Metodología para la identificación y Evaluación de riesgos de TI en una auditoría de estados...

UNIVERSIDAD DE EL SALVADORFACULTAD DE CIENCIAS ECONMICAS

ESCUELA DE CONTADURA PBLICA

METODOLOGA PARA LA IDENTIFICACIN Y EVALUACIN DE RIESGOS DE TECNOLOGA DEINFORMACIN RELEVANTES EN UNA AUDITORA DE ESTADOS FINANCIEROS

Trabajo de investigacin presentado por:Guardado Quintanilla, Manuel Antonio

Guzmn Sosa, Ludwig JavierMontiel Hernndez, Oscar Alcides

Para optar al grado de:LICENCIADO EN CONTADURA PBLICA

Enero 2014San Salvador, El Salvador, Centroamrica

UNIVERSIDAD DE EL SALVADORAUTORIDADES UNIVERSITARIAS

Rector : Ingeniero Mario Roberto Nieto Lobo

Secretaria General : Doctora Ana Leticia Zavaleta de Amaya

Decano de la Facultad deCiencias Econmicas : Mster Roger Armando Arias Alvarado

Secretario de la Facultad deCiencias Econmicas : Mster Jos Ciriaco Gutirrez Contreras

Directora de la Escuela deContadura Pblica : Licenciada Mara Margarita de Jess Martnez

Mendoza de Hernndez

Coordinador de Seminario : Licenciado Mauricio Ernesto Magaa Menndez

Asesor Director : Licenciado Daniel Nehemas Reyes Lpez

Jurado Examinador : Licenciado Daniel Nehemas Reyes Lpez: Mster Hctor Alfredo Rivas Nez: Mster Jonny Francisco Mercado Carrillo

Enero 2014San Salvador, El Salvador, Centroamrica

AGRADECIMIENTOS

En primer lugar, agradezco a DIOS Todopoderoso por su bendicin y amor incondicional a lo largo de mivida y por haberme permitido alcanzar esta meta. A mis padres Mara Ana Quintanilla de Guardado y JosLisandro Guardado por su amor, apoyo, esfuerzo y sacrificio. A mis hermanas y hermanos por todo suapoyo. A mis compaeros Ludwig Javier Guzmn Sosa y Oscar Alcides Montiel Hernndez por haberdepositado en m la confianza para poder culminar con este proyecto. Y a todos aquellos amigos, amigas,seres queridos y docentes que me han apoyado y contribuido en el logro de esta meta.

Manuel Antonio Guardado Quintanilla

Doy gracias a Dios por ofrecerme la maravillosa oportunidad de concluir con mi educacin superior, por suinfinito e incondicional apoyo recibido en toda mi vida. Tambin expreso mi gratitud a todas aquellaspersonas que directa o indirectamente han colaborado en mi formacin profesional a lo largo de todos estosaos: mis padres, familia, profesores y compaeros.

Ludwig Javier Guzmn Sosa

Agradezco a DIOS todopoderoso por brindarme la vida, la salud, el tiempo para lograr esta grata meta y porpermitirme contar con los recursos para dedicarme a este cometido. Doy las gracias a mi familia, a mispadres Berta Alicia Hernndez y Jos Oscar Montiel Bentez por mostrarme valores como el trabajo y lahumildad, a mis compaeros de grupo y a todas las personas y profesionales que estuvieron a mi ladoapoyndome en todo momento.

Oscar Alcides Montiel Hernndez

NDICE

Contenido Pg.

RESUMEN EJECUTIVO IINTRODUCCIN IIICAPTULO I: MARCO TERICO, CONCEPTUAL Y LEGAL 11.1 Antecedentes 11.1.1 Antecedentes de la auditora. 11.1.2 Antecedentes de COBIT 21.2 Conceptos 31.3 Clasificacin 41.3.1 Clasificacin de la auditora 41.3.2 Clasificacin de los controles de TI 51.3.3 Clasificacin de los riesgos. 61.3.4 Clasificacin de los riesgos de incorreccin material 71.4 Caractersticas de los controles de tecnologa de la informacin 91.5 Principales riesgos de tecnologa de informacin. 91.6 Tipos de metodologas para evaluacin de riesgos. 121.6.1 Metodologa cuantitativa. 131.6.2 Metodologa cualitativa. 131.7 Ventajas y limitantes en la consideracin de riesgos informticos en una

auditora de estados financieros. 141.7.1 Ventajas 141.7.2 Limitantes 151.8 Principales respuestas a la evaluacin de riesgos tecnologas de informacin 151.9 Base tcnica 161.10 Base legal 19CAPTULO II: METODOLOGA DE INVESTIGACIN 212.1 Tipo de estudio 212.2 Unidad de anlisis 212.3 Universo y muestra 212.3.1 Universo 212.3.2 Muestra 21

2.4 Instrumentos y tcnicas de investigacin 222.5 Recoleccin de informacin 232.5.1 Investigacin documental o bibliogrfica 232.5.2 Investigacin de campo 232.6 Procesamiento de la informacin 232.7 Anlisis e interpretacin de resultados 232.8 Diagnstico 24CAPITULO III: DESARROLLO DEL CASO PRCTICO 273.1 Planteamiento para estudio del caso prctico. 273.2 Descripcin general de la metodologa 383.3 Solucin del caso prctico (aplicacin de la metodologa en cuatro pasos) 433.3.1 Paso 1: entendimiento de naturaleza de las TI en la empresa 433.3.2 Paso 2: entendimiento del control interno de tecnologa de informacin. 493.3.3 Paso 3: identificacin e evaluacin de riesgos 633.3.4 Paso 4: valoracin de los riesgos, matriz de riesgos y respuestas globales de

auditor. 69CAPITULO IV: CONCLUSIONES Y RECOMENDACIONES 814.1 Conclusiones 814.2 Recomendaciones 82BIBLIOGRAFA 83ANEXOS 86

NDICE DE TABLASTabla 1. Controles informticos 7Tabla 2. Aspectos tcnicos relacionados a la identificacin y evaluacin de riesgos de TI en el proceso

de una auditora de estados financieros. 16Tabla 3. Aspectos legales relacionados con la auditora. 20Tabla 4. Entendimiento de naturaleza de las TI en la empresa. 43Tabla 5. Objetivos de los elementos del componente entorno de control. 52Tabla 6. Objetivos de los elementos del componente: proceso de valoracin del riesgo por la entidad.

56Tabla 7. Objetivos de los elementos del componente del sistema de informacin y comunicacin. 58Tabla 8. Objetivos de los elementos del componente: actividades de control. 60Tabla 9. Objetivos de los elementos del componente seguimiento de controles. 62Tabla 10. Listado de debilidades encontradas en el control interno de TI. 63Tabla 11. Abreviatura de las aseveraciones. 70Tabla 12. Matriz de riesgos. 73

NDICE DE FIGURASFigura 1. Evolucin del alcance de COBIT 2Figura 2. Proceso para identificar y evaluar riesgos de TI 39Figura 3. Proceso para el entendimiento del ambiente de TI en el negocio. 39Figura 4. Proceso para la comprensin del control interno y su entorno. 40Figura 5. Proceso para identificar riesgos de TI relevante a la informacin financiera. 41Figura 6. Proceso de enfoque del alcance (naturaleza, oportunidad y extensin) de los procedimientos

de auditora por medio de la valoracin de riesgos. 42Figura 7. Mapa mental de los recursos informticos de la entidad. 47Figura 8. Estructura del cuestionario de evaluacin del control interno 50Figura 9. Factores para determinacin de riesgos significantes. 71Figura 10. Niveles de criticidad de la probabilidad por el impacto. 79Figura 11. Mapa de riesgos. 80

RESUMEN EJECUTIVO

El presente trabajo de graduacin surge con base a las necesidades existentes en las firmas de auditorade El Salvador, de contar con un modelo, metodologa o estndar para poder identificar y valorar los riesgosrelevantes de tecnologa de informacin (TI) en una auditora de estados financieros.

El auditor se ha visto en la necesidad de poseer el conocimiento suficiente de los sistemas de informacinpor computadora para: planear, dirigir, supervisar y revisar el trabajo a desarrollar, ello debido a la crecientedisponibilidad de informacin electrnica y procesos automatizados por recursos informticos y detecnologas de comunicacin, que son capaces de satisfacer las circunstancias tanto funcionales comoeconmicas, de oportunidad y efectividad de las entidades o empresas que las utilizan; de tal manera quehemos llegado a un momento en que la TI constituye un eje fundamental en las entidades. Por lo que talescircunstancias requieren que el contador pblico est preparado para actuar en dos reas: la auditora y lainformtica.

Como aporte social, se dise una propuesta que tiene por objetivo principal el desarrollar una metodologapara la identificacin y evaluacin de riesgos sobre control interno informtico relevante en la informacinfinanciera y est encaminado a servir como herramienta de apoyo en la fase de planeacin de auditora alas firmas de El Salvador. En el documento proponemos criterios tcnicos para el entendimiento delambiente y control interno de TI en el negocio, basados en COBIT 5 y se brindan herramientas paraidentificar riesgos con base a las debilidades del control interno, que impacten en la informacin financierade las entidades que ayuden al profesional disear un enfoque global de la naturaleza, oportunidad yextensin de los procedimientos a incorporar en la planeacin de una auditora de estados financierosmediante una matriz de evaluacin de riesgos.

La investigacin se desarroll bajo el tipo de estudio hipottico deductivo ya que este permite la formulacinde hiptesis, las cuales son confrontadas con los hechos reales. El mtodo utilizado para la obtencin deinformacin fue mediante encuestas a los encargados de auditora, de las firmas con personera jurdicaautorizadas por el Consejo de Vigilancia de la Profesin de Contadura Pblica y Auditora (CVPCPA),utilizando la tcnica de muestreo aleatorio simple, dando como resultado un tamao de la muestra de 59firmas, con un universo de 308.

De esta forma, la indagacin permiti establecer las conclusiones y recomendaciones siguientes: Las firmasde auditora se ven en dificultades al momento de ejecutar una evaluacin de control interno a las TIrelevante a la informacin financiera conforme a normativa debido a que el material con el que cuentan esinsuficiente. Generalmente dichas entidades presentan en su equipo de trabajo poca o nula capacitacinsobre aspectos relacionados al rea de tecnologas de informacin. Por lo tanto, se recomienda hacer usode la presente metodologa, la cual detalla la forma de cmo identificar y evaluar riegos cuando lainformacin financiera se encuentra bajo un ambiente de sistemas computarizados y a los gremioscomprometidos con la profesin de contadura pblica y auditora impartir seminarios y capacitaciones paramejorar las competencias relacionadas con la informtica.

