Ponencia abril 2015
•Descargar como PPTX, PDF•
1 recomendación•610 vistas
Este documento describe los controles generales de tecnología de la información (CGTI) relevantes para una auditoría basada en riesgos. Explica que los CGTI operan a tres niveles: la entidad, los sistemas de TI y los procesos/aplicaciones. También cubre las categorías de CGTI, la identificación de los CGTI relevantes y las pruebas de asientos de diario mediante el uso de técnicas de auditoría asistida por computadora.
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (20)
Similar a Ponencia abril 2015
Similar a Ponencia abril 2015 (20)
Último
Último (20)
Ponencia abril 2015
- 1. Auditoría basada en Riesgos en un Entorno informatizado AddConIT Cía. Ltda. Data Assurance
- 2. Contenido Introducción Auditoría basada en riesgos Revisión de los controles generales Concepto de Control General Nivel de entidad Nivel de sistemas Nivel de procesos / aplicacioens de gestión Interrelación con controles de aplicación Normas aplicables Categoirias de los Controles Generales Identificar los CGTI relevantes Pruebas de sientos de diario AddConIT Cía. Ltda. Data Assurance
- 3. Introducción Auditoría basada en riesgos AddConIT Cía. Ltda. Data Assurance
- 4. Introducción Revisión de controles generales AddConIT Cía. Ltda. Data Assurance El término "control interno" abarca los cinco componentes del control interno, los cuales son: • El ambiente de control; • El proceso de valoración del riesgo de la entidad; • El sistema de información, incluyendo los procesos de negocio relacionados, relevantes para la información financiera, y la comunicación; • Las actividades de control; y • El monitoreo del control interno. Esos componentes se relacionan principalmente con los objetivos de la información financiera de la entidad.
- 5. Introducción Revisión de los controles generales AddConIT Cía. Ltda. Data Assurance ISA 315: 89. El auditor debe entender cómo la entidad comunica los roles y las responsabilidades relacionados con la información financiera, así como los asuntos importantes relacionados con la información financiera.
- 6. Concepto de CGTI AddConIT Cía. Ltda. Data Assurance • Hay una serie de factores de riesgo relacionados con la administración de la TI y las aplicaciones que, de no mitigarse, podría dar lugar a un error importante en los estados financieros. • Hay 2 tipos de controles de IT que necesitan ser trabajados en conjunto para asegurar el procesamiento de la información completa y precisa.
- 7. Concepto de CGTI AddConIT Cía. Ltda. Data Assurance
- 8. Concepto de CGTI Nivel de entidad AddConIT Cía. Ltda. Data Assurance • Los controles a este nivel se reflejan en la forma de funcionar de una organización, e incluyen políticas, procedimientos y otras prácticas de alto nivel que marcan las pautas de la organización. • La capacidad de la dirección para eludir controles (management override) y un pobre tono de control (que se manifiesta a nivel de la entidad) son dos aspectos comunes en un mal comportamiento corporativo. • La identificación de los CGTI debe integrarse en la evaluación general de controles realizada a nivel de entidad.
- 9. Concepto de CGTI Nivel de los sistemas de IT AddConIT Cía. Ltda. Data Assurance Hardware DatabasesNetworks Systems software Constituyen la base de las operaciones y son prestados a través de toda la organización. Normalmente incluyen la gestión de redes, la gestión de bases de datos, la gestión de sistemas operativos, la gestión de almacenamiento, la gestión de las instalaciones y sus servicios y la administración de seguridad. Todo ello está gestionado generalmente por un departamento TI centralizado. Sistemas TI de base sistemas de gestión de las bases de datos Sistemas operativos (SO) DOS, Linux, Mac-OS Infraestructura física Son todos los elementos físicos, el hardware. Incluye redes y comunicaciones.
- 10. Concepto de CGTI Nivel de procesos / aplicaciones de gestión AddConIT Cía. Ltda. Data Assurance Los inputs, el procesamiento y los outputs son aspectos de los procesos de gestión, que cada vez están más automatizados e integrados en complejos sistemas informáticos. Si el auditor llega a una conclusión favorable sobre los CGTI al nivel de la entidad y de los sistemas TI, se deberá evaluar y comprobar la eficacia de los CGTI en aquellas aplicaciones significativas que van a ser revisadas, antes de revisar sus controles de aplicación
- 11. Interrelación entre CGTI AddConIT Cía. Ltda. Data Assurance Con los controles de aplicación CGTI • Estos controles operan a través de todas las aplicaciones y por lo general consisten en una mezcla de controles automatizados (incorporado en los programas de ordenador) y controles manuales (tales como el presupuesto de TI y contratos con proveedores de servicios) Controles de Aplicación • Estos controles son controles automatizados que se refieren específicamente a las aplicaciones (como el procesamiento de ventas o nómina).
