ELEMENTOS DE VALORACIÓN DEL RIESGO Y ACTIVIDADES

RELACIONADAS: NIA 320

ELIANA ROCIO SEGURA ALVAREZ

LILIANA HORTA CAMACHO

LINA YISELA TOVAR TOVAR

CORPORACION UNIVERSITARIA MINUTO DE DIOS

CIENCIAS EMRESARIALES

CONTADURIA PÚBLICA

SEMESTRE VII

NEIVA

2017

ELEMENTOS DE VALORACIÓN DEL RIESGO Y ACTIVIDADES

RELACIONADAS: NIA 320

1
 ELIANA ROCIO SEGURA ALVAREZ I.D 427668

LILIANA HORTA CAMACHO I.D 429258

LINA YISELA TOVAR TOVAR I.D 425989

PRESENTADO A:

YANNY MILENA ESCOBAR

(DOCENTE)

CORPORACION UNIVERSITARIA MINUTO DE DIOS

CIENCIAS EMRESARIALES

CONTADURIA PÚBLICA

SEMESTRE VII

NEIVA

2017

2
 TABLA DE CONTENIDO

Pág.

INTRODUCCION 4

OBJETIVO GENERAL 5

Objetivos Específicos 5

ELEMENTOS DE VALORACIÓN DEL RIESGO 6

Y ACTIVIDADES RELACIONADAS: NIA 320

CONCLUSIONES 16

BIBLIOGRAFIA 17

3
 INTRODUCCION

El siguiente trabajo se realiza con el propósito de conocer la importancia de las TIC en el

proceso de la auditoria, permitiendo que los negocios evolucionen a medida que las

necesidades de la información crecen, sin embargo el uso de las TIC al igual que los

sistemas manuales pueden generar riesgos importantes e incluso perdidas si estos son

ignorados.

En la auditoria sean creados controles para garantizar el funcionamiento de las TIC,

mediante la adquisición de sistemas de seguridad que permitan el mantenimiento del

software, la administración deberá generar y asignar los recursos que garanticen el buen

funcionamiento de las TIC.

4
 OBJETIVO GENERAL

Identificar los elementos de valoración del riesgo y actividades relacionadas con la

NIA 320

Objetivos Específicos

identificar los temas del Impacto y control de la tic en la auditoria.

Conocer los modelos de administración de riesgos NTC 5254 e ISO 31000, así

como la construcción de matrices de riesgos, Tipos de controles antifraude y

Controles generales de las TIC.

5
 ELEMENTOS DE VALORACIÓN DEL RIESGO Y ACTIVIDADES
RELACIONADAS: NIA 320

La norma requiere que el auditor externo aplique procedimientos de auditoría diseñados

para identificar y evaluar la existencia de errores importantes o significativos a nivel de

estados financieros y a nivel de las aseveraciones presentadas en dichos estados, haciendo

la aclaración de que el hecho de que el auditor externo haya cumplido con este proceso no

representa que haya obtenido suficiente y apropiada evidencia de auditoría para sustentar su

opinión profesional. Al respecto, debe tenerse en cuenta que los procedimientos diseñados

para efectos de la evaluación de riesgos, pueden o deben considerar, entre otras, las

siguientes acciones o procedimientos:

Desde el proceso de evaluación del prospecto de un cliente o de continuar con uno

existente, el auditor externo debe estar alerta para “pescar” (detectar) situaciones o hechos

que pudieran ser indicativos de la existencia del REIEF, mediante:

Cuestionamientos a la administración y a cierto personal seleccionado de la entidad, para

obtener información que ayude al auditor o para identificar riesgos de error importante

debido a fraude o a error.

Aplicación de procedimientos de revisión analítica general y de observación e inspección.

Cuando el auditor externo ha realizado trabajos o tenido experiencias anteriores, respecto a

un prospecto de cliente, con uno de primera vez o con uno recurrente, debe evaluar lo

apropiado de considerar los resultados obtenidos de esas experiencias previas, con objeto

de contar con elementos que le apoyen en su proceso de detección y evaluación del REIEF.

Una actividad dentro del proceso de una auditoría que puede dar resultados satisfactorios en

el proceso de determinación y evaluación de riesgos es el que los ejecutivos clave de una

6
auditoría (socio a cargo, gerente y supervisor, en ciertos casos el ejecutivo revisor

independiente o el socio concurrente) celebren reuniones de trabajo, cuyo objetivo

primordial sea discutir sobre la susceptibilidad de los estados financieros a incluir errores

importantes.

Las TIC en el proceso de la auditoria son importantes por ser un elemento crítico

para el éxito y la supervivencia de las organizaciones, algunos factores que influyen

son:

Por la creciente dependencia en información y en los sistemas que proporcionan

dicha información.

7
 Por la escala, el costo de las inversiones actuales y futuras en información así como

en tecnología de información.

En la actualidad reviste de importancia por el impacto que genera en los Fraudes, e-

comerce, Seguridad en la información (accesos no deseados), Fuga de información y

las pérdidas monetarias.

la importancia que han adquirido los sistemas de TI en la información contable, por

el volumen de operaciones procesadas en ellos, así como por la pérdida de huellas

visibles y concentración de funciones contables que frecuentemente se dan en un

ambiente de este tipo, el auditor debe conocer, evaluar y, en su caso, probar el

sistema de TI como parte fundamental del estudio y evaluación del control interno.

Así como documentar adecuadamente sus conclusiones sobre su efecto en la

información financiera y el grado de confianza que depositará en los controles.