INTRODUCCIN

El presente documento ha sido elaborado con el fin de servir de gua a los auditores de estados financierospara permitirles cumplir con los requerimientos establecidos en la NIA 315, en cuanto a la identificacin yevaluacin de riesgos informticos.

El trabajo se desarrolla en cuatro captulos, en el primero se presenta un marco conceptual el cual incluyelos principales antecedentes de la auditoria y la evolucin del marco de control de COBIT, se definen yclasifican los conceptos generales de controles y riesgos de la informacin automatizada, as como los tiposde metodologa para la evaluacin de riesgos, por ltimo se detalla la base tcnica y legal que sustenta estainvestigacin.

En el captulo dos, se contempla la metodologa bajo la cual se realiz la investigacin de campo a nivelnacional, los resultados de tal indagacin son analizados y presentados al lector, se define el tipo de estudio,la determinacin de la muestra y los instrumentos y tcnicas de recoleccin de informacin, las que dancomo resultado un diagnstico que muestra las dificultades actuales del auditor para considerar estos tiposde riesgos, al momento de establecer una respuesta global a los mismos y determinar la naturaleza,oportunidad y extensin de los procedimientos sustantivos.

En el captulo tres, se desarrolla un caso prctico definiendo en primer lugar una descripcin general de lametodologa que contiene una serie de pasos elaborados para el entendimiento de la entidad y su controlinterno de conformidad a lo establecido en las NIAs y tomando como base las mejores prcticas de controlsegn COBIT 5.

Para finalizar se muestra en el captulo IV, las principales conclusiones sobre la problemtica encontrada ylas recomendaciones a los principales sectores que se relacionan con esta investigacin.

1CAPTULO I: MARCO TERICO, CONCEPTUAL Y LEGAL

1.1 Antecedentes

1.1.1 Antecedentes de la auditora.En El Salvador la auditora financiera surge en 1939 por medio del establecimiento inicial regulatorio a lacarrera contable, esto se da a travs de la ley aprobada el 21 de Septiembre de 1940 segn decreto 57publicado en el diario oficial el 15 de octubre del mismo ao; por medio de l fue creado el Consejo Nacionalde Contadores Pblicos.

Para el ao 1967 se facult al Ministerio de Educacin el otorgamiento de la calidad de Contador PblicoCertificado (CPC). As mismo, se destaca como factor relevante la carrera de contadura pblica en laUniversidad de El Salvador, lo cual ofreci al profesional un enfoque de estudio superior dando paso a lacreacin de los contadores pblicos acadmicos (CPA), los cuales ejercieron labores de auditorasfinancieras en forma independiente.

En los aos 90s los gremios de contadores pblicos unificaron sus esfuerzos y realizaron variasconvenciones nacionales, como resultado surgieron las Normas de Contabilidad Financiera (NCF). En elao 2000 se da una importante reforma legal en el mbito de la profesin de la Contadura Pblica, en elCdigo de Comercio, Ley del Registro de Comercio, Ley de la Superintendencia de Obligaciones Mercantilesy la creacin de la Ley Reguladora del Ejercicio de la Contadura y Auditora, posteriormente se confeccionael Cdigo Tributario.

Entre estas reformas y creaciones de ley se destaca, en cuanto a la contabilidad y la auditora, lo establecidoen los artculos 443 al 444 del Cdigo de Comercio y el articulo 36 literales f, g y h de la Ley Reguladora delEjercicio de la Contadura, en donde se adoptan las Normas Internacionales de Contabilidad y de Auditorasugeridas por los organismos internacionales IFRS e IFAC respectivamente.

El Consejo de Vigilancia de la Profesin de Contadura Pblica y Auditora acord que las NormasInternacionales de Informacin Financiera (llamadas antes NIC) deben ser las bases contables a utilizar enla preparacin de los estados financieros de propsito general en El Salvador; as mismo, aprob un planescalonado de implementacin durante los aos de 2004 al 2006. El 22 de diciembre de 2004, el referido

2Consejo acord establecer un marco de referencia que se denomina Normas de Informacin Financieraadoptadas en El Salvador, el cual contemplaba las Normas Internacionales de Contabilidad, revisiones y/oactualizaciones, incluyendo las respectivas interpretaciones, vigentes hasta el 31 de octubre de 2003.

1.1.2 Antecedentes de COBITCon el inicio de la revolucin industrial surgi la necesidad de controlar las operaciones que por su magnituderan realizadas por mquinas dirigidas por operarios. Por lo tanto se cree que el origen del control internosucedi a fines del siglo XIX, debido a que los hombres de negocios se preocuparon por formar y establecersistemas adecuados para la proteccin de sus intereses. En forma general, el crecimiento econmico de losnegocios, implic una mayor complicacin en las empresas y por consecuencia en su administracin.

El marco de buenas prcticas COBIT se emprendi por primera vez en el ao 1995, con el propsito defundamentar un mayor beneficio global que pudiese tener un impacto duradero sobre el campo de visin delos negocios, en especial sobre los controles de los sistemas de informacin. La primera versin fuepublicada en 1996 y se distribuy en 98 pases de todo el mundo. La segunda en abril de 1998, desarrolly mejor lo que posea la anterior mediante la asociacin de un mayor nmero de documentos de referencia,nuevos y revisados objetivos de control de alto nivel, intensificando las lneas maestras de auditora,introduciendo un conjunto de herramientas de implementacin.

En su cuarto ejemplar, se cubren 210 objetivos de control clasificndolos en cuatro dominios: planificaciny organizacin, adquisicin e implementacin, entrega y soporte, y, supervisin y evaluacin.

Figura 1. Evolucin del alcance de COBIT

Fuente: http://www.isaca.org/Spanish/Pages/default.aspx

3La edicin COBIT 5 lanzada en el ao 2012, proporciona una visin empresarial del gobierno de TI quepresenta a la tecnologa e informacin como protagonistas en la creacin de valor para las empresas. Sebasa en COBIT 4.1, y a su vez lo ampla mediante la integracin de otros importantes marcos y normascomo Val IT y Risk IT, Information Technology Infrastructure Library (ITIL ) y las normas ISO relacionadas.

1.2 ConceptosA continuacin se detallan los principales conceptos que estn directamente relacionados con lainvestigacin.

Control Interno: es el proceso diseado, implementado y mantenido por los responsables del gobierno dela entidad, la direccin y otro personal, con la finalidad de proporcionar una seguridad razonable sobre laconsecucin de los objetivos de la entidad relativos a la fiabilidad de la informacin financiera, la eficacia yeficiencia de las operaciones, as como sobre el cumplimiento de las disposiciones legales y reglamentariasaplicables.1

Control interno informtico COBIT: conocido antiguamente como Objetivos de Control para Tecnologasde Informacin o Relacionadas; usado actualmente solo como un acrnimo en su quinta revisin. Un marcocompleto, internacionalmente aceptado, para el gobierno y la gestin de la informacin de la empresa y latecnologa de la informacin que soporta a los ejecutivos de la empresa y los gestores en la definicin yconsecucin de las metas de negocio y las metas relacionadas. 2

Desarrollo profesional continuo: constituyen estados fijos o inmutables, actividades de aprendizaje quepermiten a los contadores desarrollar y mantener las capacidades para desenvolverse con competencia ensus entornos tcnicos. Este pensamiento tiene como meta cultivar y mantener la competencia despus dela calificacin profesional. Esto implica el desarrollo de las capacidades mediante programas de formacin

1 Federacin Internacional de Contadores (IFAC por sus siglas en ingls). Normas Internacionales de Auditora y Control de CalidadNo. 315, prrafo 4C. Edicin 2011.2 Asociacin de Auditora y Control de Sistemas de Informacin (ISACA por sus siglas en ingls), COBIT 5.0 un marco de negociopara el gobierno y la gestin de TI de la empresa. Pg. 90, Edicin 2012.

4formales y verificables (a veces denominados en conjunto formacin profesional continua o FPC) o a travsde una actividad de aprendizaje no formalizada.3

Procedimientos de valoracin del riesgo: procedimientos de auditora aplicados para obtenerconocimiento sobre la entidad y su entorno, incluido su control interno, con el objetivo de identificar y valorarlos riesgos de incorreccin material, debida a fraude o error, tanto en los estados financieros como en lasafirmaciones concretas contenidas en stos.

Riesgo informtico: se refiere a la incertidumbre existente por la posible realizacin de un sucesorelacionado con la amenaza de dao respecto a los bienes o servicios informticos.

Tecnologa de informacin y comunicacin: trmino de uso general que hace referencia a todos loselementos que se encuentren involucrados en torno al ordenador (computadora), entre ellos se destacan elhardware y el software.

1.3 Clasificacin

1.3.1 Clasificacin de la auditora4

Existen muchos tipos de auditora, pero dentro de todas ellas se mencionan las siguientes:

Por su lugar de origenEsta se refiere a la forma en que se realiza este tipo de trabajos y tambin como se establece la relacinlaboral en las empresas donde se llevar a cabo.

a) Externa: este tipo de auditora la realizan auditores totalmente ajenos a la empresa, por lo menos en elmbito profesional y laboral. Algunos autores lo asemejan con la de estados financieros, debido a queofrecen fe pblica de las opiniones efectuadas sobre la razonabilidad de las cifras expresadas en losmismos, y cuya caracterstica esencial es que no reciben indicaciones, en cuanto a su actuacinprofesional, de ningn nivel jerrquico dentro de la organizacin auditada; limitndose en ltima instancia

3 Federacin Internacional de Contadores (IFAC por sus siglas en ingls). Normas Internacionales de Formacin (IES 2), pg.11,Edicin 2008.4 Muoz Razo, Carlos. (2002). Auditora en Sistemas Computacionales Primera Edicin. Estado de Mxico, Mxico. PearsonEducacin de Mxico, S.A. de C.V., Prentice-Hall. Pg. 12.

5al compromiso explcito de proporcionar un dictamen a la medida de las necesidades de la entidad. Eneste sentido, es importante destacar que esta clasificacin puede adoptar una diversa gama derevisiones y pertenecern nicamente cuando no exista una vinculacin de beneficios a los empleadosde corto plazo tales como sueldos, salarios, aportaciones a la seguridad social, etc.

b) Interna: la relacin de trabajo es directa y subordinada a la institucin donde se ejecutar la revisin.