- 12. Interrelación entre CGTI AddConIT Cía. Ltda. Data Assurance Con los controles de aplicación • La emisión y revisión manual de un informe especial de elementos no coincidentes puede ser un control de aplicación efectivo; no obstante, dicho control dejará de ser efectivo si los controles generales permitiesen realizar modificaciones no autorizadas de los programas, de forma que determinados elementos quedasen excluidos deliberadamente de manera indebida del informe revisado. • Garantizar la seguridad de las bases de datos se considera un requisito indispensable para que la información financiera sea fiable. Sin seguridad a nivel de base de datos, las entidades estarían expuestas a cambios no autorizados en la información financiera.
- 13. Normas Técnicas Aplicables AddConIT Cía. Ltda. Data Assurance
- 14. Categrias de los CGTI AddConIT Cía. Ltda. Data Assurance Controles Generales IT Desarrollo de sistemas Operaciones del Computador Cambios a Programas Acceso a programas y datos
- 15. Controles Generales de Tecnología de Ia Información La estructura de gobierno de la TI Cómo los riesgos de la TI son identificados, mitigados y administrados El sistema de información, el plan estratégico y el presupuesto Las políticas, los procedimientos y los estándares de la TI La estructura organizacional y la segregación de funciones El Ambiente de Control TI AddConIT Cía. Ltda. Data Assurance
- 16. Controles Generales de Tecnología de Ia Información Adquisiciones, instalaciones, configuraciones, integración, y mantenimiento de la infraestructura de la TI Entrega de servicios de información a los usuarios Administración de los proveedores que son terceros Uso de programas del sistema, seguridad de los programas, sistemas y utilidades de administración de la base de datos Rastreo de incidentes, etiquetados del sistema y funciones de monitoreo Operaciones de computación del día-a-día AddConIT Cía. Ltda. Data Assurance
- 17. Controles Generales de Tecnología de Ia Información Seguridad de las claves Protecciones en Internet y controles de acceso remoto Encriptamiento de datos y claves criptográficas Cuentas de usuario y controles de acceso privilegiado Uso de perfiles que permiten o restringen el acceso Revocación de claves de empleados e identificaciones de los usuarios cuando los empleados renuncian o terminan el trabajo Acceso a programas y datos AddConIT Cía. Ltda. Data Assurance
- 18. Controles Generales de Tecnología de Ia Información Adquisición e implementación de aplicaciones nuevas Desarrollo de sistemas y metodología del aseguramiento de lacalidad Mantenimiento de las aplicaciones existentes incluyendo los controles sobre los cambios de programas Desarrollo de programas y cambios de programas Políticas y procedimientos relacionados con el sistema de información y la presentación de reportes que aseguren que los usuarios cumplen con los controles generales de TI y que la TI está alineada con los requerimientos del negocio. Monitoreo de las operaciones de la TI AddConIT Cía. Ltda. Data Assurance
- 19. Devise audit strategy (planned control reliance?) Identificar CGIT Relevantes Global audit technology Ensures compliance with International Standards on Auditing (ISAs) Creates and tailors audit programs Stores audit evidence Documents processes and controls Understanding the environment and the entity Understanding management’s focus Understanding the business Evaluating the year’s results Inherent risks Significant risks Other risks Material balances Yes No Test controls Substantive analytical review Tests of detail Test of detail Substantive analytical review Financial statements Conclude and report General audit procedures Arbutus Extract your data Report output to teams Analyse data using relevant parameters Develop audit plan to obtain reasonable assurance that the Financial Statements as a whole are free from material misstatement and prepared in all materiala respects with the CIPFA Code of Practice framework using our global methodology and audit software Note: a. An item would be considered material to the financial statements if, through its omission or non-disclosure, the financial statements would no longer show a true and fair view.
