M1 ESPE Auditoria Conceptos.pdf

1

Conceptos, Fundamentos y Tendencias

Maestría en Gerencia de Sistemas

• Ing. Giovanni Roldán31 de Mayo de 2006

Auditoria Informática

Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 2

Objetivos del Módulo

• Describir la función y metodología de la Revisión

• Reconocer las normas de Auditoria interna que rigen la práctica profesional de la Revisión

• Identificar los tipos de riesgo• Comprender el concepto de control interno y los

tipos y clasificaciones de controles internos• Distinguir entre procesos y controles e

identificar controles eficaces e ineficaces• Reconocer conceptos clave y las mejores

prácticas para la Revisión


Taller

1. Cuál es el principal activo en su compañía?

2. Cómo cuida ese activo?

3. Cuáles son los riesgos asociados?


Qué es la Auditoria?


Cuál es el objetivo de la Auditoria?


Para que?

• Brindar una certidumbre razonable

• Cumplir las metas y objetivos del negocio

• Eficacia y eficiencia operativa

• Confiabilidad e Integridad de Informes Financieros

• Cumplir las leyes y reglamentaciones

• Brindar advertencia temprana de deterioro


Porqué?

• 80% de fraudes son internos

• Por la rotación del personal

• Por cambios en leyes, políticas y procedimientos– Nuevos controles: ambientales, diversidad…

• Por cumplir con normas de calidad

• Por cumplir con la satisfacción del cliente


Definición de Auditoria más aceptada

• Proceso sistemático para:– Obtener y evaluar evidencia en forma objetiva

acerca de aseveraciones sobre hechos y acontecimientos

– Determinar el grado de correspondencia entre aquellas aseveraciones y los criterios establecidos

– Comunicar los resultados a los usuarios

Comité de Conceptos de la Auditoria


Aspectos clave de la Definición

Un proceso de preparación de informes documentado rápidamente comunica los resultados de la revisión a la gerencia.

Comunicar los resultados

Las revisiones establecen la concordancia de las aseveraciones con las políticas/procedimientos corporativos y los criterios de control, legales, regulatorios o de calidad especificados.

Grado de correspondencia

Las revisiones examinan el respaldo subyacente de las aseveraciones. (Una aseveración es una proposición que puede demostrar ser verdadera o falsa).

Evaluar evidencia

Las revisiones se llevan a cabo con una actitud mental libre de prejuicio.

Obtener en forma objetiva

Las revisiones son actividades estructuradas que siguen una secuencia lógica.

Proceso sistemático


Taller: Participantes y Criterios

ClientesOrganismos de

Control

Leyes y Reglamentos

Políticas y Procedimientos

Auditores Externos

Advertencia: Algunas imágenes aparecen más exageradas de lo que son.


Taller

• Usted es el Gerente Nacional de Ventas– El Gerente Regional de la Costa:

• Cumple con las cuotas de ventas• Incumple con los políticas y procedimientos

– El Gerente Regional de la Sierra:• Cumple con las cuotas de ventas al 60%• Cumple con los políticas y procedimientos

• 1.- Qué haría Ud?• 2.- Cuál cree que es el criterio más aplicado en las

multinacionales?• 3.- Cuál cree que es el criterio más aplicado en las

nacionales?


¿¿DDóónde estnde estáá el riesgo?el riesgo?

El Riesgo Persiste

1960 2005

Riesgos de procedimientos manualesRiesgos en procesos automáticos

Forjado de FirmasForjado de Firmas

FalsificaciFalsificacióón de documentos de Identidadn de documentos de Identidad

FalsificaciFalsificacióón de Chequesn de Cheques

Complicidad InternaComplicidad Interna

Cartera de servicios básica

Cuenta corriente

Tecnología costosa, poco flexible

Tecnologías

Mainframe

Diversificación de servicios

Cuentas corrientes, ahorros, fideicomisos, Cobranzas, arrendamientos, facturación, fondo de inversiones