Por su rea de aplicacinSe enfocan al mbito especfico donde se llevan a cabo las actividades y operaciones que sern auditadas.

a) Financiera: es la revisin de los estados financieros de una entidad econmica, cuyo objetivo es expresaruna opinin independiente sobre la razonabilidad de las cifras presentadas en ellos.

b) Fiscal: evaluacin que se realiza a las empresas con el fin de emitir una opinin relacionada alcumplimiento de las obligaciones tributarias formales y sustantivas de los contribuyentes.

c) Administrativa: examen sistemtico, exhaustivo que se realiza a la actividad administrativa de unaentidad, en cuanto a su organizacin, las relaciones entre sus integrantes, el cumplimiento de lasfunciones y actividades que regulan sus operaciones.

d) Operacional: revisin de las actividades de una empresa, con el fin de evaluar su existencia, suficiencia,eficacia, eficiencia y el correcto desarrollo de sus operaciones.

e) Integral: evaluacin exhaustiva, sistemtica y global a todas las actividades y operaciones de unaentidad.

f) Informtica: el propsito fundamental es evaluar el uso adecuado de los sistemas para el correctoingreso de los datos, el procesamiento adecuado de la informacin y la emisin oportuna de susresultados en la entidad.

g) Ambiental: revisin que se hace de la calidad del aire, la atmsfera, el ambiente, las aguas, ros, lagos,ocanos, as como de la conservacin de la flora y la fauna silvestre, con el fin de dictaminar sobre lasmedidas preventivas, o en su caso correctivas que disminuyan y eviten la contaminacin.

1.3.2 Clasificacin de los controles de TIAl ser diseados, desarrollados e implantados deben ser completos, simples, fiables, adecuados y rentables,evaluando siempre el costo-beneficio de la implementacin. Histricamente, los controles relativos a lainformtica se han clasificado de la siguiente manera:

6a) Preventivos: los destinados en evitar anticipadamente el surgimiento de sucesos indeseables, talescomo software de seguridad que impida los accesos no autorizados al sistema.

b) Detectivos: conjunto de procedimientos encaminados en identificar eventos no deseados en elmomento que suceden. Entre ellos se encuentra la bitcora de registro de intentos no autorizados y elregistro de la actividad diaria para detectar errores u omisiones.

c) Correctivos: aquellos mecanismos encargados en revertir el efecto ocasionado por los eventos nodeseados. Un control comn de este tipo es aquel encargado en la recuperacin de un archivo daadoa travs de la copia de seguridad o backup.

1.3.3 Clasificacin de los riesgos.a) Inherente: tendencia de un rea de tecnologa de informacin a cometer un error que podra ser

material, en forma individual o en combinacin con otros, suponiendo la inexistencia de controlesinternos relacionados. Entre ellos se encuentra el riesgo asociado a la seguridad del sistema operativo,representado por cambios no autorizados en los parmetros de configuracin y acceso.

b) De control: situacin en donde un error, que podra cometerse individualmente o combinado con otros,no pueda ser evitado y corregido oportunamente por el sistema de control interno. Este tipo de riesgospuede estar asociado a las revisiones manuales de registros, los cuales son normalmente altos, debidoa que las actividades que requieren investigacin a menudo se pierden con facilidad por el volumen deinformacin registrada.

c) De deteccin: el que se produce cuando los procedimientos sustantivos del auditor no detectan unerror que podra ser material, individualmente o en combinacin con otros. Dentro de estos seencuentran los riesgos asociados a la identificacin de violaciones de la seguridad en un sistema deaplicacin, debido a que en el transcurso de la auditora, los registros de todo su perodo no seencuentran disponibles. Estos se encuentran asociados con la falta de procedimientos dirigidos a larecuperacin ante desastres, dado que su existencia puede verificarse con facilidad.

Controles internos para contrarrestar el riesgo de fraudeLa informacin es el recurso ms importante en toda rea informtica, por esta razn es de sumaimportancia aquellos controles que se encuentren establecidos para minimizar los efectos del fraude omanipulacin de datos. La seguridad del control debe existir en distintos aspectos tales como los accesos

7al sistema, los resultados obtenidos y el procesamiento de los datos. Estos controles se presentan en formade procedimientos, tcnicas y mtodos de prevencin.Los controles informticos son clasificados en generales y de aplicacin, en la tabla 1 se encuentra cadauno de ellos debidamente explicado:

Tabla 1. Controles informticos

Categoras de los controles generales y de aplicacinTipo decontrol

Categora de control Ejemplo de control

Controlesgenerales

Administracin de la funcin de TI El jefe de servidos de informacin o el director de TI reportaa la alta administracin y al consejo

Separacin de responsabilidades de TI Se separan las responsabilidades de programacin,operaciones y control de informacin

Desarrollo de sistemasLos equipos de usuarios, analistas de sistemas yprogramadores desarrollan y prueban perfectamente elsoftware

Seguridad fsica y en lnea

Se restringe el acceso al hardware. Las contraseas y lasidentificaciones de usuario limitan el acceso al software y alos archivos de informacin, la encriptacin y los firewallprotegen de personas externas la informacin y losprogramas

Respaldo y planeacin decontingencias

Constantemente en el ao se preparan y prueban los planesescritos de respaldo

Controles de hardware La falla en la memoria o en el disco duro origina mensajesde error en el monitor

Controlesde

aplicacin

Controles de entradas Las pantallas formateadas de antemano muestran los datosdel personal que debern ingresarse

Controles de procesamiento Las pruebas de razonabilidad revisan los precios unitariosde venta utilizados para procesar la venta

Controles de salidas El departamento de ventas desarrolla una revisin posterioral procesamiento de las operaciones de venta

Fuente: Alvin A. Arens, Randal J. Elder, Mark S. Beasley. (2007). Auditora un Enfoque Integral. 11Edicin. Mxico. Pearson Educacin de Mxico, S.A. de C.V., Prentice-Hall. (Pgina 349).

1.3.4 Clasificacin de los riesgos de incorreccin materialExisten dos principales categoras de este tipo de amenazas presentes en los estados financieros, ellos sonlos errores y el fraude, a continuacin se muestra una breve descripcin de los mismos:

8ErroresSon las omisiones o inexactitudes en los estados financieros de una entidad, para uno o ms periodos,resultantes de un fallo al emplear informacin que estaba disponible en el periodo que fueron realizados.Algunos de los ms comunes en los estados financieros son:

a) Errores aritmticosb) Errores en la aplicacin de polticas contablesc) Inadvertencia o mala interpretacin de hechos.

FraudeSon todas aquellas omisiones o inexactitudes que en forma intencional afectan los estados financieros deuna entidad. A su vez, se clasifica en los siguientes conceptos:

Informacin financiera fraudulenta.Son aquellas omisiones o inexactitudes expresadas en los estados financieros con el propsito de engaara los usuarios. En mayor medida, estos fraudes son relacionados en el importe del saldo de ciertas cuentasms que de las revelaciones.

Apropiacin indebida de activosImplica la sustraccin de los activos de una entidad especfica, que por lo general es desarrollado por partede empleados y la direccin. Puede adoptar diversas modalidades, tales como: malversacin de ingresos,sustraccin de activos fsicos de la entidad, uso de los activos de la empresa para uso personal.

Ambos tipos de fraude obedecen a la existencia de tres condiciones en particular, que al cumplirse, facilitala aparicin de estas inexactitudes en la informacin. El primero de ellos son los incentivos/presiones, loscuales son categorizados como un beneficio esperado por aquellos posibles actores fraudulentos; elsegundo se representa por la oportunidad, a travs la viabilidad de cometer el hecho la administracin y/oempleados pueden considerar la posibilidad de realizarlo; y el tercero bajo la figura deactitudes/racionalizacin, que constituye la existencia de un carcter o conjunto de doctrinas que conllevaal sujeto a desarrollar un fraude.

91.4 Caractersticas de los controles de tecnologa de la informacin5

El control interno de TI, debe cumplir al menos con las siguientes caractersticas:a) Oportuno: es la esencia del control y consiste en que los resultados obtenidos por su aplicacin

sean percibidos justo a tiempo.b) Cuantificable: toman valores numricos y/o porcentuales, de tal manera que se pueda conocer el

grado de cumplimiento de los resultados obtenidos contra los resultados esperados en algnmomento futuro.

c) Calificable: medibles en trminos de cualidad, los cuales pueden ser aplicados para identificar elgrado de cumplimiento que posean en cuenta los resultados esperados.

d) Confiable: los controles deben ofrecer resultados correctos, libres de cualquier error, alteracin odesviacin.

e) Estndares y normas de evaluacin: debern compararse con algn marco de referencia dealguna normativa previamente establecida. Esto permite una estandarizacin y una adecuadaapreciacin de los valores obtenidos.

1.5 Principales riesgos de tecnologa de informacin.a) Generales

El fcil acceso a la informacin, debido al rpido avance de la tecnologa ha generado que las entidadeshagan un uso ms frecuente de la informtica, por lo cual se han presentado situaciones tales como:

Problemas de confidencialidad: accesos no autorizados a informacin confidencial, paraobtener copias piratas de programas, modificar datos de aplicaciones ya sea en provechopropio o como sabotaje, modificacin de datos (como nminas, expedientes, destruccin deinformacin).

Utilizacin indebida del ordenador: juegos, trabajos particulares y/o para otra entidad.

5 Muoz Razo, Carlos. (2002). Auditora en Sistemas Computacionales Primera Edicin. Estado de Mxico, Mxico. PearsonEducacin de Mxico, S.A. de C.V., Prentice-Hall. Pg. 102

10

Cadas o congelamiento de los sistemas, si un sistema de informacin deja de funcionar, secrea normalmente un gran problema que puede ser tan grave que lleve a la paralizacincompleta de operaciones en una organizacin.

Dependencia de sistemas o programas que procesen los datos de una manera no exacta o queprocesen datos no exactos, o ambas cosas.

La posibilidad de que personal de TI obtenga privilegios de acceso ms all de los necesariospara desempear sus deberes asignados, faltando, por lo tanto, a la segregacin de deberes.

Cambios no autorizados a datos en los archivos maestros 6

b) Relevantes para una auditora de estados financierosSi bien la informtica puede reforzar el control interno de una compaa, tambin puede afectar su riesgode control global. Muchos asociados con los sistemas manuales se reducen y en algunos casos se eliminan.Sin embargo, se crean nuevas amenazas y pueden dar paso a importantes prdidas si son ignoradas. Unadebilidad inminente es la incapacidad para recuperar registros importantes producidos por la falla en lossistemas de informacin, o el uso de datos no confiables debido a errores de procesamiento a causa dedicha tecnologa, podra paralizar a las organizaciones. Estos riesgos aumentan la probabilidad de erroresimportantes en los estados financieros que debe considerar la administracin, y sobre todo el auditor.7 Acontinuacin se presentan los principales riesgos importantes especficos al rea de TI importantes en unaauditora de estados financieros, estructurados bajo los componentes comunes de una auditora de sistemascomo:

Niveles de seguridad

Fsica: sin una apropiada proteccin fsica, el hardware o el software pueden no funcionar. Por consiguiente,es importante proteger al hardware y al software de forma fsica y proteger de algn dao fsico a la

6 Cornejo Prez, Mario Hernn. Tecnologa de informacin en el contexto profesional del contador pblico, en Revista bacoContable, (San Salvador, No. 2, 2008), pg. 4.7 Alvin A. Arens, Randal J. Elder, Mark S. Beasley. (2007). Auditora un Enfoque Integral. Decimoprimera edicin. Estado de

Mxico, Mxico. Pearson Educacin de Mxico, S.A. de C.V., Prentice-Hall. Pg. 347.

