auditoria tecnologia informatica - mi sitio de...
TRANSCRIPT
AUDITORIA TECNOLOGIA INFORMATICA
FERNANDO RADA BARONA
El auditor deberá considerar como afecta a la auditoría un ambiente de Sistemas de Información Computarizado - SIC.
El objetivo y alcance globales de una auditoría no cambia en un ambiente SIC. Sin embargo, el uso de una computadora cambia el procesamiento, almacenamiento y comunicación de la información financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad.Por consiguiente, un ambiente SIC puede afectar:
� Los procedimientos seguidos por un auditor para obtener una comprensión suficiente de los sistemas de contabilidad y de control interno.
� La consideración del riesgo inherente y del riesgo de control a través del cual el auditor llega a la evaluación del riesgo.
�El diseño y desarrollo por el auditor de pruebas de control y procedimientos sustantivos apropiados para cumplir con el objetivo de la auditoría.
LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUT ARIZADA - SIC
El auditor debería tener suficiente conocimiento del SIC para planear dirigir,supervisar y revisar el trabajo desarrollado.
El auditor debería considerar si se necesitan habilidades especializadas enSIC en una auditoría.
Estas pueden necesitarse para:
� Obtener una suficiente comprensión de los sistemas de contabilidad y de control interno afectados por el ambiente SIC.
� Determinar el efecto del ambiente SIC sobre la evaluación del riesgo global y del riesgo al nivel de saldo de cuenta y de clase de transacciones.
� Diseñar y desempeñar pruebas de control y procedimientos sustantivos apropiados.
LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUT ARIZADA - SIC
� Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de un profesional con dichas habilidades, quien puede pertenecer al personal del auditor o ser un profesional externo.
� Si se planea el uso de dicho profesional, el auditor debería obtener suficiente evidencia apropiada de auditoría de que dicho trabajo es adecuado para los fines de la auditoría, de acuerdo con NIA "Uso del trabajo de un experto".
� Al planear las porciones de la auditoría que pueden ser afectadas por el ambiente SIC del cliente, el auditor debería obtener una comprensión de la importancia y complejidad de las actividades de SIC y la disponibilidad de datos para uso en la auditoría.
� Cuando el SIC es significativo, el auditor deberá también obtener una comprensión del ambiente SIC y de si puede influir en la evaluación de los riesgos inherentes y de control.
LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUT ARIZADA - SIC
El propósito de esta Norma Internacional de Auditoría (NIA) es establecer reglas ysuministrar criterios sobre los procedimientos a seguir cuando una auditoría se lleva a caboen un ambiente (SIC)Para los propósitos de las NIA existe un SIC cuando la entidad, al procesar la información financiera significativa para la auditoría, emplea sistemas de información como equipos de computo de cualquier tipo o tamaño, ya sea operado por la propia entidad o por un tercero.Por consiguiente, un ambiente SIC puede afectar:
� Los procedimientos seguidos por un auditor para obtener una comprensión suficiente de los sistemas de contabilidad y de control interno.
� La consideración del riesgo inherente y del riesgo de control a través de la cual el auditor llega a la evaluación del riesgo.
� El diseño y desarrollo por el auditor de pruebas de control y procedimientos sustantivos apropiados para cumplir con el objetivo de la auditoría.
LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUT ARIZADA - SIC
OBJETIVO
� Importancia y complejidad del
procesamiento en cada operación
importante de contabilidad (volumen,
generación automática de transacc.,
intercambio transaccional)
� Estructura organizacional del ambiente SIC.
� Disponibilidad de los datos
� Posibilidad de utilizar herramientas de
auditoría computadorizadas
IMPACTO DEL AMBIENTE SIC
� Falta de rastros transaccionales.
� Falta de procesamiento uniforme de
transacciones
� Falta de segregación de funciones.
� Potencial para errores e
irregularidades.
� Generación automática de
transacciones.
� Dependencia de otros controles al
procesamiento por computadora.
RIESGOS DEL AMBIENTE SIC
� Las microcomputadoras almacenan gran
cantidad de información y también pueden
actuar como terminales.
� Controles similares a un ambiente SIC pero
no todos son aplicables.
� Complejidad de las redes.
� Evaluación de la utilización de las
microcomputadoras.
� Aspectos de seguridad propios de este
ambiente.
AMBIENTE SIC MICROCOMPUTADORAS INDEPENDIENTES
SISTEMAS DE COMPUTADORAS EN LÍNEA
� Efecto del uso de este ambiente encuanto a grado en que el sistema en línease utiliza para procesar transaccionescontables.
