Auditoría basada
en Riesgos
en un Entorno informatizado
AddConIT Cía. Ltda.
Data Assurance
Contenido
Introducción
Auditoría basada en riesgos
Revisión de los controles generales
Concepto de Control General
Nivel d...
Introducción
Auditoría basada en riesgos
AddConIT Cía. Ltda.
Data Assurance
Introducción
Revisión de controles generales
AddConIT Cía. Ltda.
Data Assurance
El término "control interno" abarca los
ci...
Introducción
Revisión de los controles generales
AddConIT Cía. Ltda.
Data Assurance
ISA 315:
89. El auditor debe
entender ...
Concepto de CGTI
AddConIT Cía. Ltda.
Data Assurance
• Hay una serie de factores de
riesgo relacionados con la
administraci...
Concepto de CGTI
AddConIT Cía. Ltda.
Data Assurance
Concepto de CGTI
Nivel de entidad
AddConIT Cía. Ltda.
Data Assurance
• Los controles a este nivel se reflejan en la forma ...
Concepto de CGTI
Nivel de los sistemas de IT
AddConIT Cía. Ltda.
Data Assurance
Hardware DatabasesNetworks
Systems
softwar...
Concepto de CGTI
Nivel de procesos / aplicaciones de gestión
AddConIT Cía. Ltda.
Data Assurance
Los inputs, el procesamien...
Interrelación entre CGTI
AddConIT Cía. Ltda.
Data Assurance
Con los controles de aplicación
CGTI
• Estos controles operan ...
Interrelación entre CGTI
AddConIT Cía. Ltda.
Data Assurance
Con los controles de aplicación
• La emisión y revisión manual...
Normas Técnicas
Aplicables
AddConIT Cía. Ltda.
Data Assurance
Categrias de los CGTI
AddConIT Cía. Ltda.
Data Assurance
Controles Generales IT
Desarrollo de
sistemas
Operaciones del
Com...
Controles Generales de
Tecnología de Ia Información
La estructura de gobierno de la TI
Cómo los riesgos de la TI son ident...
Controles Generales de
Tecnología de Ia Información
Adquisiciones, instalaciones, configuraciones, integración, y
mantenim...
Controles Generales de
Tecnología de Ia Información
Seguridad de las claves
Protecciones en Internet y controles de acceso...
Controles Generales de
Tecnología de Ia Información
Adquisición e implementación de aplicaciones nuevas
Desarrollo de sist...
Devise audit strategy
(planned control reliance?)
Identificar CGIT Relevantes
Global audit technology
Ensures compliance w...
Prueba de asientos
de diario
a) Probar que todos los asientos de diario
(journal entries) han sido registrados en el libro...
Uso de CAAT para probar los asientos de diario
Algunos de estos procedimientos podrían ser los siguientes:
Encuentra las e...
of 21

Ponencia abril 2015

Auditoria en un entorno informatizado
Published on: Mar 4, 2016
Published in: Technology      
Source: www.slideshare.net