Tarjetas de crédito

Tecnologías

Mainframe

Cluster de conexiones

Servidores de Aplicaciones



El Riesgo Persiste

1960 2005


Fisgoneo de Clave SecretaFisgoneo de Clave Secreta

ObtenciObtencióón fraudulenta de Clave Secretan fraudulenta de Clave Secreta

Aparición de la Banca electrónicaSWIFT – EDI POS – ATM - CALL CENTER

TecnologíasEquipos POS – ATMServidores de conexión SWIFTFrame Relay



El Riesgo Persiste

1960 2005


RetenciRetencióón de TDC y TDD en ATMn de TDC y TDD en ATM´́ss

ManipulaciManipulacióón ATMn ATM´́ss

Arqueo ATMArqueo ATM´́ss

FalsificaciFalsificacióón de Pln de Pláásticossticos

Advenimiento del e-business y creación de nuevos canales

e-banking - B2B - Monederos electrónicos

IVR

Tecnologías

Servidores de servicios electrónicos

Portales WEB

Servidores de servicios IVR



El Riesgo Persiste

1960 2005


Captura de Datos Captura de Datos -- ClonaciClonacióónn

LegitimaciLegitimacióón de Capitalesn de Capitales

Implantes de CHIPS en POSImplantes de CHIPS en POS

Generadores AutomGeneradores Automááticos ticos

de Nde Núúmeros de TDCmeros de TDC

Y2K: ¿Actualización o adaptación?

Reemplazo de los sistemas individuales por sistemas integrados

Ejecución de proyectos de adaptación de la plataforma al nuevo milenio

Tecnologías

Actualización de sistemas

Reemplazo de los sistemas



El Riesgo Persiste

1960 2005


Fallas en los controles de pruebasFallas en los controles de pruebas

AnAnáálisis errlisis erróóneos o incompletosneos o incompletosMicrotransacciones

Múltiples canales de atención

Integración del ambiente (Cliente como elemento central)

Consolidación de datos, equipos y sistemas

Identity Management

Estandarización en el proceso de intercambio de información (XML)

Fomento en el uso de canales alternos

Tecnologías

Integración de Sistemas de Computación

Infraestructura de claves públicas y privadas

SW y HW de Administración de usuarios y VPN



El Riesgo Persiste

1960 2005


PhisingPhising

Robo de SesionesRobo de Sesiones

SniffingSniffing

PPááginas Web Fraudulentasginas Web Fraudulentas

Accesos no autorizadosAccesos no autorizados

Hurto de InformaciHurto de Informacióón Sensiblen Sensible


Taller

• Con todos los medios tecnológicos para hacer daño y hacer fraudes: – Virus, hackers, pishing, etc…

• Debe ser la Seguridad Tecnológica el énfasis de la Auditoria Informática?– Si / No

– Porqué?


• Evalúan la eficacia de los Controles Internos• Ayudan a mantener la eficacia en el tiempo

• Fija parámetros éticos• Visión global del negocio• Pautas de actuación• Dueño de la Información

Toda la Organización

Auditoria y Control Interno

Directorio

Gerencia General

• Fija la pauta• Fija los factores del ambiente de control• Selecciona al Sr. Mgmt.• Establece políticas y procedimientos de control más específicas

Auditores Internos

• Control Interno como parte de su función• Realizan las funciones necesarias para efectuar el control• Comunican a nivel superior: Problemas y Novedades


Aplicaciones- Control Acceso- Control ingreso y rechazo datos- Control transmisión datos- Control Interfaces

Infraestructura Tecnológica- Autenticación/encripción- Confianza en servicios de terceros- Estudios de Penetración - Recuperación de Datos - Acceso físico- Políticas de seguridad de activos de información

Ambiente de Riesgo- Riesgo organizacional- Riesgo Operacional

(Normas COSO)- Riesgo Financieros- Riesgo de privacidad- Riesgo de

Globalización

Aplicaciones e-business- Seguridad aplicación- Integridad interfases- Integridad información- Transmisión datos- Seguridad Web