� Actualización directa e instantánea de losarchivos de datos.
� Controles relevantes en este ambiente:o Controles de acceso.o Cambios no autorizados a los datos.o Programas no autorizados.
AMBIENTE DE BASE DE DATOS
� Efecto del uso de este ambiente queindependiza datos de programas y quefacilita el uso compartido de la información.
� Dos elementos fundamentales: Base deDatos y Programa Administrador (DBMS).
� Tareas de administración de la base dedatos.
� Controles de la base de datos: propiedad delos datos, acceso a los datos, segregación defunciones.
� Enfoque para el desarrollo de aplicaciones.
RIESGO Y CONTROL INTERNO EN UN AMBIENTE SIC
� Estructura organizacional (concentración de funciones y de programas ydatos)
� Naturaleza del procesamiento (ausencia de documentación de entrada, faltade rastros de E/S, facilidad de acceso a datos y programas)
� Aspectos de diseño y de procedimiento (consistencia de funcionamiento,controles programados, archivos de base de datos, vulnerabilidad de datos yprogramas)
� Controles generales de SIC (Controles de organización, desarrollo desistemas, controles de entrada de datos)
� Controles de aplicación (entrada, procesamiento, salida)
El propósito de esta Norma Internacional de Auditoría (NIA) es
establecer reglas y suministrar criterios al auditor cuyo cliente utilice
empresas de servicios. Esta NIA también describe los informes del
auditor de la empresa de servicios que pueden ser obtenidos por el
auditor del cliente.
NIA 402-EMPRESA DE SERVICIOS - OBJETIVO
� Naturaleza de los servicios prestados por la organización de servicios.
� Términos del contrato entre el cliente y la organización de servicios.
� Aseveraciones de los estados contables que son afectados por el uso de la organización de servicios.
� Grado de interacción de los sistemas del cliente y de la organización de servicios.
� Capacidad y fuerza financiera de la organización de servicios y como afectaría la falta de servicio.
� Utilización del informe del auditor de la organización de servicios.
NIA 402-EMPRESA DE SERVICIOS - OBJETIVO
PLANEACIÓN DE AUDITORÍA DE ESTADOS FINANCIEROS NIA 300
De acuerdo con las normas internacionales de auditoría el auditor debe desarrollar actividades preliminares al desarrollo del trabajo, que también están implícitas en la planeación.
� De a que se establecen claramente los términos del trabajo, como lo requieren las normas internacionales de acuerdo con la norma de auditoría 210,
� El auditor debe aclarar los términos de trabajo con la administración; en relación a la norma 220, debe evaluar el cumplimiento de los requisitos éticos y de independencia; y los procedimientos en relación a la continuidad del cliente y del trabajo de auditoría.
Estas actividades preliminares son primordiales al momento de identificar información que pueda afectar la planeación y desarrollo de la auditoría. Igualmente, permiten que el auditor mantenga la independencia y capacidades necesarias para el trabajo, y evita cualquier malentendido con la administración debido e auditoría
ACTIVIDADES PRELIMINARES DEL TRABAJO
Establecer normas y proporcionar lineamientos sobre la planeación de auditoría de estados financieros.
Se debe planear el trabajo de auditoría de modo que la auditoría sea desarrollada de una manera efectiva.
"Planeación" significa desarrollar una estrategia general y un enfoque detallado para la naturaleza, oportunidad y alcance esperados de la auditoría. El auditor planea desarrollar la auditoría de manera eficiente y oportuna.
COMPONENTES DE LA PLANEACIÓN DE AUDITORIA
La planeación adecuada del trabajo de auditoría ayuda:� Asegurar que se presta atención adecuada a áreas importantes de la
auditoría.� Que los problemas potenciales son identificados.� Apropiada asignación de trabajo a los auxiliares.� Coordinación del trabajo hecho por otros auditores y expertos.
El grado de planeación variará de acuerdo con:� El tamaño de la entidad� La complejidad de la auditoría� La experiencia del auditor con la entidad y � Su conocimiento del negocio
COMPONENTES DE LA PLANEACIÓN DE AUDITORIA
El Plan global de auditoría (PGA)
� Desarrollar y documentarlo� Alcance� Suficientemente detallado para guiar el desarrollo del programa
de auditoría� Forma y contenido variarán de acuerdo al tamaño de la entidad,
a la complejidad de la auditoría y a la metodología y tecnologías específicas usadas por el auditor.