- 20. Prueba de asientos de diario a) Probar que todos los asientos de diario (journal entries) han sido registrados en el libro mayor, incluyendo otros ajustes hechos en la preparación de los estados financieros. b) Revisar las estimaciones contables en busca de posibles sesgos y evaluar si las circunstancias que producen el sesgo están razonablemente justificadas. AddConIT Cía. Ltda. Data Assurance
- 21. Uso de CAAT para probar los asientos de diario Algunos de estos procedimientos podrían ser los siguientes: Encuentra las entradas de diario que no cuadran Encuentra saltos en la revista secuencia de número de entrada Encuentra las asientos de diario por valores altos Encontrar posibles registros duplicados Encuentra los asientos de diario con montos redondeados Mostrar información de los registros realizados por usuario Buscar todos los registros realizadas por un empleado específico Mostrar valores para el código 'tipo de registro' Encuentra los registros manuales Seleccionar una muestra de diarios (monetaria al azar o valores elevados) Encuentra los registros específicos (por meses, días o JE #) Encontrar todos los registros que contengan cuenta específica Encontrar todos los registros en un rango de cuentas Encuentra los registros de fecha posterior Encuentra los registros con las descripciones (no estándar) “Insólito” Encuentra todos los registros realizados en los fines de semana AddConIT Cía. Ltda. Data Assurance Prueba de asientos de diario
Notas del editor
- Valorar los riesgos de declaración equivocada material contenida en los estados financieros; Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones materiales contenidas en los estados financieros; y Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos de auditoría.
- Valorar los riesgos de declaración equivocada material contenida en los estados financieros; Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones materiales contenidas en los estados financieros; y Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos de auditoría.
- Valorar los riesgos de declaración equivocada material contenida en los estados financieros; Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones materiales contenidas en los estados financieros; y Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos de auditoría.
- Los controles generales son las políticas y procedimientos que se aplican a la totalidad o a gran parte de los sistemas de información de una entidad, incluyendo la infraestructura y plataformas TI1 de la organización auditada y ayudan a asegurar su correcto funcionamiento. El propósito de los controles generales de un entorno informatizado es establecer un marco conceptual de control general sobre las actividades del sistema informático y asegurar razonablemente la consecución de los objetivos generales de control interno y el correcto funcionamiento de los controles de aplicación.
- Podemos representar el sistema de información de una entidad mediante un modelo simplificado formado por cinco niveles o capas tecnológicas superpuestas, tal como se muestra en la siguiente figura: Un sistema de información consiste en la infraestructura (física y componentes de hardware), software, personal, procedimientos (manuales y automatizados) y datos.
- Los controles generales a este nivel consisten en las políticas y procedimientos establecidos para controlar determinados aspectos relacionados con la gestión de la seguridad, controles de acceso, gestión de la configuración y de usuarios. Por ejemplo los procedimientos de gestión de la configuración garantizarán razonablemente que los cambios en el software de las aplicaciones son verificados totalmente y están autorizados. Cuando son examinados los CGTI a nivel de aplicación, el auditor financiero y el auditor de sistemas evalúan los controles de acceso que limitan o restringen el acceso a determinadas aplicaciones y ficheros relacionados (como, por ejemplo, el fichero maestro de empleados y los ficheros de transacciones de nóminas) a usuarios autorizados. También se puede evaluar la seguridad establecida en la propia aplicación para restringir el acceso en mayor medida, normalmente mediante creación de usuarios con palabra clave de acceso y otras restricciones programadas en el software de la aplicación mediante una adecuada gestión de los perfiles de usuario y sus privilegios. Así, un empleado responsable de las nóminas puede tener acceso a las aplicaciones sobre nóminas pero puede tener restringido el acceso a una determinada función, como puede ser la revisión o actualización de datos de las nóminas sobre los empleados del propio departamento de nóminas.
- El reto con los CGTI consiste en que estos controles casi nunca afectan a la información financiera directamente, pero tienen un efecto generalizado y permanente en todos los controles internos. Es decir, si un CGTI importante falla (p. ej. un control de restricción de acceso a programas y datos), tiene un efecto dominante en todos los sistemas que dependen de él, incluidas las aplicaciones financieras (por consiguiente, sin estar seguros de que solamente los usuarios autorizados tienen acceso a las aplicaciones financieras o a las bases de datos subyacentes, no se puede concluir que únicamente aquellos usuarios con autorización iniciaron y aprobaron transacciones). Si no existieran controles generales o no fueran efectivos, sería necesario adoptar un enfoque de auditoría basado exclusivamente en procedimientos sustantivos.
- El reto con los CGTI consiste en que estos controles casi nunca afectan a la información financiera directamente, pero tienen un efecto generalizado y permanente en todos los controles internos. Es decir, si un CGTI importante falla (p. ej. un control de restricción de acceso a programas y datos), tiene un efecto dominante en todos los sistemas que dependen de él, incluidas las aplicaciones financieras (por consiguiente, sin estar seguros de que solamente los usuarios autorizados tienen acceso a las aplicaciones financieras o a las bases de datos subyacentes, no se puede concluir que únicamente aquellos usuarios con autorización iniciaron y aprobaron transacciones). Si no existieran controles generales o no fueran efectivos, sería necesario adoptar un enfoque de auditoría basado exclusivamente en procedimientos sustantivos.