Transcripts - Ponencia abril 2015

  • 1. Auditoría basada en Riesgos en un Entorno informatizado AddConIT Cía. Ltda. Data Assurance
  • 2. Contenido Introducción Auditoría basada en riesgos Revisión de los controles generales Concepto de Control General Nivel de entidad Nivel de sistemas Nivel de procesos / aplicacioens de gestión Interrelación con controles de aplicación Normas aplicables Categoirias de los Controles Generales Identificar los CGTI relevantes Pruebas de sientos de diario AddConIT Cía. Ltda. Data Assurance
  • 3. Introducción Auditoría basada en riesgos AddConIT Cía. Ltda. Data Assurance
  • 4. Introducción Revisión de controles generales AddConIT Cía. Ltda. Data Assurance El término "control interno" abarca los cinco componentes del control interno, los cuales son: • El ambiente de control; • El proceso de valoración del riesgo de la entidad; • El sistema de información, incluyendo los procesos de negocio relacionados, relevantes para la información financiera, y la comunicación; • Las actividades de control; y • El monitoreo del control interno. Esos componentes se relacionan principalmente con los objetivos de la información financiera de la entidad.
  • 5. Introducción Revisión de los controles generales AddConIT Cía. Ltda. Data Assurance ISA 315: 89. El auditor debe entender cómo la entidad comunica los roles y las responsabilidades relacionados con la información financiera, así como los asuntos importantes relacionados con la información financiera.
  • 6. Concepto de CGTI AddConIT Cía. Ltda. Data Assurance • Hay una serie de factores de riesgo relacionados con la administración de la TI y las aplicaciones que, de no mitigarse, podría dar lugar a un error importante en los estados financieros. • Hay 2 tipos de controles de IT que necesitan ser trabajados en conjunto para asegurar el procesamiento de la información completa y precisa.
  • 7. Concepto de CGTI AddConIT Cía. Ltda. Data Assurance
  • 8. Concepto de CGTI Nivel de entidad AddConIT Cía. Ltda. Data Assurance • Los controles a este nivel se reflejan en la forma de funcionar de una organización, e incluyen políticas, procedimientos y otras prácticas de alto nivel que marcan las pautas de la organización. • La capacidad de la dirección para eludir controles (management override) y un pobre tono de control (que se manifiesta a nivel de la entidad) son dos aspectos comunes en un mal comportamiento corporativo. • La identificación de los CGTI debe integrarse en la evaluación general de controles realizada a nivel de entidad.
  • 9. Concepto de CGTI Nivel de los sistemas de IT AddConIT Cía. Ltda. Data Assurance Hardware DatabasesNetworks Systems software Constituyen la base de las operaciones y son prestados a través de toda la organización. Normalmente incluyen la gestión de redes, la gestión de bases de datos, la gestión de sistemas operativos, la gestión de almacenamiento, la gestión de las instalaciones y sus servicios y la administración de seguridad. Todo ello está gestionado generalmente por un departamento TI centralizado. Sistemas TI de base sistemas de gestión de las bases de datos Sistemas operativos (SO) DOS, Linux, Mac-OS Infraestructura física Son todos los elementos físicos, el hardware. Incluye redes y comunicaciones.
  • 10. Concepto de CGTI Nivel de procesos / aplicaciones de gestión AddConIT Cía. Ltda. Data Assurance Los inputs, el procesamiento y los outputs son aspectos de los procesos de gestión, que cada vez están más automatizados e integrados en complejos sistemas informáticos. Si el auditor llega a una conclusión favorable sobre los CGTI al nivel de la entidad y de los sistemas TI, se deberá evaluar y comprobar la eficacia de los CGTI en aquellas aplicaciones significativas que van a ser revisadas, antes de revisar sus controles de aplicación
  • 11. Interrelación entre CGTI AddConIT Cía. Ltda. Data Assurance Con los controles de aplicación CGTI • Estos controles operan a través de todas las aplicaciones y por lo general consisten en una mezcla de controles automatizados (incorporado en los programas de ordenador) y controles manuales (tales como el presupuesto de TI y contratos con proveedores de servicios) Controles de Aplicación • Estos controles son controles automatizados que se refieren específicamente a las aplicaciones (como el procesamiento de ventas o nómina).
  • 12. Interrelación entre CGTI AddConIT Cía. Ltda. Data Assurance Con los controles de aplicación • La emisión y revisión manual de un informe especial de elementos no coincidentes puede ser un control de aplicación efectivo; no obstante, dicho control dejará de ser efectivo si los controles generales permitiesen realizar modificaciones no autorizadas de los programas, de forma que determinados elementos quedasen excluidos deliberadamente de manera indebida del informe revisado. • Garantizar la seguridad de las bases de datos se considera un requisito indispensable para que la información financiera sea fiable. Sin seguridad a nivel de base de datos, las entidades estarían expuestas a cambios no autorizados en la información financiera.