11

informacin relacionada que pudiera resultar del uso inapropiado, sabotaje, o dao causado por el medioambiente (como fuego, calor, humedad o agua).

Pistas de auditora: dado que la mayora de la informacin se introduce directamente a la computadora, latecnologa a menudo reduce o incluso elimina los documentos de origen y los registros que permiten a laorganizacin rastrear la informacin contable. A estos documentos y registros se les llama registro deauditora.

Acceso no autorizado: con frecuencia, los sistemas de contabilidad basados en TI permiten el acceso enlnea a la informacin en archivos maestros y otros registros guardados de forma electrnica. Dado que elacceso en lnea puede ocurrir en forma remota desde varios puntos, incluso por personas externas conacceso remoto a travs de internet, existen posibilidades de un acceso ilegtimo.

Separacin de tareas menores: a medida que las organizaciones convierten sus procesos manuales acomputarizados, las computadoras ejecutan muchas tareas que tradicionalmente estaban separadas, talescomo la autorizacin y la tenedura de libros. Por lo tanto, la combinacin de actividades de diferentes partesde la organizacin centraliza las responsabilidades que antes por costumbre estaban divididas. El personalcon acceso al software y a los archivos maestros podra estar en posibilidades de robar activos a menosque las principales funciones estuvieran separadas de forma adecuada.

Percepcin de usuarios

Reduccin de la participacin humana: en la mayora de los entornos informticos, los empleados quemanejan el proceso inicial de las operaciones nunca ven los resultados finales. Por lo cual, son los menoscapaces de percibir los errores. Pero incluso si vieran los resultados, sera difcil apreciar las fallas dado questos se presentan sumamente resumidos.

Funcionamiento

Errores sistemticos contra errores al azar: a medida que las organizaciones reemplacen losprocedimientos manuales por procedimientos basados en la tecnologa, disminuirn los riesgos de erroresaleatorios. Sin embargo, la incidencia de un error sistemtico se incrementa dada la uniformidad del

12

procesamiento de las computadoras. Una vez que los procedimientos se programan en un software decmputo, ste procesa la informacin de forma consistente para todas las operaciones hasta que losprocedimientos programados se cambian. No obstante, los defectos de programacin de software ycualquier cambio en ella afectan la confiabilidad en el procesamiento computarizado, lo que origina varioserrores importantes.

Entrada de datos: es comn que en los sistemas avanzados de TI, ciertos tipos de operaciones seaniniciadas de forma automtica por la computadora. Como es el caso del clculo de intereses para las cuentasde ahorro y el pedido de inventario cuando se alcanza el nivel preestablecido para hacerlo.

Planes de contingencia

Prdida de informacin: la mayora de la informacin bsica en un entorno tecnolgico se guarda enarchivos electrnicos centralizados. Cuando sta se centraliza, aumenta el riesgo de prdida o destruccinde archivos completos con severas consecuencias. Existen posibilidades de error en los estados financierosy en ciertos casos, la organizacin podra sufrir serias interrupciones en el negocio.

Necesidad de experiencia en TI: incluso cuando las compaas compran sistemas de cmputorelativamente sencillos que incluyen el software, es indispensable contar con personal con suficienteconocimiento y experiencia para instalarlo, mantenerlo y utilizarlo. A medida que el uso de estos recursosse incremente en las organizaciones, se necesitarn especialistas calificados. Muchas corporaciones creanuna funcin completa del personal que incluye a los programadores, operadores, supervisores de redes,responsable de los archivos, especialistas en aseguramiento de calidad y administradores de bases dedatos. Otras entidades contratan externamente la administracin de las operaciones del sistema deinformacin.

1.6 Tipos de metodologas para evaluacin de riesgos.Todas las metodologas desarrolladas y utilizadas en la auditora y el control interno, se pueden agrupar endos grandes familias, estas son:8

8 Velthius Mario Piattini, Navarro Emilio del Peso, Ruiz Mar del Peso (2008). Auditora de Tecnologa y Sistemas de Informacin.Madrid, Espaa. RA-MA Editorial. Pg. 60.

13

1.6.1 Metodologa cuantitativa.Diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por tenerasignados valores numricos. Estos valores en el caso de metodologas de anlisis de riesgos o de planesde contingencia, son datos de probabilidad de ocurrencia (riesgo) de un evento y que se deben extraer deun registro de incidencias donde el nmero de ellas tienda al infinito o sea suficiente grande. Entre loscoeficientes ms usados se encuentra el llamado ALE (Annualized Loss Expentacy), expectativa deprdida anual, resultado de multiplicar la prdida mxima posible de cada bien o recurso por la amenazacon probabilidad ms alta.

Este modelo tiene dos inconvenientes principales, la primera es la debilidad de los datos de la probabilidadde ocurrencia y por los pocos registros de incidentes y la segunda es la dificultad de evaluareconmicamente todos los impactos que pueda acaecer.

1.6.2 Metodologa cualitativa.Se refiere a la utilizacin de formas descriptivas para presentar la magnitud de consecuencias potencialesy la posibilidad de ocurrencia. Se disean escalas ajustadas a las circunstancias de acuerdo a lasnecesidades particulares de cada organizacin o el concepto particular del riesgo evaluado.

Para el anlisis de la probabilidad, se deben establecer las categoras a utilizar y la descripcin de cada unade ellas, con el fin de que cada persona que aplique la escala mida a travs de ella los mismos tems:

ALTA: es muy factible que el hecho se presente.

MEDIA: es factible que el hecho se presente.

BAJA: es muy poco factible que el hecho se presente.

Para el anlisis del impacto, el mismo diseo puede aplicarse para la escala de medida cualitativa,estableciendo las categoras y la descripcin, as:

ALTO: los niveles de impacto/efecto son elevados para la entidad. De tal manera que lasoperaciones normales del negocio podran verse suspendidas o paralizadas.

14

MEDIO: cuando el nivel de impacto tiene consecuencias moderadas a la institucin. A travs decostos econmicos considerables pero sin detener el curso normal de las actividadesempresariales.

BAJO: en donde el efecto presenta resultados bajos o imperceptibles hacia la entidad. Presentadoscomnmente como aquellos aspectos en donde el nivel de riesgo identificado es aceptable porparte de la administracin y auditor.

1.7 Ventajas y limitantes en la consideracin de riesgos informticos en una auditora de estadosfinancieros.

1.7.1 VentajasLa informacin obtenida al momento de considerar estos riesgos pueden proporcionar las siguientesventajas para el auditor de estados financieros:

Establece incongruencias entre la estrategia existente en las tecnologas de informacin que posee laentidad y sus estrategias del negocio de acuerdo a COBIT 5.0; sustenta valoraciones de riesgos deincorreccin material, relativas al uso de hardware y software segn NIA 315; obtiene evidencia de auditoraacerca de la eficacia operativa de los controles internos relacionadas a la informacin financiera e identificainconsistencias debidas a errores o fraude informticos.

En la planeacinEn la identificacin de las reas en las que puede resultar necesaria una consideracin especial de laauditora; por ejemplo, en la adecuacin de la aplicacin, por parte de la direccin, de la hiptesis deempresa en funcionamiento, o en la consideracin de la finalidad empresarial de las transacciones.

Dentro de la fase de planeacin se observan las siguientes ventajas al considerar los riesgos de tipoinformtico:

a) Ayudan en la correcta determinacin del alcance de los procedimientos sustantivos segn NIA 300.b) Mejoran la eficiencia en el proceso de auditora, en el sentido de realizar aquellos procedimientos

suficientes de acuerdo al sistema informtico del cliente conforme a NIA 300.c) Priorizan reas que ostenten debilidades de control interno relacionadas al computador.

15

1.7.2 LimitantesSin la adecuada consideracin de este tipo de riesgos, que tienen impacto significativo en las cifraspresentadas en los estados financieros, los auditores financieros poseen dificultades para cumplir la basetcnica establecida en las Normas Internacionales de Auditora; al omitir la evaluacin de las reas crticas,debilidades o riesgos de informtica, el trabajo del profesional queda limitado a confiar, dar por correctos ocreer en el funcionamiento de los controles generales y de aplicacin de los sistemas computacionales.

Por otro lado, el auditor que excluye estos riesgos en el desarrollo de la fase de planeacin de auditora,est imposibilitado de comunicar las debilidades del control interno que puedan existir a nivel informtico;asimismo carece de las herramientas para detectar la presencia, ocurrencia o hechos relacionados con lasrepresentaciones errneas de importancia relativa debido a fraude o error.

1.8 Principales respuestas a la evaluacin de riesgos en tecnologas de informacinDebido a que las amenazas reales informticas se presentan en forma compleja y son difciles de predecirse vuelve necesario considerar metodologas para medirlas eficazmente. Aunque estas que se relacionancon anlisis de riesgos se utilizan desde los aos 80, los registros estadsticos de incidentes son escasos ypor tanto el riesgo cientfico de los clculos probabilsticos es pobre.

La adecuada identificacin y evaluacin de los riesgos informticos permite tomar acciones tales como:evitarlos, transferirlos, reducirlos y asumirlos. Los tres primeros van acompaados de actuacionestraducidas por medio de controles o contramedidas, el ltimo mencionado es lo que se hace si no se controlael riesgo en absoluto. A continuacin se ampla sobre las posibles respuestas a los riesgos identificados:

a) Evitarlos: apartarse, alejarse, excluir la situacin o evento que generar el riesgo cuando seaposible, a travs de la instalacin de un nuevo sistema contable, porque se conoce que poseeerrores o fallas.

b) Transferirlos: trasladar o compartir la amenaza con otros, tal como adquirir equipo informtico bajola figura de arrendamiento financiero, para cargar al arrendatario las posibles prdidas porobsolescencia.

c) Reducirlos: minimizar, mitigar o disminuir el riesgo, por medio de la adquisicin de licencias desoftware antivirus, firewall, antispyware para contrarrestar los efectos de los virus, spyware,ataques externos, software malicioso.

16

d) Asumirlos: aceptar el riesgo, cuando el gobierno corporativo considera que la situacin como estaes la mejor alternativa, representado comnmente en la negativa de recibir soporte tcnico y/oactualizaciones de seguridad, mejoras a los sistemas de uso de oficina para hojas de clculo,presentaciones, sistemas contables computarizados, por la decisin de la administracin de usarsoftware sin licencia cuando el auditor desconoce de TI.