Asuntos a considerar en el PGA
� Conocimiento del negocio� Condiciones de la industria.� Características importantes de la entidad.� Comprensión del Sistema de Contabilidad y de C.I.� Políticas contables adoptadas.� Efecto de pronunciamientos nuevos de contabilidad y auditoría.� Riesgos e importancia relativa� Establecimiento de niveles de importancia relativa para
propósitos de auditoría.� La posibilidad de representaciones erróneas.� La identificación de áreas de contabilidad complejas
COMPONENTES DE LA PLANEACIÓN DE AUDITORIA
COMPONENTES DE LA PLANEACIÓN DE AUDITORIA
La estrategia general de auditoría:
� Establece el alcance, la oportunidad y la dirección de la auditoría � Determinar las características del trabajo que definen su alcance (Estructura y
Requisitos de emisión de informes) � Considerar los factores importantes que determinarán cómo concentrar los
esfuerzos del equipo de trabajo, como: - Identificar áreas en las que se presenten mayores riesgos y errores importantes - Saldos de cuentas importantes - Evaluación de si el auditor pudiera planear obtener evidencia sobre la eficacia del control interno
En el proceso de establecer una estrategia general, el auditor se cuestiona:
� Uso apropiado y cantidad de miembros del equipo con experiencia en áreas de alto riesgo
� Participación de expertos en asuntos complejos � Administración, dirección y supervisión de los miembros del equipo
PLANEACIÓN DE UNA AUDITORÍA DE ESTADOS FINANCIEROS
La planeación le permite obtener un entendimiento del marco de referencia legal y determinar procedimientos de evaluación del riesgo, aspectos importantes para el desarrollo de la auditoría, teniendo en cuenta que la planeación es un proceso continuo e interactivo .
Objetivo
El auditor debe planear la auditoría para realizar un trabajo efectivo y apropiado.
� Obtener un entendimiento del negocio de la entidad. � Entender y evaluar el diseño e implementación de los controles. � Evaluar los riesgos de que ocurran errores significativos en los estados
financieros y planear una estrategia de auditoría en respuesta a dichos riesgos. � Desarrollar nuestro enfoque de auditoría planeado con respecto a las cuentas y
revelaciones significativas
PROPÓSITO.
� Establecer normas y proporcionar lineamiento sobre la planeación de auditoria de Estados Financieros y es aplicable a auditorias recurrentes.
� Desarrollar una estrategia general y un enfoque detallado para la naturaleza, oportunidad y alcance esperados de la auditoría.
ACTIVIDADES PRELIMINARES DEL TRABAJO
� Efectuar procedimientos sobre lacontinuación de la relación con el cliente yel trabajo específico de auditoría.
� Evaluar el cumplimiento de los requisitoséticos, incluyendo la independencia.
� Establecer un entendimiento de los
términos del trabajo.
Denominado también "el enfoque planeado de auditoría", Es más detallado que la estrategia general de auditoria contiene:
� Actividades detalladas de auditoría
� Oportunidad y alcance de los procedimientos de auditoría a realizar por los miembros del equipo de trabajo.
PLAN DE AUDITORIA
� Naturaleza, oportunidad y alcance de los procedimientos planeados de evaluación de riesgos que sean suficientes para evaluar los riesgos de que NO ocurran errores importantes
� Naturaleza, oportunidad y alcance de los procedimientos de auditoría planeados con respecto a las aseveraciones para cada cuenta significativa (clase de transacciones o
saldo de cuenta) si debemos someter a prueba la eficacia operativa de los controles y la naturaleza, la oportunidad y el alcance de los procedimientos sustantivos
� Como resultado de eventos inesperados, cambios en las condiciones, o la evidencia de auditoria obtenida, el auditor puede modificar la estrategia general de auditoria y el plan de auditoria.
EL PLAN DE AUDITORÍA INCLUYE :
DOCUMENTACIÓN
El propósito del Documento de Planeación es documentar nuestra estrategia de auditoría, los riesgos identificados, aseveraciones y nuestro enfoque de auditoría planeado.
Documentar cambios significativos efectuados durante el trabajo de auditoría
CONSIDERACIONES ADICIONALES EN TRABAJOS INICIALES D E AUDITORIA
Para la planeación de una auditoria inicial , se hará necesario que el auditor amplíe las actividades, ya que no cuenta con las experiencia previa de una auditoria recurrente.