  • 13. Normas Técnicas Aplicables AddConIT Cía. Ltda. Data Assurance
  • 14. Categrias de los CGTI AddConIT Cía. Ltda. Data Assurance Controles Generales IT Desarrollo de sistemas Operaciones del Computador Cambios a Programas Acceso a programas y datos
  • 15. Controles Generales de Tecnología de Ia Información La estructura de gobierno de la TI Cómo los riesgos de la TI son identificados, mitigados y administrados El sistema de información, el plan estratégico y el presupuesto Las políticas, los procedimientos y los estándares de la TI La estructura organizacional y la segregación de funciones El Ambiente de Control TI AddConIT Cía. Ltda. Data Assurance
  • 16. Controles Generales de Tecnología de Ia Información Adquisiciones, instalaciones, configuraciones, integración, y mantenimiento de la infraestructura de la TI Entrega de servicios de información a los usuarios Administración de los proveedores que son terceros Uso de programas del sistema, seguridad de los programas, sistemas y utilidades de administración de la base de datos Rastreo de incidentes, etiquetados del sistema y funciones de monitoreo Operaciones de computación del día-a-día AddConIT Cía. Ltda. Data Assurance
  • 17. Controles Generales de Tecnología de Ia Información Seguridad de las claves Protecciones en Internet y controles de acceso remoto Encriptamiento de datos y claves criptográficas Cuentas de usuario y controles de acceso privilegiado Uso de perfiles que permiten o restringen el acceso Revocación de claves de empleados e identificaciones de los usuarios cuando los empleados renuncian o terminan el trabajo Acceso a programas y datos AddConIT Cía. Ltda. Data Assurance
  • 18. Controles Generales de Tecnología de Ia Información Adquisición e implementación de aplicaciones nuevas Desarrollo de sistemas y metodología del aseguramiento de lacalidad Mantenimiento de las aplicaciones existentes incluyendo los controles sobre los cambios de programas Desarrollo de programas y cambios de programas Políticas y procedimientos relacionados con el sistema de información y la presentación de reportes que aseguren que los usuarios cumplen con los controles generales de TI y que la TI está alineada con los requerimientos del negocio. Monitoreo de las operaciones de la TI AddConIT Cía. Ltda. Data Assurance
  • 19. Devise audit strategy (planned control reliance?) Identificar CGIT Relevantes Global audit technology Ensures compliance with International Standards on Auditing (ISAs) Creates and tailors audit programs Stores audit evidence Documents processes and controls Understanding the environment and the entity Understanding management’s focus Understanding the business Evaluating the year’s results Inherent risks Significant risks Other risks Material balances Yes No  Test controls  Substantive analytical review  Tests of detail  Test of detail  Substantive analytical review Financial statements Conclude and report General audit procedures Arbutus Extract your data Report output to teams Analyse data using relevant parameters Develop audit plan to obtain reasonable assurance that the Financial Statements as a whole are free from material misstatement and prepared in all materiala respects with the CIPFA Code of Practice framework using our global methodology and audit software Note: a. An item would be considered material to the financial statements if, through its omission or non-disclosure, the financial statements would no longer show a true and fair view.
  • 20. Prueba de asientos de diario a) Probar que todos los asientos de diario (journal entries) han sido registrados en el libro mayor, incluyendo otros ajustes hechos en la preparación de los estados financieros. b) Revisar las estimaciones contables en busca de posibles sesgos y evaluar si las circunstancias que producen el sesgo están razonablemente justificadas. AddConIT Cía. Ltda. Data Assurance
  • 21. Uso de CAAT para probar los asientos de diario Algunos de estos procedimientos podrían ser los siguientes: Encuentra las entradas de diario que no cuadran Encuentra saltos en la revista secuencia de número de entrada Encuentra las asientos de diario por valores altos Encontrar posibles registros duplicados Encuentra los asientos de diario con montos redondeados Mostrar información de los registros realizados por usuario Buscar todos los registros realizadas por un empleado específico Mostrar valores para el código 'tipo de registro' Encuentra los registros manuales Seleccionar una muestra de diarios (monetaria al azar o valores elevados) Encuentra los registros específicos (por meses, días o JE #) Encontrar todos los registros que contengan cuenta específica Encontrar todos los registros en un rango de cuentas Encuentra los registros de fecha posterior Encuentra los registros con las descripciones (no estándar) “Insólito” Encuentra todos los registros realizados en los fines de semana AddConIT Cía. Ltda. Data Assurance Prueba de asientos de diario

Related Documents