1.9 Base tcnicaEn la tabla 2 se muestran los aspectos tcnicos relacionados a la identificacin y evaluacin de riesgos alsistema de informacin en el proceso de una auditora de estados financieros.

Tabla 2. Aspectos tcnicos relacionados a la identificacin y evaluacin de riesgos de TI en elproceso de una auditora de estados financieros.

Base tcnica Descripcin Fecha devigencia

Norma Internacional deFormacin No. 2 (IES 2):

contenido de los programasprofesionales de formacin en

contadura.

Esta normativa prescribe el marco de referencia de los programasprofesionales de formacin en contadura que los aspirantes debenadquirir para ser calificados como contadores profesionales. Comoobjetivo principal, establece que los aspirantes a participar en unorganismo miembro de IFAC posean conocimientos contablesavanzados suficientes para poder actuar como contadoresprofesionales competentes en un entorno cada vez ms complejoy cambiante.

De acuerdo a esta normativa, el conocimiento principal en losprogramas profesionales de formacin en contadura puededividirse en tres aspectos importantes:

a) contadura, finanzas y conocimientos relacionados;b) conocimiento organizacional y de negocios; yc) conocimiento de tecnologa de la informacin y

competencias.

01 deenero del

2005.

Declaracin Internacional dePrcticas Educativas No. 2(IEPS 2): tecnologa de la

Desarrolla, ampla y estructura los principales conocimientos paradarle cumplimiento a la IES 2, en el aspecto conocimiento detecnologa de informacin y competencias, suministra unadireccin para los organismos miembros de la IFAC y otroseducadores en la implementacin en relacin a los componentes

01 deoctubre de

2007.

17

informacin para contadoresprofesionales

de conocimientos informticos de los programas educativos decontabilidad profesional precalificada.

Objetivos de Control paraTecnologas de Informacin oRelacionadas (COBIT 5). Un

marco de negocio para elgobierno y la gestin de las

TI de la empresa

Describe cinco principios y siete catalizadores que dan soporte alas empresas en el desarrollo, implementacin, mejora continua ysupervisin de buenas prcticas relacionadas con el gobierno y lagestin de TI

Se basa en cinco principios:

1. Satisfacer las necesidades de las partes interesadas2. Cubrir la empresa extremo a extremo3. Aplicar un marco de referencia nico integrado4. Hacer posible un enfoque holstico5. Separar el gobierno de la gestin

Siete catalizadores:

1. Procesos2. Informacin3. Estructuras organizativas4. Principios, polticas y marcos5. Cultura, tica y comportamientos6. Personas, habilidades y competencias7. Servicios, infraestructura y aplicaciones

2012

Normas Internacionales de Auditora

NIA Descripcin Fecha devigencia

240: responsabilidades delauditor en la auditora deestados financieros conrespecto al fraude

Esta norma trata el modo de aplicar la NIA 315 y la NIA 330 enrelacin con los riesgos de incorreccin material debidos al fraude

15 dediciembrede 2009.

265: comunicacin de lasdeficiencias en el controlinterno a los responsables del

Trata de la responsabilidad que tiene el auditor de comunicaradecuadamente, a los responsables del gobierno de la entidad y ala direccin, las deficiencias en el control interno que haya

15diciembrede 2009.

18

gobierno y a la direccin de laentidad

identificado durante la realizacin de la auditora de los estadosfinancieros.

Al realizar la identificacin y valoracin del riesgo de incorreccinmaterial el auditor debe obtener conocimiento del control internorelevante para la auditora

300: planificacin de laauditora de estadosfinancieros

Menciona la responsabilidad del auditor en desarrollar un plan deauditora, el cual debe incluir una descripcin de:

a) la naturaleza, el momento de realizacin y la extensinde los procedimientos planificados para la valoracin delriesgo, como determina la NIA 315

b) la naturaleza, el momento de realizacin y la extensinde procedimientos de auditora posteriores planificadosrelativos a las afirmaciones, tal como establece la NIA330

15diciembrede 2009.

315: identificacin y valoracinde los riesgos de incorreccinmaterial mediante elentendimiento de la entidad yde su entorno

Trata de la responsabilidad que tiene el auditor de identificar yvalorar los riesgos de incorreccin material en los estadosfinancieros, mediante el conocimiento de la entidad y de su entorno,incluido el control interno de la entidad.

El sistema de informacin, incluidos los procesos de negociorelacionados, relevante para la informacin financiera y lacomunicacin, entre el entorno de TI relevante para la auditora elauditor puede considerar los siguientes:

1. Un sistema de informacin est constituido por unainfraestructura (componentes fsicos y de hardware), software,personas, procedimientos y datos. Muchos sistemas deinformacin hacen un amplio uso de las tecnologas de lainformacin (TI).

2. El sistema de informacin relevante para los objetivos de lainformacin financiera, que incluye el sistema de informacinfinanciera, engloba los mtodos y registros que:

identifican y registran todas las transaccionesvlidas;

describen las transacciones oportunamente consuficiente grado de detalle para permitir su correctaclasificacin a efectos de la informacin financiera;


19

miden el valor de las transacciones de un modo quepermite que su valor monetario correcto se registreen los estados financieros;

determinan el periodo en el que se han producido lastransacciones con el fin de permitir su registro en elperiodo contable correcto;

presentan adecuadamente las transacciones y lacorrespondiente informacin a revelar en losestados financieros.

3. La calidad de la informacin generada por el sistema influyeen la capacidad de la direccin de tomar las decisionesadecuadas en materia de direccin y control de las actividadesde la entidad, as como de preparar informes financierosfiables.

4. La comunicacin, que implica proporcionar conocimiento delas funciones y responsabilidades individuales del controlinterno sobre la informacin financiera, puede adoptar la formade manuales de polticas, manuales contables y deinformacin financiera y circulares. La comunicacin tambinpuede ser realizada por va electrnica, verbal y a travs delas actuaciones de la direccin.

330: respuestas del auditor alos riesgos valorados

Menciona el diseo e implementacin de respuestas a los riesgosde incorreccin material identificados y valorados por el auditor deconformidad con la NIA 315


620: utilizacin del trabajo deun experto

Trata de las responsabilidades que tiene el auditor respecto deltrabajo de una persona u organizacin en un campo deespecializacin distinto al de la contabilidad o auditora, cuandodicho trabajo se utiliza para facilitar al auditor la obtencin deevidencia de auditora suficiente y adecuada.


Fuente: Elaboracin propia.

1.10 Base legalLa tabla 3 presenta aquellos aspectos legales relacionados con la auditora.

20

Tabla 3. Aspectos legales relacionados con la auditora.

Base legal Descripcin Fecha devigencia

Ley Reguladora delEjercicio de la

Contadura Pblica yAuditora

Tiene por objeto regular el ejercicio de la profesin de la contadurapblica, la funcin de auditora y los derechos y obligaciones de laspersonas naturales o jurdicas que las ejerzan.

Abril de2000.

Cdigo de ComercioMenciona en el art. 290 que la vigilancia de los contadores pblicos serejercida por un consejo de vigilancia que tendr la organizacin yatribuciones que dicha ley le confiera.

Mayo de1970.

Cdigo Tributario

El Art.107 permite el uso de sistemas computarizados para la emisin detiquetes en sustitucin de factura, as mismo, en la elaboracin dedocumentos electrnicos (formulario nico).

Es mencionada en el Art.113 las normas administrativas sobre la emisinde documentos, en la que facilitan la sustitucin de los formulariosmanuales por formularios electrnicos.

Dentro del Art.115 se expone la necesidad de solicitar autorizacin a laadministracin tributaria sobre el uso de sistemas computarizados parala emisin de tiquetes en sustitucin de facturas.

Establece en su Art.139 que la contabilidad podr llevarse en formamanual o mediante sistemas computarizados.

Los registros que deben llevar los contribuyentes del IVA son detalladosen el Art.140, en l menciona que pueden ser llevados a travs desistemas mecanizados o computacionales de contabilidad

As mismo, el art. 147 hace referencia a que cuando la contabilidad seallevada en forma computarizada, debern conservarse los mediosmagnticos que contengan la informacin, al igual que los respectivosprogramas para su manejo por un lapso de diez aos.

El Art.173 menciona que la administracin tributaria tiene facultades defiscalizacin, inspeccin, investigacin y control sobre los sistemas defacturacin autorizados por tal institucin gubernamental.

Enero de2001.


21

CAPTULO II: METODOLOGA DE INVESTIGACIN

2.1 Tipo de estudioEl tipo de estudio se realiz en base al mtodo hipottico deductivo ya que este permite la formulacin dehiptesis, las cuales son confrontadas con los hechos reales. Estas hiptesis plantean la relacin entre dosvariables y adems proponen un sentido de entendimiento entre ellas. Por lo anterior se pretende explicary describir si en la actualidad existe alguna forma de identificar y evaluar los riesgos de control interno delas tecnologas de informacin que inciden en la informacin financiera y como esta impacta en la planeacinde una auditora externa.

2.2 Unidad de anlisisPara la investigacin, el estudio se dirigi a los auditores que laboran en las firmas con personera jurdicade El Salvador y que prestan servicios de auditora financiera, con el propsito de recabar informacin encuanto a la inexistencia de procedimientos para la identificacin y evaluacin de los riesgos informticos enla fase de planeacin.

2.3 Universo y muestra

2.3.1 UniversoEstuvo conformado por las personas jurdicas ubicadas en El Salvador dedicadas a la prestacin deservicios de auditora, las cuales de conformidad al registro manejado por el Consejo de Vigilancia de laProfesin de Contadura Pblica y Auditora (CVPCPA), representan un total de 308 al 31 de enero de2013. (Ver anexo 1)

2.3.2 MuestraDe acuerdo al universo establecido se emple una muestra probabilstica tomando en cuenta una poblacinfinita, desarrollada sobre la base de procedimientos estadsticos. Para la seleccin de la muestra se utilizel mtodo aleatorio simple, que consiste en que todos los elementos de la poblacin tienen la mismaprobabilidad de ser escogidos.

Determinacin de la muestraLa muestra se determin mediante la siguiente frmula:

22

= .p. q. N(N 1). + . p. qDnde:

= Tamao de la muestra

= Tamao de la poblacin

= Valor crtico correspondiente a un coeficiente de confianza con el cual se desea hacer la investigacin.