- Hay también un tercer tipo de control, que tiene un manual y un elemento de TI. Estos controles pueden ser llamados IT controles dependientes. El control se realiza de forma manual, pero su eficacia depende de la información producida por una aplicación informática. Por ejemplo, el gerente financiero puede revisar el estado financiero mensual / trimestral (generada por el sistema contable) e investigar las diferencias.
- Hay también un tercer tipo de control, que tiene un manual y un elemento de TI. Estos controles pueden ser llamados IT controles dependientes. El control se realiza de forma manual, pero su eficacia depende de la información producida por una aplicación informática. Por ejemplo, el gerente financiero puede revisar el estado financiero mensual / trimestral (generada por el sistema contable) e investigar las diferencias.
- Hay también un tercer tipo de control, que tiene un manual y un elemento de TI. Estos controles pueden ser llamados IT controles dependientes. El control se realiza de forma manual, pero su eficacia depende de la información producida por una aplicación informática. Por ejemplo, el gerente financiero puede revisar el estado financiero mensual / trimestral (generada por el sistema contable) e investigar las diferencias.
- Hay también un tercer tipo de control, que tiene un manual y un elemento de TI. Estos controles pueden ser llamados IT controles dependientes. El control se realiza de forma manual, pero su eficacia depende de la información producida por una aplicación informática. Por ejemplo, el gerente financiero puede revisar el estado financiero mensual / trimestral (generada por el sistema contable) e investigar las diferencias.
- Requerimientos de las NIA´s Un auditor que conduce una auditoría de acuerdo con las NIA, es responsable de obtener una seguridad razonable de que los estados financieros como un todo están libres de representaciones erróneas que puedan ser de importancia relativa, ya sea por causa de fraude o error. El auditor deberá planificar y ejecutar procedimientos adicionales de auditoría cuya naturaleza, oportunidad y extensión respondan a los posibles riesgos de que exista una representación errónea de importancia relativa debido a fraude. La norma indica que, independientemente de los resultados de la evaluación que efectúe el auditor en relación al riesgo de que la administración sobrepase los controles, el auditor deberá: a) Probar que todos los asientos de diario (journal entries) han sido registrados en el libro mayor, incluyendo otros ajustes hechos en la preparación de los estados financieros. Para ello se efectuarían: · Investigaciones con las personas involucradas en el proceso de información financiera sobre actividad inapropiada o inusual relativa al procesamiento de asientos y otros ajustes del diario. · Selecciones de asientos y otros ajustes del diario hechos al final del ejercicio que se reporta. · Consideraciones sobre la necesidad de someter a prueba los asientos y otros ajustes del diario en todo el ejercicio. b) Revisar las estimaciones contables en busca de posibles sesgos y evaluar si las circunstancias que producen el sesgo están razonablemente justificadas. Para ello, el auditor deberá: · Evaluar si los juicios y decisiones hechos por la administración al hacer las estimaciones contables incluidas en los estados financieros, indican un posible sesgo por parte de la administración de la entidad que pueda representar un riesgo de representación errónea de importancia relativa debido a fraude. · Efectuar una revisión retrospectiva de los juicios y supuestos de la administración relacionados con estimaciones contables importantes reflejadas en los estados financieros del año anterior. · Revisar si transacciones importantes que estén fuera del curso normal de negocios, o que puedan parecer inusuales, sugieren que pueda existir en ellas información financiera fraudulenta u ocultamiento o malversación de activos. Esta norma también requiere que el auditor obtenga representaciones escritas de la administración y/o de los encargados del gobierno en relación a: i) que ellos reconocen su responsabilidad sobre el diseño, implementación y mantenimiento del control interno para prevenir y detectar el fraude; ii) que han revelado al auditor los resultados de la evaluación hecha por la administración sobre el riesgo de que los estados financieros puedan contener un error de importancia relativa como resultado de fraude; iii) que han revelado al auditor su conocimiento de cualquier denuncia o alegato de fraude, o sospecha de fraude, que pueda afectar significativamente a los estados financieros de la entidad preparados por la administración.
- Uso de CAAT para probar los asientos de diario Cuando se utiliza la tecnología de la información en el proceso de información financiera, los asientos de diario y otros ajustes podrían existir sólo en formato electrónico. La extracción de electrónica la evidencia puede ser llevada a cabo por TI o de auditoría interna del personal de la empresa, siempre que los gerentes financieros de la empresa revisen esta información y, a continuación, siempre sea revisada por el auditor. El auditor entonces emplea técnicas de auditoria asistidas por el computador (CAAT por sus siglas en inglés) para identificar los asientos de diario y otros ajustes a ser probados.