Upload
jorge-amaya
View
146
Download
0
Embed Size (px)
Citation preview
ContenidoIntroducción
Auditoría basada en riesgosRevisión de los controles generales
Concepto de Control GeneralNivel de entidadNivel de sistemasNivel de procesos / aplicacioens de gestión
Interrelación con controles de aplicación
Normas aplicables
Categoirias de los Controles Generales
Identificar los CGTI relevantes
Pruebas de sientos de diario
AddConIT Cía. Ltda.Data Assurance
Introducción
Revisión de controles generales
AddConIT Cía. Ltda.
Data Assurance
El término "control interno" abarca los
cinco componentes del control interno,
los cuales son:
• El ambiente de control;
• El proceso de valoración del riesgo de
la entidad;
• El sistema de información, incluyendo
los procesos de negocio relacionados,
relevantes para la información
financiera, y la comunicación;
• Las actividades de control; y
• El monitoreo del control interno.
Esos componentes se relacionan
principalmente con los objetivos de la
información financiera de la entidad.
Introducción
Revisión de los controles generales
AddConIT Cía. Ltda.
Data Assurance
ISA 315:
89. El auditor debe
entender cómo la
entidad comunica
los roles y las
responsabilidades
relacionados con la
información
financiera, así
como los asuntos
importantes
relacionados con la
información
financiera.
Concepto de CGTI
AddConIT Cía. Ltda.
Data Assurance
• Hay una serie de factores de
riesgo relacionados con la
administración de la TI y las
aplicaciones que, de no mitigarse,
podría dar lugar a un error
importante en los estados
financieros.
• Hay 2 tipos de controles de IT que
necesitan ser trabajados en
conjunto para asegurar el
procesamiento de la información
completa y precisa.
Concepto de CGTI
Nivel de entidad
AddConIT Cía. Ltda.
Data Assurance
• Los controles a este nivel se reflejan en la forma de
funcionar de una organización, e incluyen políticas,
procedimientos y otras prácticas de alto nivel que
marcan las pautas de la organización.
• La capacidad de la dirección para eludir controles
(management override) y un pobre tono de control (que
se manifiesta a nivel de la entidad) son dos aspectos
comunes en un mal comportamiento corporativo.
• La identificación de los CGTI debe integrarse en la
evaluación general de controles realizada a nivel de
entidad.
Concepto de CGTI
Nivel de los sistemas de IT
AddConIT Cía. Ltda.
Data Assurance
Hardware DatabasesNetworksSystems
software
Constituyen la base de las operaciones
y son prestados a través de toda la
organización. Normalmente incluyen la
gestión de redes, la gestión de bases
de datos, la gestión de sistemas
operativos, la gestión de
almacenamiento, la gestión de las
instalaciones y sus servicios y la
administración de seguridad. Todo ello
está gestionado generalmente por un
departamento TI centralizado.
Sistemas TI de base sistemas de
gestión de las bases de datos
Sistemas operativos (SO)
DOS, Linux, Mac-OS
Infraestructura física
Son todos los elementos físicos, el
hardware. Incluye redes y
comunicaciones.
Concepto de CGTI
Nivel de procesos / aplicaciones de gestión
AddConIT Cía. Ltda.
Data Assurance
Los inputs, el procesamiento y los outputs son
aspectos de los procesos de gestión, que cada
vez están más automatizados e integrados en
complejos sistemas informáticos.
Si el auditor llega a una conclusión favorable
sobre los CGTI al nivel de la entidad y de los
sistemas TI, se deberá evaluar y comprobar la
eficacia de los CGTI en aquellas aplicaciones
significativas que van a ser revisadas, antes de
revisar sus controles de aplicación
Interrelación entre CGTI
AddConIT Cía. Ltda.
Data Assurance
Con los controles de aplicación
CGTI
• Estos controles operan a través de todas las aplicaciones y por lo general consisten en una mezcla de controles automatizados (incorporado en los programas de ordenador) y controles manuales (tales como el presupuesto de TI y contratos con proveedores de servicios)
Controles de Aplicación
• Estos controles son controles automatizados que se refieren específicamente a las aplicaciones (como el procesamiento de ventas o nómina).
Interrelación entre CGTI
AddConIT Cía. Ltda.
Data Assurance
Con los controles de aplicación
• La emisión y revisión manual de un informe especial de
elementos no coincidentes puede ser un control de
aplicación efectivo; no obstante, dicho control dejará
de ser efectivo si los controles generales permitiesen
realizar modificaciones no autorizadas de los
programas, de forma que determinados elementos
quedasen excluidos deliberadamente de manera
indebida del informe revisado.
• Garantizar la seguridad de las bases de datos se
considera un requisito indispensable para que la
información financiera sea fiable. Sin seguridad a nivel
de base de datos, las entidades estarían expuestas a
cambios no autorizados en la información financiera.
