Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditora Computacional
Contenidos
Concepto de Auditora
Tipos de Auditoras
Auditorias de S.I.
Concepto de Control
Tipos de Controles
Concepto de Auditora
Auditora
El Instituto Norteamericano de Contadores Pblicos
(AICPA) lo define como un examen que pretende servir
de base para expresar una opinin sobre la
razonabilidad, consistencia y apego a los principios
de contabilidad generalmente aceptados, de estados
financieros preparados por una empresa o por otra
entidad para su presentacin al Pblico o a otras partes
interesadas. [AICPA,1983]
Concepto de Auditora
Auditora Interna
La Auditora Interna, segn el IIA, es una actividad
independiente y objetiva de aseguramiento y consulta,
concebida para ayudar a una organizacin a cumplir con
sus objetivos, aportando un enfoque sistemtico y
disciplinado para evaluar y mejorar la eficacia de los
procesos de gestin de riesgos, control y gobierno
(direccin)
Fuente: http://www.sbif.cl/sbifweb3/internet/archivos/DISCURSOS_10018.pdf
Tipos de Auditoras
El auditor computacional debe entender
los diversos tipos de auditoras que se
pueden efectuar interna o externamente
Auditoras Financieras
Auditoras Operativas
Auditoras Integradas
Auditoras Administrativas
Auditoras de Sistemas de Informacin
Auditoras Especializadas
Auditoras Forenses
Auditoras Financieras
El propsito es determinar la exactitud de
los estados financieros de una
organizacin
Pruebas sustantivas detallada
Enfoque basado en riesgos
Integridad y confidencialidad de la informacin
financiera
Auditoras Operativas
Est diseada para evaluar la estructura de
control interno en un proceso o rea
determinada
Auditoras de Sistemas de Informacin (SI) sobre
controles de las aplicaciones
Auditoras de sistemas de seguridad lgica
Auditoras Integradas
Combina pasos de auditora financiera y
operativa
Tambin se utiliza para evaluar los
objetivos generales de una organizacin,
relacionados con la informacin financiera
y la salvaguarda de activos, la eficiencia y
el cumplimiento
Ejecutada por auditores externos o internos
Puede incluir pruebas de cumplimiento
Auditoras Administrativas
Evaluar aspectos relacionados con la
eficiencia de la productividad operativa de
una organizacin
10
Auditoras Especializadas
Dentro de las Auditoras de Sistema de
Informacin existen auditorias
especializadas
SSAE-16 (ex SAS 70 - Statement
on Auditing Standards),
desarrollada por el AICPA (Instituto
Norteamericano de Contadores
Pblicos), donde se definen los
estndares profesionales usados
por un auditor de servicios para
evaluar los controles internos de
una organizacin de servicios.
SSAE 16 - Statement on Standards for Attestation Engagements
11
Auditoras Forense
Auditora especializada en descubrir,
revelar y hacer seguimiento de fraudes y
crmenes
Desarrollo de evidencia para ser utilizada por
autoridades policiales y crmenes
El auditor forense es llamado a participar en
investigaciones relacionadas con fraude corporativo y
crimen ciberntico
12
Concepto de Control
Control
Funcin del proceso administrativo, que tiene por objetivo
asegurar que las cosas se hacen de acuerdo a lo
planeado
13
Concepto de Control
Control (otras definiciones)
Tiene como objetivo cerciorarse de que los hechos
vayan de acuerdo con los planes establecidos
Implica la medicin de lo logrado en relacin con lo
estndar y la correccin de las desviaciones, para
asegurar la obtencin de los objetivos de acuerdo
con el plan.
14
Concepto de Control
Control Interno
Proceso, efectuado por el consejo de administracin, la
direccin y el resto del personal de una entidad, diseado
con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecucin de objetivos
dentro de las siguientes categoras:
15
Concepto de Control
Los controles internos estn normalmente
constituidos por polticas, procedimientos,
prcticas y estructuras organizacionales
implementados para reducir los riesgos de
la empresa
Las actividades de control interno y los
procesos que las respaldan pueden ser
manuales o manejadas por recursos de
informacin automatizados
16
Concepto de Control
El directorio y la alta administracin son
responsables de establecer la cultura
apropiada para facilitar un sistema efectivo
y eficiente de control interno y monitorear
continuamente la efectividad del sistema
de control interno, aunque toda persona
dentro de la organizacin debe participar
en este proceso
17
Tipos de Control
Existen 2 aspectos claves que los controles
debe atender: qu debera lograrse y qu
debera evitarse
Los controles internos deberan estar
preparados para tratar eventos no deseados
a travs de la prevencin, deteccin y
correccin
Controles Preventivos
Controles Detectivos
Controles Correctivos
Auditora Computacional Mdulo 2
18
Controles Preventivos
Detectan los problemas antes que aparezcan
Monitorean tanto la operacin como las
entradas
Intentan predecir los problemas potenciales
antes de que ocurran y realizan ajustes
Evitan que ocurra un error, omisin o acto
malicioso
Personal calificado
Segregacin de funciones
Control de acceso
Procedimientos
Auditora Computacional Mdulo 2
19
Controles Detectivos
Utilizan controles que detectan e informan la
ocurrencia de un error, omisin o acto
fraudulento
Totales de verificacin
Verificacin duplicada de clculos
Funciones de auditora interna
Informe de cuentas vencidas
Reporte de rendimiento de sistemas
Revisin de registros de actividad de sistemas (log)
20
Controles Correctivos
Minimizar el impacto de una amenaza
Remediar problemas descubiertos por
controles detectivos
Identificar la causa de un problema
Corregir errores que surgen de un problema
Modificar los sistemas de procesamiento para
minimizar futuras ocurrencias del problema
Planificacin de contingencia
Procedimientos de respaldos
Procedimientos de nueva ejecucin
21
Mdulo 2
Auditora Computacional
Contenidos
Control Interno
Normativa
Controles Generales
Sistemas TI
Niveles de Controles Generales
Pruebas CAAT
23
Auditoras Financieras
Una vez adquirido un conocimiento general de la entidad,
y antes de iniciar la revisin de los procesos y
aplicaciones de gestin significativas a los efectos de la
auditora financiera y de sus controles, se debe revisar
la situacin de los controles generales, ya que el
grado de confianza en los mismos determinar la
posterior estrategia de auditora.