(Para una confianza del 95%, = 1.96)

= Probabilidad de ocurrencia del evento (95% 0.95)= Probabilidad de no ocurrencia del evento (1 1 - 0.95 = 0.05)= Error mximo tolerable (5% 0.05)

Por lo tanto:= (1.96) . (0.95). (0.05). (308)(308 1). (0.05) + (1.96) . (0.95). (0.05)= 56.2026080.7675 + 0.182476= 56.2026080.949976= . Aproximado = 59

2.4 Instrumentos y tcnicas de investigacinEl instrumento utilizado fue la encuesta con preguntas cerradas y abiertas dirigidas especialmente aauditores para obtener informacin que contribuy al diagnstico de la investigacin, de las firmas conpersonera jurdica de El Salvador.

23

Dentro de las tcnicas utilizadas se encuentran: el anlisis bibliogrfico el cual consiste principalmente enla recopilacin y clasificacin de la informacin existente contenida en libros, tesis, folletos, sitios web, entreotros. Con el fin de adquirir el conocimiento terico bsico para la investigacin; y finalmente, la observacincon la cual se pretendi que la investigacin de campo llegase a comprobar que ocurre con la identificaciny evaluacin de riesgos de TI en la fase de planeacin de las auditoras de estados financieros por parte delas unidades de anlisis.

2.5 Recoleccin de informacin

2.5.1 Investigacin documental o bibliogrficaEl objetivo de esta fase fue determinar, los aspectos generales y especficos del tema, por medio de larevisin bibliogrfica existente. La informacin recolectada a travs de esta tcnica es el punto inicial de lainvestigacin y juega un papel importante para el lector, en el entendimiento de la diversidad de definiciones,para complementar el trabajo de campo.

2.5.2 Investigacin de campoEn esta etapa se ejecut el instrumento detallado anteriormente (ver 2.4) con el objetivo de validar que laproblemtica existe, as tambin para confirmar que las firmas sujetos de estudio no poseen la herramientaque se propone y se comprob la disposicin por parte de ellos en utilizarla para la solucin de laproblemtica encontrada. Esto permiti recolectar informacin relevante que fue procesada conposterioridad.

2.6 Procesamiento de la informacinSe utiliz la herramienta informtica de Microsoft office Excel 2013, para la preparacin de cuadrosestadsticos donde se mostraron las respuestas que se obtuvieron de las encuestas y observacin de lapoblacin que se someti al proceso de investigacin, en los cuales se vaciaron los datos y fueron tabuladospara presentarlos en grficos de pastel y/o de barras.

2.7 Anlisis e interpretacin de resultadosSe utilizaron grficos de pastel y/o de barras, con el objeto de mostrar con mayor claridad los resultadosobtenidos y as poder realizar las interpretaciones a dichos resultados.

24

La presentacin de la informacin resultante de las encuestas se realiz de la siguiente manera: en primerlugar la pregunta, luego se plantea el objetivo, posteriormente se presenta el cuadro de tabulacin dondese demuestra la frecuencia absoluta y relativa de los datos, en seguida se muestra el grfico yconcluyndose con el anlisis respectivo a cada pregunta. (Ver anexo 3).

2.8 DiagnsticoEl mtodo que se propuso para abordar la investigacin contiene dos etapas: en la primera fase la aplicacindel mtodo cualitativo, fue til durante el acercamiento que tuvo el fin de constatar por medio de lasencuestas que se entregaron a los auditores de las firmas con personera jurdica de El Salvador. En lasegunda, se utiliz el mtodo cuantitativo, para analizar la informacin que se gener durante la recepciny captura de las encuestas que fueron contestadas por los profesionales que laboran en las entidadesinvestigadas.

La investigacin permiti conocer que la mayor parte de firmas trabajan con clientes en donde la informacinfinanciera es procesada a travs del uso de TI, en tal sentido, se ha logrado obtener informacin relevantede como aplican la NIA 315, en lo relativo a la identificacin y evaluacin de riesgos de tecnologa.

En seguida se presenta en forma detallada el resultado obtenido, dividido en tres subtemas importantes:influencia de la tecnologa en los auditados, educacin continuada y utilidad del trabajo propuesto, loscuales se desarrollan a continuacin:

Influencia de las TI en los auditadosEn la investigacin se aprecia que un 83% de las firmas de auditora de El Salvador que realizan actividadesprofesionales afirman que la informacin financiera, el control interno y los procesos de negocio de susclientes dependen en algn grado de tecnologas de informacin y comunicacin; este factor, facilitampliamente el cumplimiento del objetivo establecido en el instrumento seleccionado, cuyo resultado seagrupa y detalla a continuacin:

Evaluacin del control internoCon respecto a la evaluacin del control interno de tecnologa, los auditores en la planeacin incluyenalgunos elementos relacionados con esta rea, sin embargo se aprecia que su enfoque est basado soloen la emisin de resultados (reportes), es decir a la salida de la informacin; la revisin de control sobre las

25

operaciones en los sistemas, enfocando sus esfuerzos slo en aquellas reas conocidas, dejando deverificar otros aspectos importantes como el procedimiento de entrada de datos, procesamiento y seguridaddel sistema. Las firmas que no lo incluyen en su estrategia de auditora lo relacionan a la falta de personalcapacitado, cuyo origen es una deficiente formacin acadmica y falta de herramientas tecnolgicasnecesarias para su verificacin, por lo que afirman se hace necesario el uso de un experto para evaluardichos aspectos.

Evaluacin de riesgos de TIEs de esperarse que la aplicacin de la evaluacin de riesgos en la planeacin de auditora, sea unporcentaje similar, parecido o no muy alejado de los resultados de la dependencia de la informtica en lasempresas, sin embargo y con base a la investigacin de campo solo una de cada tres firmas utiliza confrecuencia la consideracin de riesgos de tecnologa de informacin y comunicacin en la planeacin deauditora; estas firmas los realizan mediante metodologas generales como COSO, COSO-ERM, las demsutilizan el conocimiento establecido en COBIT.

Educacin continuada en las firmas de auditora.Las horas acreditadas de educacin continuada que ostentan las firmas de auditora, presentan una escasaintensidad en el rea informtica, esto trae como consecuencia dos aspectos importantes en el quehacerde los profesionales. En primer orden, la mayora no cumplen con los requerimientos tcnicos establecidosen IEPS 2, esto se debe a que no conocen el contenido de la normativa y en cierto modo, no tienen lasherramientas necesarias, educacin superior desactualizada, entre otros. En segundo orden, hace que lamayor parte de profesionales no utilicen tcnicas de auditora asistidas por computadora y por tanto, carecende limitaciones sistemticas para la identificacin y evaluacin de riesgos TI. Sin embargo, cabe destacarque existe en el pas un grupo reducido que hacen uso de estas tcnicas, las cuales se enfocan en softwareespecializado para el anlisis de pistas de auditora, tales como IDEA, ACL, WINAUDIT, NET SCAN, AS/2AUDIT SISTEMS y CAME AUDITORA.

Utilidad del trabajo propuesto.Como parte del proceso de evaluacin de control interno que las firmas realizan a las TI relevantes a lainformacin financiera de sus clientes, la misma investigacin de campo establece que ms del 50% de losauditores tienen mayores riesgos en la mala aplicacin de polticas contables e integridad de los datos como

26

posibles indicios de fraudes, esto se debe a que en la actualidad los usuarios se adaptan a los sistemas yno lo contrario.

Slo 1 de cada 10 firmas considera indispensable los conocimientos de informtica que muestra su personal,esto se debe a que al desarrollar evaluaciones a la tecnologa de sus clientes hacen uso de un experto,impidiendo el desarrollo de competencias exigidas por la normativa tcnica aplicable. Asimismo, 7 de cada10 firmas aclaran que en la actualidad el material es insuficiente para identificar y evaluar riesgos de TI, porconsiguiente el 97% considera necesario y til una metodologa que les oriente en la ejecucin de auditorasa la informacin financiera bajo un ambiente de sistemas computarizados, ya que al considerar dichaevaluacin en sus encargos se han visto en la necesidad de que al no contar con un instrumento bsico lesdificulta realizar su trabajo aplicado a normas.

27

CAPITULO III: DESARROLLO DEL CASO PRCTICO

3.1 Planteamiento para estudio del caso prctico.

Introduccin al estudio de casoEl presente caso prctico ha sido elaborado con el propsito de aplicar en el ejercicio profesional de losauditores, la metodologa para la identificacin y evaluacin de riesgos TI relevantes a la informacinfinanciera. En l se presenta informacin de la compaa, Recarga Directa, S.A. de C.V., la cual operaprincipalmente con recursos informticos en sus actividades ordinarias. Los siguientes apartados exponencomentarios sobre el estudio del caso para ejemplificar los hechos de la prctica.

Recarga Directa, S.A. de C.V.Recarga Directa es una compaa salvadorea dedicada a la compra venta de saldo para telfonos mvilesy megabytes (internet para celular), teniendo una imagen aceptable en el mercado. La compaa inicioperaciones el ao 1996, ha venido evolucionando su forma de comercializar, actualmente trabaja con lasempresas de telefona TIGO, DIGICEL, CLARO, TELEFONICA, quienes le proveen de tiempo aire parallamadas e internet.

Tendencias de la industriaLa industria de las telecomunicaciones por medio de celulares est en constante aumento y se debe a:

Costo relativamente barato de los dispositivos mviles

Facilidades de contratacin del servicio pre pago

Cobertura nacionalEsto permite que numerosas empresas se constituyan como intermediarios entre las empresas telefnicasy el consumidor final. Adems, las estrategias de mercadeo impulsan el ambiente de intercomunicacinmvil entre sus diferentes modalidades: lnea mvil, internet.

GobiernoLa entidad formada en 1996 es gobernada a travs de la junta general de accionistas, la cual establece lasmetas estratgicas en forma anual. Los miembros tienen domicilio en el extranjero, de nacionalidadguatemalteca y se dedican exclusivamente a la inversin en dos sociedades en particular.

28

Generalmente la junta requiere de los gerentes de un plan estratgico, el cual puede oscilar entre los 2 y 3aos, para el monitoreo del nivel de cumplimiento, los gerentes envan en forma mensual durante losprimeros 6 das hbiles de cada mes, los resultados econmicos y la situacin financiera de la empresa. Ental informacin, la junta evala aspectos como el rendimiento, liquidez, apalancamiento financiero, entreotros.

Asimismo, de forma anual ellos evalan los ndices de clima organizacional entre los empleados de laentidad, la cual es realizada a travs de encuestas y en forma confidencial. Establecen una cultura deservicio al cliente, denominada rab il, el cual consiste en dar un tratamiento preferencial tanto al clienteinterno como al externo. Entre tanto, han inculcado los valores organizacionales, centrndose en lahonestidad, orden, respeto y responsabilidad.

EmpleadosRecarga Directa, S.A. de C.V. cuenta con 25 empleados a su servicio, los que estn subdivididos en laforma siguiente:

Gerente generalTiene a cargo la representacin legal, y es el responsable directo ante la junta general de accionistas de losresultados econmicos de la compaa.