Asuntos a considerar en una auditoria inicial:
� Efectuar procedimientos de aceptación ( en relación con el cliente y el trabajo) Carta de Aceptación
� Consultar los papeles de trabajo del auditor predecesor � Asignación de personal de la firma, capacidades y competencias
IDENTIFICACIÓN Y EVALUACIÓN DE LOS RIESGOS DE REPRESENTACIÓN ERRÓNEA DE IMPORTANCIA RELATIVA MEDIANTE EL ENTENDIMIENTO DE LA ENTIDAD Y SU ENTORNO NIA 315
PROCEDIMIENTOS DE EVALUACIÓN DE RIESGOS
Su propósito es proveer una adecuada base (evidencia) para la identificación y evaluación de los riesgos:
� Investigaciones con la Administración y otro personal de la Entidad.(Efectividad
del Control Interno, Proceso de transacciones) � Procedimientos Analíticos.(Hechos o transacciones inusuales) � Observaciones e Inspecciones.(Inspección de documentos) � Otros procedimientos.(Preguntas a asesores legales) � Información Obtenida en Proceso de Aceptación o Continuidad del Cliente y
la Información obtenida de Años Anteriores.
EL CONOCIMIENTO DE LA ENTIDAD Y SU ENTORNO INCLUIDO EL CONTROL INTERNO
Enfocado en los siguientes aspectos:
� Factores de la Industria, de Regulación y otros Factores Externos.(Relación con
proveedores y clientes)
� Naturaleza de la Entidad.(Operaciones de la Entidad)
� Objetivos, Estrategias y Riesgos del Negocio.(Reputación errónea de importancia relativa de EE.FF.)
� Medición y Revisión del Desempeño Financiero de la Entidad.(Identifica deficiencias en Control Interno)
� El control Interno.
CONTROL INTERNO
¿Qué es el Control Interno?
Proceso diseñado y efectuado por los encargados del Gobierno Corporativo, la Administración y otro personal, para proporcionar seguridad razonable, sobre el logro de los Objetivos de la Entidad respecto de:
� Confiabilidad de la información financiera,
� Efectividad y eficacia de las operaciones
� Cumplimiento de las leyes� Prevención del fraude.
¿Qué es el marco del control interno y por qué nos preocupamos por el?
El sistema del cliente para administrar su control interno como un marco que comprende cinco componentes interrelacionados. Este marco es conocido como el marco del control interno.
Como auditores, nos preocupamos de este marco porque proporciona un marco útil para que consideremos los diferentes aspectos del control interno de una entidad y como pueden afectar la auditoría. Si los componentes del marco del control interno son débiles, puede ser un indicativo de la calidad de las actividades de control y podríamos terminar haciendo más pruebas sustantivas.
MARCO DE REFERENCIA CONTROL INTERNO -COSO
COMPONENTES DEL CONTROL INTERNO
� Ambiente de Control.(Incluye funciones gobierno Corporativo y Admón.)
� Evaluación de Riesgos de la Entidad.(Evaluar diseño de ambiente de control de la entidad)
� Actividades de Control .( Políticas y procedimientos)
� Información y Comunicación.(Manuales o TI )
� Monitoreo .(Evalúa la efectividad del desempeño del control interno)
Ambiente de control, donde el auditor evalúa si la entidad lleva a cabo una cultura de honestidad, integridad, conducta ética y capacidad. Si el auditor encuentra debilidades en este componente, esas debilidades pueden afectar el control interno en conjunto, debido a que da la base y estructura del control interno.
Procesos de evaluación del riesgo de la entidad . El auditor debe determinar si la entidad lleva a cabo procesos relevantes para la identificación de los riesgos de negocios, estimación de la importancia de los riesgos y acciones a seguir para hacerfrente a los riesgos. Igualmente el auditor debe entender dichos procesos, lo que le ayuda a reconocer si existen riesgos queel control interno no ha identificado, y si estos riesgos presentan una debilidad importante al proceso de evaluación del riesgode la entidad.
Sistema de información y comunicación : Los sistemas de información consisten en infraestructura de software, personas, procedimientos y datos. El sistema de información produce reportes, contiene información operacional, financiera y relacionada con el cumplimiento, que hace posible operar y controlar el negocio. Tiene que ver no solamente con los datos generados internamente, sino también con la información sobre eventos, actividades y condiciones externas necesarias para la toma de decisiones, informe de los negocios y reportes externos. El auditor debe entender el sistema de información de la entidad, lo que implica conocer clases de transacciones, procedimientos electrónicos y manuales, registros contables y procesos de información financiera para la elaboración de los estados financieros.