En un entorno informatizado de complejidad media o alta,
la revisin de los controles generales (CGTI) requerir,
normalmente, la colaboracin de un experto en auditora
de sistemas de informacin y la aplicacin de una
metodologa especfica.
24
Normativa
NAGA 44 - Seccin 319 - Consideracin del control interno
en una auditoria de estados financieros
25
Normativa
NIA 315 (Norma Internacional de Auditora)
Entendimiento de la entidad y su entorno y evaluacin de los riesgos
de representacin errnea de importancia relativa
26
27
28
29
30
Estrategia y direccin
Organizacin general y gestin
Acceso a los recursos de TI, incluyendo datos y programas
Metodologa de desarrollo de sistemas y control de cambios
Procedimientos de operaciones
Programacin de sistemas y funciones de soporte tcnico
Procedimientos de aseguramiento de la calidad (QA)
Controles de acceso fsico
Planificacin de continuidad de negocio (BCP) / recuperacin en
caso de desastre (DRP)
Redes y comunicaciones
Administracin de base de datos
Proteccin y mecanismos de deteccin contra ataques internos y
externos
31
Sistemas TI
32
Sistemas TI
Los controles generales afectan a todos los niveles de
los sistemas de informacin, si bien estn relacionados
con mucha mayor intensidad con aquellos niveles de
carcter general que afectan a toda la organizacin y a
los sistemas TI. Es decir, los controles generales
existentes en el sistema de informacin de una entidad
pueden establecerse en los siguientes niveles:
Nivel de la entidad
Nivel de los sistemas TI
Nivel de procesos/aplicaciones de gestin
33
Niveles de CGTI
Nivel de la entidad: reflejan en la forma de funcionar de una
organizacin, e incluyen polticas, procedimientos y otras prcticas
de alto nivel que marcan las pautas de la organizacin. Son un
componente fundamental del modelo COSO y deben tener en cuenta
las operaciones TI que respaldan la informacin financiera.
34
Niveles de CGTI
Hay tres subniveles o capas tecnolgicas que el auditor debe evaluar
separadamente:
Sistemas TI de base
Sistemas operativos
Infraestructura fsica
35
Categoras de CGTI
La falta de normas tcnicas de auditora de general
aceptacin para la revisin de los CGTI en las auditoras
financieras provoca que, dependiendo del marco
conceptual que se adopte como referencia, los CGTI se
agrupan en categoras diferentes, no existiendo
unanimidad en cuanto a la clasificacin o categoras a
establecer de dichos controles
36
Categoras de CGTI
INTOSAI aprob en 2004 la Gua para las normas de control interno del sector pblico,
que forma parte de las Normas Internacionales de las Entidades Fiscalizadoras
Superiores (ISSAI) con el cdigo INTOSAI GOV 9100
Government Accountability Office (GAO) aprob en febrero de 2009 la ltima versin del
Federal Information System Controls Manual (FISCAM)
Norma Tcnica de Auditora del ICAC sobre la auditora de cuentas en entornos
informatizados
37
Pruebas CAATs
CAATs: Tcnicas de Auditoras asistidas por Computador
Cuando los sistemas tienen diferentes ambientes de
hardware y software, diferentes estructuras de datos,
formatos de registros y funciones es casi imposible para el
auditor recopilar evidencia sin una herramienta de
software para recolectar y analizar los registros.
Las CAATs incluyen las siguientes herramientas y
tcnicas: software de uso generalizado de auditora
(GAS); software de depuracin y escaneo (scanning);
datos de prueba, rastreo y mapeo (mapping) de software
de aplicaciones y sistemas expertos.
38
Pruebas CAATs
Funciones ms comunes:
Acceso a archivos
Reorganizacin de archivos
Seleccin de datos
Funciones estadsticas
Funciones aritmticas
Software ms utilizados
39