Gerente financieroEs responsable de la existencia de efectivo para los pagos de salarios, a proveedores y dems obligacionesque mantenga la empresa, asimismo de coordinar la correcta recuperacin de las ventas al crdito.

Gerente de recursos humanosMantiene una estricta vigilancia de los puestos de trabajo, asegurndose que tengan las cualidadesnecesarias que las funciones exigen, asimismo, establece capacitaciones al personal en caso de que elperfil ideal es distinto del real.

Contador generalManeja los registros contables de la entidad, prepara los estados financieros y vela por el cumplimiento delas obligaciones formales y sustantivas en trminos fiscales y financieros.

29

Auxiliares de contabilidadBrindan apoyo al contador general en aspectos de la contabilidad en general.

Gestores de cobrosApoyan a la gerencia financiera en la recuperacin de cartera de clientes, son los encargados de velarporque los plazos sean mantenidos segn lo establecen las polticas de crdito de cada cliente

Gerente de informticaEs el encargado de coordinar las adquisiciones, modificaciones, reparaciones y eliminaciones del recursoinformtico de software, hardware e informacin que la empresa utiliza para el desarrollo de sus actividades,as tambin, establece una constante vigilancia a cargo de los tcnicos en informtica.

Tcnicos en redes informticasResponsables de dar mantenimiento preventivo y correctivo ante los problemas comunes relacionados conel equipo informtico utilizado en el negocio de la entidad, como tambin para fines administrativos. Apoyanen la visita de cada kiosko en caso de algn desperfecto mecnico y comunican al jefe de informtica sobrelas necesidades de renovacin en cuestiones de hardware.

VendedoresPersonal destacado principalmente para entablar contratos con clientes para el uso y disposicin de equiposPOS y de Kioscos para expandir el nivel de cobertura de la compaa.

La empresa tiene la poltica de prohibir la contratacin de personal que sean familiares entre s, asimismoes penalizado cualquier tipo de relacin sentimental que exista entre ellos.

30

Diagrama organizacionalFigura 2: Estructura organizativa de Recarga Directa, S.A. de C.V.


PropiedadLa propiedad accionaria al 31 de diciembre de 2012* se describe a continuacin:

Empresa Propiedad accionariaRecarga Directa, S.A. de C.V. 75% Inversionista A

25% Inversionista BKioscos, S.A. de C.V. 75% Inversionista A

25% Inversionista B*Hasta la fecha la entidad no ha reportado ningn incremento/decremento en la propiedad accionaria.

Junta General deAccionistas

Gerente General

GerenteFinanciero

ContadorGeneral

Auxiliares deContabilidad

Gestores deCobro

Vendedores

Gerente deRecursosHumanos

Gerente deInformtica

Tcnicos eninformtica

AuditoraExterna

31

OperacionesLas principales operaciones de la empresa se caracterizan en brindar a sus clientes recargas electrnicaspara:

Llamadas en telfonos mviles.

Mensajes de texto.

Paquetes de datos (internet).

VentasExisten dos tipos de clientes con los cuales interacta la entidad, los comercios afiliados y consumidoresfinales.

El primer grupo realiza pedidos en forma de correo electrnico o va telfono. Para los despachos la entidadles provee de Terminales de Punto de Venta (POS por sus siglas en ingls) los cuales son utilizados paraque stos ltimos realicen recargas de saldo y/o paquetes directamente al consumidor final, de este modocuando la empresa obtiene los pedidos hay personal encargado que los asigna los pines o cdigos de lasdistintas denominaciones o series a cada POS, cada una de las entregas formalizadas hacia sus clientesson recibidas por medio de la tecnologa Servicio General de Paquetes de Radio (GPRS por sus siglas eningls); todas estas terminales vienen equipadas con un tarjeta SIM el cual lleva incorporada una cuotamensual de descarga de 3MB, la que es suficiente para recibir todos los pedidos que el cliente pueda realizaren un mes; estas tarjetas SIM son las mismas utilizadas por los telfonos mviles, de este modo, puedeninsertarse a los telfonos y realizar navegaciones de internet hasta consumir el lmite de descarga citadaanteriormente.

Existen restricciones de entrega, los cuales son mayormente cuando hay falta de pago por parte del cliente,en ciertas ocasiones, se dejan de entregar los saldos debido a falta de inventario electrnico disponible. Lafacturacin se realiza en forma inmediata al momento de la entrega del saldo/paquete, la documentacin desoporte generalmente consta en el correo electrnico o el reporte que los empleados encargados de laentrega emiten para constatar la recepcin de los mismos. Generalmente se cuenta con un crdito a 30 dascon todos los comercios afiliados, en tal sentido, el ciclo se cierra al momento de que los documentos llegana su vencimiento, en donde el encargado de cobros dispone del efectivo o cheques para completar laoperacin.

32

Para los clientes pertenecientes al segundo grupo la entidad ha adquirid terminales o kioskos para facilitarla venta de saldo y paquetes directamente al consumidor final. Estos utilizan tambin la tecnologa GPRSpara comunicarse directamente con el servidor y estn incorporados con un tarjeta SIM similar al utilizadopara los POS. Estos dispositivos permiten que el usuario interesado realice por cuenta propia las recargasdeseadas, mediante un novedoso y fcil sistema el cliente elige el tipo de recarga a realizar y en la cuantarequerida, el pago se hace en efectivo y ste obtiene un tiquete en sustitucin de factura. La entidad manejabolsones o cuentas de inventarios de recargas y/o paquetes de datos para cada compaa, todo consumidorfinal que haga uso de este sistema tiene acceso implcito al servidor en donde son resguardados todos losinventarios de saldos para telfonos mviles. Actualmente la entidad no realiza un monitoreo constante delos movimientos que se realizan en cada kiosco, nicamente se limitan a realizar cortes semanales en losque se recoleta el efectivo depositado en cada centro de servicio. Siendo este el final del ciclo para lasventas a consumidores finales.

Recursos humanosLa gestin de los recursos humanos es realizada directamente por el gerente de recursos humanos, al nocontar con asistentes es el responsable directo de realizar actividades de entrevista de aspirantes, induccina los puestos de trabajo, comunicacin de los valores organizativos, comunicacin de la cultura de servicioal cliente, y de suministro del correspondiente cdigo de tica al cual tienen todos los empleados laobligacin de cumplirlo.

NominasLos sueldos y salarios son pagados al personal cada quince das, la empresa mantiene la poltica de realizarprovisiones del pasivo laboral en concepto de vacaciones, aguinaldo, a excepcin de las indemnizacionesque son pagadas hasta que exista obligacin laboral real. Para el procesamiento de la informacin deplanillas la empresa lo realiza mediante hojas de clculo de EXCEL. El salario es pagado a travs del Bancode Amrica Central y es realizado mediante banca electrnica, en donde el auxiliar encargado de planillaselabora un documento en hoja de clculo, luego es exportado hacia una pgina de internet establecida enforma predeterminada por el banco antes mencionado.

ComprasPara los POS la empresa realiza compras de saldos para recargas en forma semanal, las cuales sonestimadas en base al consumo (ventas) realizadas en el mes inmediato anterior. De este modo, se realiza

33

pedido directamente al proveedor por una cantidad elevada stock que se encuentra disponible hacia losclientes que deseen realizar los pedidos. Una vez que la empresa efecta el pedido, el proveedor asignauna transferencia de series de cdigos con saldo/paquetes, el cual es almacenado en servidores que paratal efecto Recarga Directa mantiene en sus instalaciones, la transferencia es realizada a travs de internet.El proveedor hace las entregas de saldo correspondiente generando as las entradas del inventariocorrespondiente y son custodiadas por empleados de la empresa. Las entregas son realizadas en distintasdenominaciones, recargas de $1, $5, $10 y $15 y paquetes de datos de 256MB, 512MB y 1GB. Llegada lafecha de vencimiento de los documentos de compra emitido la empresa procede a pagar en forma de chequecada una de las compras realizadas al proveedor correspondiente.

Para los kioskos, la sociedad adquiere saldo a cada proveedor de telefona, cada compra se realizamediante cheque y estos valores son abonados a una cuenta virtual que es manejada de forma dual entreel servidor de la empresa y la compaa telefnica, el saldo de la cuenta puede ser consultado en tiemporeal y se conoce con exactitud el monto disponible para la venta.

Riesgos inherentes del negocio.1- No existe garanta suficiente que permita asegurar que todos los despachos de saldo sean

debidamente facturados al momento de realizarse, esto se debe a que la entidad no hacontemplado controles relacionados con tales entregas. Se cuenta con antecedentes que en susinicios operativos estuvieron proporcionando recargas a sus clientes sin haberse facturado, estoafect considerablemente los ingresos contabilizados, reconocindose en forma incorrecta; porotra parte, el flujo de caja de la entidad tuvo serios problemas de solvencia para realizar pagos asus proveedores y acreedores, se les pag a 60 das plazo a pesar de que el contrato de compraestablece 30 das mximo, esto ocasion una escasez de recargas y muchos clientes se quejaronpor el mal servicio, incluso se reportan que determinados clientes pasaron a la competencia. Lasrepercusiones no solamente son financieras, en el mbito fiscal la entidad incumpli en este casocon la obligacin formal y sustantiva de emitir los documentos de control establecidos en el cdigotributario, as como la del pago correspondiente del impuesto IVA y del anticipo a cuenta delimpuesto sobre la renta.

34

2- La entidad no posee adecuadas medidas de seguridad en cuanto al manejo y custodia de los POS,estos aparatos incorporan una tarjeta SIM que fcilmente puede ser utilizado en cualquier telfonocelular capaz de navegar por internet a travs de la tecnologa GPRS. En este aspecto la entidadtambin reporta un antecedente, existi en cierta oportunidad una terminal a la cual se le sustrajoel correspondiente tarjeta SIM y el responsable tuvo acceso a navegacin por internet (muy porencima de la cuota mxima establecida en el contrato 3MB), al hacerlo, la compaa que suministrael servicio de conexin no posea con la entidad las debidas polticas lmite de descarga, facilitandoal agente de este acto en la descarga de varios cientos de gigabytes de informacin. La entidad seneg a pagar las descargas realizadas por esta persona, argumentando que no haba utilizadotoda esa informacin para sus procesos operativos, la compaa de telecomunicacin exigipruebas contundentes que demostrasen que este ltimo no haba cometido el hecho. Al no existirpruebas irrefutables (debidas en parte a la falta de control) la entidad asumi las prdidaseconmicas relativas a la descarga no autorizada realizada con la tarjeta SIM. Esto afect en elcumplimiento de los objetivos de la entidad propuestos para el ao en el que sucedi este roboelectrnico.