Actividades de control : Las actividades de control son las políticas y los procedimientos que ayudan a asegurar que las directivas administrativas se lleven a cabo. Ayudan a asegurar que se tomen las acciones necesarias para orientar los riesgos hacia la consecución de los objetivos de la entidad. El auditor debe entender las actividades de control que juzgue relevantes para la identificación y evaluación de riesgos de representación errónea de importancia relativa, dentro del desarrollo de la auditoría. Las actividades de control pueden estar relacionadas a autorización, revisiones de desempeño, procesamiento de información y controles físicos.
Monitoreo de controles : Los sistemas de control interno deben monitorearse, proceso que valora la calidad del desempeño del sistema en el tiempo y es realizado por medio de actividades de monitoreo en el curso de las operaciones y evaluaciones separadas, para tomar las acciones pertinentes. El auditor debe conocer y entender los procesos de monitoreo de los controles sobre la información financiera y las acciones correctivas que desempeña la entidad. Cuando la entidad lleva a cabo auditoría interna, el auditor debe conocer sus procedimientos y si están acorde a la entidad.
COMPONENTES DEL CONTROL INTERNO
La norma internacional de auditoría 315 presenta la responsabilidad del auditor de identificar y evaluar los riesgos de error material en los estados financieros, mediante en entendimiento de la entidad, su entorno y control interno. Este entendimiento es un proceso continuo y dinámico de obtención, actualización y análisis de información durante la auditoría, que le permite al auditor planear la auditoría y evaluar los riesgos. La información obtenida puede servir como evidencia de auditoría. Objetivo
El auditor debe identificar y evaluar los riesgos de error material debido a fraude o error, que puedan existir a los niveles de estado financiero y aseveraciones. Para poder identificar estos riesgos el auditor debe tener un entendimiento de la entidad y su entorno, para así poder diseñar e implementar las respuestas apropiadas a los riesgos evaluados de error material.
IDENTIFICACIÓN Y EVALUACIÓN DE LOS RIESGOS DE ERROR MATERIAL MEDIANTE EL ENTENDIMIENTO DE LA ENTIDAD Y SU ENTORNO
IDENTIFICACIÓN Y EVALUACIÓN DEL RIESGO DE IMPRECISI ONES O ERRORES SIGNIFICATIVOS
A nivel de EE.FF. (Riesgos Inherentes) y a nivel de manifestación (Transacciones, Saldos de cuentas y revelaciones).
� Identificación: Conocimiento del Negocio y su Entorno.
� Si el auditor no ha identificado riesgos: No significan que no existan.(Recurrir al riesgo de la auditoria)
� Existen riesgos para los cuales los procedimientos sustantivos no proporcionan base suficiente de evidencia.(Compañías que ofrecen servicios o productos por internet)
� Evaluación del riesgo que debe ser revisado durante todo la auditoria.(Desarrollo de pruebas de controles y sustantivas)
RIESGOS QUE REQUIEREN CONSIDERACIÓN ESPECIAL
El auditor, como parte de la evaluación, debe determinar qué riesgos requieren especial consideración.(Significativos)
� Transacciones rutinarias o poco complejas.(Poca probabilidad de riesgo significativo)
� Asuntos fuera de la normal actividad del negocio.(Fraude, riesgos económicos de legislación, transacciones complejas e inusuales)
� El auditor debe evaluar el control interno relacionado con los riesgos especiales.(Ver si los controles implantados están operando)
COMUNICACIÓN AL GOBIERNO CORPORATIVO Y A LA ADMINIS TRACIÓN
El auditor debe comunicar las debilidades de la importancia relativa del diseño o implementación del control interno.
Documentación:
� Conversaciones y discusiones entre el equipo de trabajo, relacionado con la identificación y evaluación de riesgos.(Error o Fraude)
� Elemento clave del conocimiento del negocio.(Aspectos de Entidad y su entorno)
� Riesgos identificados y evaluados de representación errónea de importancia relativa.(en EE.FF. Y Aseveración)
� Riesgos identificados y controles evaluados.
FACTORES INDICATIVOS DE RIESGO SIGNIFICATIVO
Operaciones en regiones inestables económicamente.
� Problemas en la disponibilidad del crédito y capital.
� Problemas de liquidez, incluyendo perdidas de clientes importantes.
� Cambios en las industrias.
� Expansión de nuevas localidades o líneas de negocios. � Cambios en la Entidad.(Reorganización o Adquisición)
� Carencia de personal calificado.
� Debilidades en el control interno.
� Instalación de nuevos sistemas de información.
� Entre otros.