Procesos del Negocio- Controles de procesos- Planificación de la

continuidad del negocio

Estructura de Riesgo Integrada

Aplicaciones

Aplicaciones e-busines

Infraestructura TI

Internet Intranet Extranet

Mercado

Proveedores

Clientes

Procesos del Negocio

Ambiente de Riesgo


Indicadores clave de los riesgos de la tecnología

Ausencia del software de seguridad

Ausencia de la función de seguridad de activos de información

Elevado número de reprocesos

Uso significativo de herramientas automatizadas

Complejidad tecnológica

Falta de formalidad en las políticas y procedimientos

Bajo nivel de seguimiento a las violaciones de seguridad y actividades de usuarios en general


Internal Control Componentes C.O.S.O

Seguimiento

Actividades deControl

Evaluación del Riesgo

Ambiente de Control

Comunicación

Información

•Contenido:• ¿Contiene toda la información

necesaria?• Oportunidad:

• ¿Se facilita en el tiempo decuado?• Actualidad:

• ¿Es la más reciente disponible?• Exactitud:

• ¿Los datos son correctos?• Accesibilidad:

• ¿Puede ser obtenida fácilmente por las personas adecuadas?


Matrices de Riesgo

• Ayuda a definir, consensuar y asignar responsabilidades de los riesgos.

• La definición de Matrices de Riesgo debe ser una responsabilidad de la Empresa y no un trabajo aislado de auditoria.

• El trabajo de conceptualizar, formular y definir la primera versión de la Matriz puede tomar bastante tiempo; posteriormente ésta se ajusta para recoger experiencias externas e internas y hacerla consistente con las “Mejores Prácticas”.

• Para los riesgos de la Matriz, se debieran establecer indicadores, que faciliten los análisis, generen planes de acción con responsables, plazos y su posterior seguimiento.

• Cada organización debe desarrollar su propio enfoque sistemático (desarrollo de herramientas), acorde a sus riesgos y realidad


Ejemplo de Matriz de Riesgo

A

Sam

ple 10-20 approvals for user access

1. Verify that accesses to Internet has been approved by direct management and granted TIS (Technology Infrastructure Services) organization.2. Determine that access to internet services is approved by managers.3. Determine that access is granted through the corporate process established for this purpose on a case-by-case basis: Internet Access and Registration. Ensure that them manager must review/agrees with the reasons why Internet access is being granted to the individual before approving the form. 4. Verify that access is granted by an independent unit that is not involved in Technology Project design, development and implementation.

LS

1. Access to internet services must be approved by managers and controlled by IT through filters.2. Access is granted through the corporate process established for this purpose on a case-by-case basis: Internet Access and Registration. The Manager must review/agree with the reasons why Internet access is being granted to the individual before approving the form. 3. Access is granted by an independent unit that is not involved in Technology Project design, development and implementation.

M

Misuse of Internet access can disrupt productivity and even expose the organization to image and/or legal risks

Granting A

ccess to the Internet

Internet Managem

ent

Freq

.

Sam

ple S

ize

Test Methodology

Resid

ual R

iskH

/M/L

Qu

ality of

Co

ntro

lS

/NI/U

Key Controls / Control Activity

Inh

erent R

isk H

/M/L

Key R

isks

Pro

cesses

Pro

du

cts / F

un

ction

s


Matrices de Riesgo

• Ventajas– Tiende a objetivizar el

análisis.

– Establece parámetros de comparación.

– Permite hacer medición de la evolución.