3- Las ofertas promocionales que las compaas utilizan para gestionar ventas dificultan losmovimientos de inventario de recargas electrnicas. En muchas ocasiones las empresas utilizanofertas de doble, triple, cudruple saldo, etc. Cuando ello da lugar, la entidad procede a vender asus clientes considerados como al consumidor final, el valor de inventario por cada dlar cobrado,es decir, que no importa el tipo de promocin del da, la entidad descarga de sus inventarios lacantidad que el consumidor final paga directamente en el momento de la operacin. Segncontrato, la compaa telefnica proporciona el resto de la recarga en forma directa entre esta y elconsumidor final, por lo tanto, las promociones no son salidas integras del inventario manejado porla empresa Recarga Directa. La entidad actualmente no reporta ninguna irregularidad en talestransacciones, sin embargo, tampoco existen los controles adecuados que permitan asegurar quedurante estas promociones el saldo completo recibido por los clientes es repartido entre la entidady la compaa, esto pone en una seria consideracin acerca de si en algn momento se hayaefectuado una entrega de saldo en forma indebida, lo cual influira directamente en el valor deinventarios presentados en los estados financieros.

35

4- Los kioscos distribuidos a lo largo de la repblica funcionan en base a monedas y billetes, cuyasdenominaciones son exclusivamente de $ 1.00, en este sentido, las recargas nicamente puedenrealizarse por mltiplos de la unidad. La empresa recientemente se vio involucrada en problemas,debido a que en forma intencionada los clientes depositaban $0.25, el kiosco al poseer fallas en elsensor de reconocimiento para este tipo de denominacin, realiz una multiplicacin de 100 porcada moneda ingresada, en este sentido, por cada $ 0.25 que el cliente insertaba, se le realizabauna recarga electrnica valorado en $ 25.00, esto repercuti gravemente en los movimientos realesde inventario, tambin en el registro correcto de los ingresos, ya que el inventario se despachabaen forma superior a lo que lo reflejado contablemente.

36

A continuacin se presentan los Estados Financieros del ejercicio 2012, de la compaa sujeta a estudio:RECARGA DIRECTA, S.A. DE C.V.

Estado de situacin financieraAl 31 de diciembre de 2012

(Cifras expresadas en US $ Dlares)

Notas 2011 2012 %ACTIVOSEfectivo 31,500 35,424 3%Deudores comerciales y otras cuentas porcobrar 405,400 450,444 36%Inventarios 62,100 69,210 6%Activos corrientes 499,000 555,078 45%

Propiedades planta y equipo 600,384 667,709 54%Activos intangibles 23,216 24,546 2%Activos no corrientes 623,600 692,255 55%

Activos totales 1122,600 1247,333

PASIVOS Y PATRIMONIOAcreedores comerciales 38,708 43,009 10%Impuestos corrientes por pagar 348,397 27,222 6%Provisin para obligaciones 108,000 25,275 6%Pasivos corrientes 495,105 95,506 21%

Prstamos bancarios 423,000 350,613 79%Pasivos no corrientes 423,000 350,613 79%

Pasivos totales 918,105 446,119

Capital social 25,000 25,000 3%Ganancias acumuladas 115,839 649,951 81%Reserva legal 63,656 126,263 16%Patrimonio 204,495 801,214

Total pasivo y patrimonio 1122,600 1247,333*Las notas son parte integrante de los estados financieros.

_______________________ _____________________ ____________________Representante Legal Contador General Auditor Externo

37

RECARGA DIRECTA, S.A. DE C.V.

Estado del resultado integral y ganancias acumuladasDel 01 de enero al 31 de diciembre de 2012

(Cifras expresadas en US $ Dlares)

Notas 2011 2012

Ingreso por venta de recargas 2281,210 2423,808Costo de venta (1168,905) (1298,783)Ganancia bruta 1112,306 1125,025

Otros ingresos 88,789 98,654

Gastos de venta (130,588) (145,098)Gastos de administracin (88,592) (98,435)Otros gastos (1,148) (1,276)Gastos financieros (71,400) (79,333)Ganancia antes de impuesto y reserva 909,366 899,537

Reserva legal (63,656) (62,968)Ganancia antes de impuesto 845,711 836,569

Impuesto sobre la renta (272,212) (302,458)Ganancia del ao 573,498 534,111

Ganancias acumuladas al inicio del ao (457,659) 115,839

Dividendos - -

Ganancias acumuladas al final del ao 115,839 649,951

*Las notas son parte integrante de los estados financieros.

_______________________ _____________________ ____________________Representante Legal Contador General Auditor Externo

38

3.2 Descripcin general de la metodologa

DESCRIPCIN GENERAL DE LA METODOLOGAALCANCE:

En esta propuesta, se incluyen la mayora de aspectos para la evaluacin de riesgos del ambiente de TI ylos controles, podr adaptarse a las circunstancias de la empresa auditada. A partir de generar el mapa delos recursos informticos utilizados por la entidad, se infiere a juicio del equipo de investigacin, aquelloscomponentes que tienen impacto en los estados financieros, el auditor responsable puede utilizar su juicioprofesional para determinar los casos especficos aplicables a la entidad sujeta a examen. Asimismo seomiten los aspectos generales del memorndum de planeacin, como los procedimientos para obtenerconocimientos bsicos de la entidad auditada como clientes, proveedores, informacin de partesrelacionadas, entre otros.

Los pasos a seguir para la solucin del caso planteado contempla el supuesto que toda esta informacin (aexcepcin de los ciclos operativos) ha sido obtenida por el auditor a travs de lo establecido en la NICC 1 yNIA 220, en cuanto a las polticas y procedimientos para la aceptacin y la continuidad de las relacionescon clientes.

La metodologa inicia con un entendimiento del ambiente de las tecnologas que maneja la empresa cliente,esto le permite al auditor conocer los recursos informticos que utiliza la entidad y para qu son utilizados.Luego debe realizarse un estudio y evaluacin del control interno de TI, nicamente a aquellos aspectosque tengan incidencia en los estados financieros. Ms tarde, son identificados y evaluados cada uno de losriesgos que a juicio profesional del auditor pueden afectar las cifras expresadas en la informacin financiera,permitindole segn la NIA 315, establecer un enfoque global para disear la oportunidad, naturaleza yextensin de los procedimientos sustantivos que ayudarn al auditor a tomar conclusiones que le servirnpara su opinin.

En el ejercicio de sus actividades profesionales, el auditor puede utilizar las debilidades de control internoidentificadas para comunicarlas al nivel adecuado de la empresa de acuerdo a la NIA 265, que incluyan losposibles indicios de fraudes, cartas de gerencia que expresen lo adecuado de los controles internos, entreotros.

39

En resumen, los pasos de la metodologa para la identificacin y valoracin de riesgos, se exponen en lasiguiente figura:Figura 2. Proceso para identificar y evaluar riesgos de TI


A continuacin se describe, ampla y detalla cada paso:Paso 1.El primer paso consiste en el entendimiento del ambiente de TI en el negocio, para ello se debe realizar losiguiente:

Figura 3. Proceso para el entendimiento del ambiente de TI en el negocio.


PASO 1.Entendimiento delAmbiente de TIRef. NIA 315.11

PASO 2.Entendimiento delos controles de

TI. Ref. NIA315.12.

Con base a lasBuenas prcticasde COBIT 5.0.

PASO 3.Identificacin yevaluacin de

riesgos en base alentendimiento delambiente y lasdebilidades

detectadas en elcontrol interno deTI. Ref. NIA 315.25

PASO 4. Diseo dela estrategiaglobal deauditora ,

aplicado a losriesgos

informticosdetectados yvalorados. Ref.

NIA 330.5

Se elaborar cuestionariosobre la actividad econmica,naturaleza de la entidad yentorno (Ref. NIA 315.11)

Se elaborar cuestionariospara conocer de forma generallos recursos informticos de laentidad: aplicaciones,infraestructura, recursohumano e informacin. (Ref.NIA 315.18; Ref. Cobit 5.0Marco de Negocio, Principionmero 4)

Entradas

Se ejecutan los cuestionariosen el personal clave de laentidad.

Se recogen los resultados y seefecta una descripcin ennarrativa del ambiente TI en elnegocio.

ProcesoPermite diferenciar aquellosrecursos informticos queestan relacionados o tienenincidencia en los estadosfinancieros, de aquellos queno.

Mapa mental de los recursosinformticos de la entidad queincluya la interrelacin de lasaplicaciones, infraestructura,personas y datos de TI.

Salidas

40

Paso 2.El segundo paso se trata de comprender el control interno y su entorno. Este entendimiento debe ser unproceso continuo, dinmico, de obtener, actualizar y analizar informacin a travs de la auditora. Se tratade comprender el control interno establecido por la entidad hacia la TI relevante a los estados financieros,se deja de lado por tanto aquellos aspectos informticos que no poseen incidencia y se enfoca el estudioen base a los principios y buenas practicas del marco de COBIT 5, as:

Figura 4. Proceso para la comprensin del control interno y su entorno.


Despus de comparar las buenas prcticas de COBIT 5, el auditor financiero tendr un marco, listado odetalle de los principales incumplimientos de la entidad, es decir, en el entendido que cubran e identifiquenlos riesgos posibles de TI a nivel de empresa y de controles, los indicadores encontrados correspondern aaquellos que requieren principal atencin del auditor.

Se toma en consideracion elprocedimiento de indagacionesante a la administacin (NIA 315.6lit. "a"; ), los cinco componentes delcontrol (NIA 315.14) combinadoscon las actividades de los procesoscatalizadores de COBIT 5, y seelaboran cuestionarios

Se elaboran procedimientosanliticos (NIA 315.6 lit. "b") quecomplementan los cuiestionariosanteriores.

Se excluye el proceso de inspecciony observacion (NIA 315.6 lit. "c"),que a jucio profesional del auditordebe realizar cuando sea necesario.

Entradas

Se ejecutan los cuestionarios en elpersonal clave de la entidad.

Se ejecutan los procedimientosanaliticos, que a jucio del equipo deauditores del caso practico,constituyen los mas importantes acomprobar, segun lo establecido enlos cuestionarios.

Se recogen los resultados y seefectua una descripcin ennarrativa del control interno de TIen el negocio.

Proceso Se obtiene un entendimiento delcontrol interno informatico, en basea los requerimientos establecidosen NIA 315 en conjunto con lasbuenas practicas de COBIT 5

Permite comparar las prcticasestablecidas por la empresa conrespecto a las mejores prcticas deCOBIT 5, verificando de esta formael nivel de debilidad o fortalezaexistente en el control interno.

Salidas

41

Paso 3.

Metodología para la identificación y Evaluación de riesgos de TI en una auditoría de estados...

Documents

Transcript of Metodología para la identificación y Evaluación de riesgos de TI en una auditoría de estados...