Categrias de los CGTI
AddConIT Cía. Ltda.
Data Assurance
Controles Generales IT
Desarrollo de
sistemas
Operaciones del
Computador
Cambios a
Programas Acceso a programas y datos
Controles Generales de Tecnología de Ia Información
La estructura de gobierno de la TI
Cómo los riesgos de la TI son identificados, mitigados y administrados
El sistema de información, el plan estratégico y el presupuesto
Las políticas, los procedimientos y los estándares de la TI
La estructura organizacional y la segregación de funciones
El Ambiente de Control TI
AddConIT Cía. Ltda.
Data Assurance
Controles Generales de Tecnología de Ia Información
Adquisiciones, instalaciones, configuraciones, integración, y mantenimiento de la infraestructura de la TI
Entrega de servicios de información a los usuarios
Administración de los proveedores que son terceros
Uso de programas del sistema, seguridad de los programas, sistemas y utilidades de administración de la base de datos
Rastreo de incidentes, etiquetados del sistema y funciones de monitoreo
Operaciones de computación del día-a-día
AddConIT Cía. Ltda.
Data Assurance
Controles Generales de Tecnología de Ia Información
Seguridad de las claves
Protecciones en Internet y controles de acceso remoto
Encriptamiento de datos y claves criptográficas
Cuentas de usuario y controles de acceso privilegiado
Uso de perfiles que permiten o restringen el acceso
Revocación de claves de empleados e identificaciones de los usuarios cuando los empleados renuncian o terminan el trabajo
Acceso a programas y datos
AddConIT Cía. Ltda.
Data Assurance
Controles Generales de Tecnología de Ia Información
Adquisición e implementación de aplicaciones nuevas
Desarrollo de sistemas y metodología del aseguramiento de lacalidad
Mantenimiento de las aplicaciones existentes incluyendo los controles sobre los cambios de programas
Desarrollo de programas y cambios de programas
Políticas y procedimientos relacionados con el sistema de información y la presentación de reportes que aseguren que los usuarios cumplen con los controles generales de TI y que la TI está alineada con los requerimientos del negocio.
Monitoreo de las operaciones de la TI
AddConIT Cía. Ltda.
Data Assurance
Devise audit strategy
(planned control reliance?)
Identificar CGIT Relevantes
Global audit technologyEnsures compliance with International
Standards on Auditing (ISAs)
Creates and tailors
audit programs
Stores audit
evidence
Documents processes
and controls
Understanding
the
environment
and the entity
Understanding
management’s
focus
Understanding
the business
Evaluating the
year’s results
Inherent
risks
Significant
risks
Other
risks
Material
balances
Yes No
Test controls
Substantive
analytical
review
Tests of detail
Test of
detail
Substantive
analytical
review
Financial statements
Conclude and report
General audit procedures
Arbutus
Extract
your
data
Report
output to
teams
Analyse data
using
relevant
parameters
Develop audit plan
to obtain
reasonable
assurance that the
Financial
Statements as a
whole are free
from material
misstatement and
prepared in all
materiala respects
with the CIPFA
Code of Practice
framework using
our global
methodology and
audit software
Note:
a. An item would be considered
material to the financial
statements if, through its
omission or non-disclosure, the
financial statements would no
longer show a true and fair view.
Prueba de asientos de diario
a) Probar que todos los asientos de diario
(journal entries) han sido registrados en el libro
mayor, incluyendo otros ajustes hechos en la
preparación de los estados financieros.
b) Revisar las estimaciones contables en busca
de posibles sesgos y evaluar si las
circunstancias que producen el sesgo están
razonablemente justificadas.
AddConIT Cía. Ltda.
Data Assurance
Uso de CAAT para probar los asientos de diario
Algunos de estos procedimientos podrían ser los siguientes:
Encuentra las entradas de diario que no cuadran
Encuentra saltos en la revista secuencia de número de entrada
Encuentra las asientos de diario por valores altos
Encontrar posibles registros duplicados
Encuentra los asientos de diario con montos redondeados
Mostrar información de los registros realizados por usuario
Buscar todos los registros realizadas por un empleado específico
Mostrar valores para el código 'tipo de registro'
Encuentra los registros manuales
Seleccionar una muestra de diarios (monetaria al azar o valores elevados)
Encuentra los registros específicos (por meses, días o JE #)
Encontrar todos los registros que contengan cuenta específica
Encontrar todos los registros en un rango de cuentas
Encuentra los registros de fecha posterior
Encuentra los registros con las descripciones (no estándar) “Insólito”
Encuentra todos los registros realizados en los fines de semana
AddConIT Cía. Ltda.
Data Assurance
Prueba de asientos de diario