– Genera participación activa del auditado

• Aspectos a cuidar– Es clave una adecuada

definición de las ponderaciones

– Se deben cubrir la mayoría de riesgos

– Se deben ajustar formatos de informes para que exista consistencia


Taller

• Conocimientos y habilidades que debe tener el Auditor?–

–

–

–

–


Buenas Prácticas

• Proceso planificado– Ya no es a la sorpresiva

– Proceso continuo

• Debe haber una metodología

• Auto evaluación

• De reactivo a preventivo


Buenas Prácticas

• Independencia de funciones

• Educación y entrenamiento técnico del Auditor

• Controles compensatorios• Alcance correcto de la revisión

• Evidencias


Taller

• Actividades que realiza de un auditor proactivo:–

–

–

–

–


Retos de los Revisores actuales

• Conceptualizar cada proceso de negocio

• Definir el alcance de cada auditoria por proceso

• Comprender sus partes estratégicas y operativas

• Dimensionar su alcance en el sistema computacional

• Evaluar los aspectos de control


Revisión

• Pregunta: Seleccione cinco frases claves que pertenezcan a la definición de auditoria:

– a) Obtener evidencia en forma objetiva.– b) Grado de riqueza– c) Responsabilidades operativas– d) Proceso sistemático.– e) Grado de correspondencia.– f) Integrada con responsabilidades de la línea– g) Comunicar los resultados a los usuarios.– h) Proceso aleatorio– i) Evaluar evidencia en forma subjetiva– j) Evaluar aseveraciones contra criterios establecidos.– k) Afirmaciones y negativas– l) Administración de riesgo


Revisión

• Pregunta: Las auditorias internas son llevadas a cabo por:– a) estudios contables públicos– b) empleados de la Empresa– c) contratistas independientes– d) abogados de la empresa

• Pregunta: Complete la siguiente afirmación. La misión de los auditores internos es investigar en forma independiente la suficiencia y eficacia de los ___________________ de la Empresa.


Revisión

• Pregunta: Los auditores externos se basan en la precisión del trabajo de revisión de auditoria interna para reducir el alcance del trabajo de auditoria.– a) Verdadero– b) Falso

• Pregunta: La Unidad de Revisión de Auditoria Interna cumple:– a) una función de soporte.– b) una función de negocios.– c) una función de centro de ganancias.– d) una función de administración por objetivos.


Revisión

• Pregunta: Identifique la organización que evalúa la eficacia de los controles.– a) El Departamento Operativo– b) La Unidad de Control Financiero– c) La Unidad de Revisión de Auditoria Interna– d) El Directorio

• Pregunta: Identifique dos partes de la misión de la Unidad de Revisión de Auditoria Interna

– a) Evaluar el impacto de los procesos de negocios sobre las relaciones con los clientes.– b) Comparar la rentabilidad de todas las unidades de negocios dentro del país o la región.– c) Evaluar el desempeño y los controles de las funciones y procesos de soporte del negocio .– d) Mejorar los controles en forma continua mediante el análisis de los riesgos existentes y

anticipados .– e) Implementar procedimientos de control en todas las unidades de negocios.

• Pregunta: Identifique la actividad que es el mejor ejemplo del componente proactivodel Auditor:

– a) El auditor evalúa los procedimientos existentes para resguardar los procesos.– b) El auditor alerta a la gerencia cuando se descubren desvíos de los procedimientos.– c) El auditor documenta los puntos débiles en los controles para resguardar los procesos.– d) El auditor sugiere un rediseño de procesos para resguardar mejor las transacciones .


Revisión

• Pregunta: Identifique el criterio que usaría para determinar el alcance de una revisión de Auditoria. Una revisión de Auditoria debe asegurar que:– a) se encaren en forma adecuada los riesgos principales de todos los

procesos y productos .– b) se midan y evalúen todos los riesgos internos y externos.– c) se reporte adecuadamente toda la información financiera.– d) todos los procesos y controles estén funcionando según fueron diseñados.

• Pregunta: La posición dentro de la organización de la función de revisión de Auditoria como una unidad distinta está destinada a cumplir la norma desarrollada para:– a) el alcance del trabajo.– b) independencia.– c) pericia profesional.– d) desempeño del trabajo de auditoria.


Taller

Las ecuaciones:

Riesgo vs. Ingresos

Riesgo vs. Gastos

Cuál se identifica primero?


Taller

• Qué criterio aplicaría Usted?– Todos los departamentos y procesos deberían ser

revisados ya que en cualquiera de ellos pueden producirse problemas

– Los departamentos y procesos con los más altos riesgos identificados deberían recibir la mayor atención por parte del personal.

