de
sus juicios.
• En la ejecución de su examen y en la preparación de sus informes, debe
proceder con diligencia profesional.
Preparación para el examen de Fin de Carrera 34
35. NAGAS
• NAGAS: Tipos
2. Normas relativas a la ejecución del trabajo
• El trabajo deber ser técnicamente planeado y debe ejercerse una
supervisión apropiada sobre los asistentes, si los hubiere.
• Debe hacerse un apropiado estudio y una evaluación del sistema de control
interno existente, de manera que se pueda confiar en él como base para la
determinación de la extensión y oportunidad de los procedimientos de
auditoría.
• Debe obtenerse evidencia válida y suficiente por medio de análisis,
inspección, observación, interrogación, confirmación y otros
procedimientos de auditoría, con el propósito de allegar bases razonables
para el otorgamiento de un dictamen sobre los Estados Financieros sujetos
a revisión.
Preparación para el examen de Fin de Carrera 35
36. NAGAS
• NAGAS: Tipos
3. Normas relativas a la rendición de informes
• Siempre que el nombre de un Contador Público sea asociado con estados
financieros, deberá expresar de manera clara e inequívoca la naturaleza de su
relación con tales estados. Si practicó un examen de ellos, el Contador Público
deberá expresar claramente el carácter de su examen, su alcance y su dictamen
profesional sobre lo razonable de la información contenida en dichos Estados
Financieros.
• El informe debe contener indicación sobre si los Estados Financieros están
presentados de acuerdo con principios de contabilidad generalmente aceptados
en Colombia.
• El informe debe contener indicación sobre si tales principios han sido aplicados
de manera uniforme en el periodo corriente en relación con el período anterior.
• Cuando el Contador Público considere necesario expresar salvedades sobre
algunas de las afirmaciones genéricas de su informe y dictamen, deberá
expresarlas de manera clara e inequívoca
Preparación para el examen de Fin de Carrera 36