• Qué criterio aplicaría Usted?– Tecnología debería ser auditada al menos una vez al

año.– Tecnología debería ser auditada cada vez que se

revisa un departamento o proceso importante del negocio

• Qué cree que opinan los Auditores sobre esto?


Criterios para Identificar Áreas Críticas

• El monto del producto o riesgo operativo inherente

• El grado de complejidad del proceso

• La contribución a los ingresos, ganancias o gastos


Taller

• Criterios para identificar Riesgos en Tecnología:

1.

2.

3.


Taller

• Qué paso con:– Parmalat

– Filanbanco

– Arthur Andersen

– Banco Popular

– La Universal

– WorldCom

– Enron


Metodología General de Revisión

Identificación de losProcesos y Productos

Identificar los RiesgosAsociados

Determinar los ControlesClave

Evaluar la Eficacia deLos Procesos

1

23

4• Segregación de Funciones• Supervisión / Revisión /• Autorización / Aprobación• Seguridades• Conciliaciones y Controles• Confirmación de contrapartes• Controles de acceso a datos• Políticas de Personal• ….


Niveles de Riesgo

Riesgo de

Revisión

Riesgo de Control(Controles Inadecuados)

Riesgo Inherente

Mayo

r Co

ntro

l Co

nsi

der

acio

nes

• Posibilidad de pérdida significativa• Parte de la naturaleza del negocio

• Consecuencias de la presencia / ausencia del Control• Eficacia del proceso:

• Riesgo vs. Costo de Implementar• Riesgo vs. Recursos• Riesgo vs. Satisfacción del Cliente

• Naturaleza de los Controles• Preventivos vs. Pro activo• Automáticos vs. Manuales

• CheckLists• CheckPoints


Riesgo vs. Costo implementación

Costo

Implementar medidas de reducción

Usar Juicio

Antieconómico

Nivel Total de Riesgos


Riesgo Inherente

• Posibilidad de que se produzca una pérdida significativa, tipos:– Riesgo del Negocio: productos/servicios , mercados/clientes– Riesgo Regulatorio: multas; publicidad adversa– Riesgo de Crédito: los clientes no cumplen sus obligaciones– Riesgo de Precio: tipo de cambio, variación de tasas– Riesgo de Liquidez: falta de fondos para cubrir obligaciones– Riesgo de Procesamiento: clasificación, manejo, ingreso, …– Riesgo Contable: informes imprecisos– Riesgo País: convertibilidad, estabilidad jurídica, impuestos, …– Riesgo de Documentación: falsificaciones.– Riesgo de Custodia: robos, fraudes (activos físicos)– Riesgo de Información: pérdida, fraude, uso indebido– Riesgo Tecnológico: vulnerabilidades, contingencia,


Riesgos de Inseguridad Tecnológica

0

5

10

15

20

25

30

Infección por virus

Fuga de Información

No disponibilidad de los sistemas

Violación de la seguridad física

Uso de software ilegal

Hurto de equipos/periféricos

Uso indebido del correo/Internet

Violación de controles de acceso a sistema

Fraudes 2004


Criterios de Control Eficaces

¿Qué pasos o procesos confirman que los activos, pasivos, ingresos y gastos están debidamente descritos y tratados en los estados financieros?

Presentación

¿Qué pasos o procesos confirman que la compañía es titular y/o cuenta con un título de propiedad carente de gravámenes sobre los activos y garantías, y que la compañía efectivamente participó en las transacciones informadas?

Propiedad

¿Qué pasos o procesos aseguran que los activos y pasivos están valuados adecuadamente y los ingresos y gastos medidos correctamente?

Valuación

¿Qué pasos o procesos deberían seguirse para asegurar que todos los montos financieros están valuados correctamente, son matemáticamente correctos, están asignados al código contable correcto (por partida o descripción) o al período contable adecuado?

¿Qué medidas deberían tomarse para garantizar la integridad y validez de los datos?

Precisión

¿Están definidas y asignadas las tareas de control y procesamiento en la estructura de la organización?

Autorización

¿Qué pasos o procesos confirman que los activos y pasivos informados realmente existen a la fecha del balance?

¿Qué controles confirman que las transacciones informadas en el estado de resultados efectivamente ocurrieron durante tal período?

Existencia

¿Qué pasos o procesos aseguran que todas las transacciones y cuentas que deberían incluirse en los estados financieros están efectivamente incluidas?

¿Qué impide que figuren los activos, pasivos o transacciones faltantes?

Integridad


Normas para la práctica profesional de Auditoria Interna

• Independencia• Posición de dentro de la Organización• Objetividad• Conocimientos de los procesos y del negocio• Supervisión• Cumplimiento de normas de conducta• Relaciones humanas y comunicaciones• Actualización constante• Confiabilidad e integridad de la información• Cumplimiento de las leyes, políticas, estándares y procedimientos• Resguardo de activos• Uso eficiente y económico de los recursos• Logro de los Objetivos y Metas Establecidas para las Operaciones• Planificación de la Auditoria• Examen y evaluación de la información• Comunicación de los resultados• Seguimiento


Revisión

• Pregunta: Seleccione la pauta que mejor describe el alcance hasta el cual el Revisor debe efectuar pruebas.

– a) Las pruebas deben evaluar en detalle todos los puntos de riesgo.– b) Las pruebas deben evaluar en qué medida están funcionando los controles existentes.– c) Las pruebas deben confirmar la precisión de todas las transacciones.– d) Las pruebas deben concentrarse en la validación de controles críticos.

• Pregunta: La posibilidad de que la empresa sufra una pérdida debido a la naturaleza esencial de una actividad de negocios es:

– a) un riesgo de revisión.– b) un riesgo de control.– c) un riesgo de proceso.– d) un riesgo inherente .

• Pregunta: Un Revisor que comprende los riesgos inherentes de un proceso o negocio puede:

– a) determinar el tipo de controles que deben existir para mitigar el riesgo– b) evaluar la magnitud de las pérdidas potenciales.– c) evaluar los tres niveles de riesgo.– d) comparar los tipos de riesgo con otros procesos.


Revisión

• Ordene: Describa el proceso para llevar a cabo una revisión basada en riesgo:– Determinar los controles claves.– Identificar los tipos de riesgos asociados con el proceso.– Identificar un proceso.– Evaluar la eficacia de los controles claves.

• Pregunta: La posibilidad de que la cobertura de su revisión no encare los riesgos del negocio es:

– a) un riesgo de revisión.– b) un riesgo de control.– c) un riesgo de proceso.– d) un riesgo inherente.

• Pregunta: Para minimizar el riesgo de control, el inspector debe evaluar:– a) todos los controles minuciosamente.– b) los controles que proporcionan el mayor grado de protección contra el riesgo identificado .– c) los Checklists.– d) los controles que exponen al banco al riesgo de Revisión.


Revisión

• Pregunta: El riesgo de control representa la posibilidad de que:– a) las Revisiones se concentren en los temas

equivocados.

– b) los procesos funcionen en forma ineficaz.

– c) los controles establecidos no logren manejar el riesgo .

– d) el costo de los controles se torne prohibitivo.


Bibliografía

• The Australian/New Zealand Joint Standards Committee AS/NZS 4360 Risk Management

• COSO - The Committee of Sponsoring Organizations of thecommission Treadway

• CICA - Instituto Canadiense de Contadores Certificados • IFAC - Financial & Management Accounting Committee• A Guide to Security Risk Management for Information Technology

Systems - Government of Canada, Communications Security• MAGERIT - Metodología de Análisis y Sesión de Riesgos de los

Sistemas de Información - Versión 1.0• Chester Simmons - Risk Management –• Solis Montes Gustavo A. Reingeniería de la Auditoría Informática

M1 ESPE Auditoria Conceptos.pdf

Documents

Transcript of M1 ESPE Auditoria Conceptos.pdf