El alcance al efectuar el examen del control interno establecido en la TI, dependerá

de la importancia que las aplicaciones en el proceso de la información financiera.

La TI, por su complejidad y su constante evolución, requiere para el estudio y

evaluación de su control interno de personal con entrenamiento técnico y capacidad

profesional adecuados, que muchas de las veces se transforman en uso de

especialistas.

El impacto que eventualmente pueda tener una deficiencia o desviación de control

interno en el área de TI puede ser menos evidente y, sin embargo, tener mayor

repercusión en errores en los estados financieros que pasen inadvertidas.

Lo anterior significa que el auditor está obligado a efectuar su revisión utilizando

todos los elementos que le permitan asegurarse de que la información financiera a

dictaminar se procesa adecuadamente, ya sea de forma interna o externa.

8
En primer lugar, debe mencionarse que, para que el control interno funcione en una

empresa determinada, es necesario que su estructura organizacional esté diseñada para

que quienes son responsables del establecimiento de los procedimientos de control

y de su supervisión, tengan la autoridad necesaria para hacer cumplir sus objetivos.

Esto es particularmente importante en el área de la TI, ya que ocasionalmente estas

funciones en las empresas serán nuevas o recientes y quizá no se les haya

asignado un nivel adecuado en la estructura de organización.

Los controles generales se enfocan a la organización general del departamento y a

las funciones de quienes intervienen en el desarrollo de sistemas; esto es, el medio

ambiente en que se desarrollan los sistemas. Los controles de aplicación o

específicos se refieren a los establecidos en la operación del computador que

incluye la entrada, el proceso y la salida de datos, o sea, que todos los datos se

procesen una sola vez oportunamente (entrada), sujetos a un proceso de validación

(proceso) y que sean la base para producir información confiable y completa (salida).

Cuando se tiene TI en la propia empresa, la revisión del estudio y evaluación de

control interno, deberá dirigirse principalmente a los siguientes aspectos:

CONTROLES GENERALES

Pre-instalación

Se refiere al estudio de viabilidad y selección de equipo que debe (o que debió)

efectuarse previo a la adquisición de un equipo de cómputo, así como el

acondicionamiento físico y medidas de seguridad en el área donde se localiza el

equipo y a la capacitación de personal y adquisición o desarrollo de sistemas.

Organización del departamento de TI

9
Comprende la correcta estructura organizacional del departamento, principalmente la

adecuada segregación de labores, la definición de políticas, funciones y

responsabilidades, así como la asignación de personal competente.

Control del desarrollo de sistemas

Se debe contar con estudios preliminares que justifiquen las aplicaciones, así como

con definición de los estándares para el diseño, programación, prueba y

mantenimiento de los sistemas. Estos estudios y los estándares definidos por la

empresa deben quedar documentados adecuadamente.

Al desarrollar nuevos sistemas, puede ser necesario llevar un paralelo, por el tiempo

necesario, el sistema anterior y el nuevo.

Es necesario que, en la definición de los estándares para el desarrollo de sistemas, se

incluyan los procedimientos que aseguren que el sistema a desarrollar ha sido

autorizado por un funcionario responsable; además, que en el propio desarrollo exista

una intervención activa del que va a ser usuario del sistema y de quien lo va a

auditar, esto último con el objeto de establecer desde esta etapa, los controles

necesarios y las pistas de auditoría.

En la definición de estándares, también deben incluirse los procedimientos de

autorización de cambios.

Control de la documentación

Necesidad de que todos los programas, la operación y los procedimientos relativos

estén adecuadamente documentados y actualizados. Es conveniente que se tenga un

respaldo actualizado de esta documentación fuera de las instalaciones del centro de

cómputo, así como la historia de los cambios efectuados.

Control de la operación
10
Comprende la creación de un medio ambiente que garantice efectividad en la

producción de la sección de operaciones y proporcione la seguridad física suficiente

sobre los registros que se mantienen en el centro de cómputo, así como el

establecimiento de controles adecuados que eviten el acceso de personal no

autorizado.

Esto es especialmente crítico cuando existe teleproceso distribuido (terminales

remotas).

Es muy importante también contar con una razonable seguridad contra la destrucción

accidental de los registros durante el proceso y asegurar la continuidad de la

operación y, en su caso, la recaptura de datos; asimismo, prevenir y detectar la

manipulación fraudulenta de datos durante los procesos por el personal del

departamento de TI y prevenir el mal uso de la información.

Con el fin de no entorpecer los procesos cuando ocurran rupturas importantes en el

computador, se deberá contar con equipos de respaldo para ser utilizados en esos

casos.

Asimismo, se deben llevar a cabo los simulacros con dichos equipos para asegurar

que no haya cambios que imposibiliten la utilización oportuna de dichos equipos de

respaldo. Incluye también controles ambientales contra exceso de humedad y

temperatura; además, el lugar de la instalación del computador debe estar

debidamente protegido contra siniestros (fuego, inundación, alborotos populares, etc.),

y no deberá estar expuesto o exhibido a la vista del público.

CONTROLES DE APLICACIÓN O ESPECÍFICOS

Controles de entrada

11
Asegurar que toda la información que vaya a ser procesada por el computador esté

completa y correcta y que existan controles adecuados para el manejo de

información rechazada (revisión, corrección, previsión y oportuna reentrada en TI).

Controles de proceso

Asegurar la exactitud del proceso de la información por el computador.

Autorización y controles de salida.

Asegurar que toda la información que se procesa está debidamente autorizada y que

existen controles sobre el acceso al computador, ya sea para obtener información o

para modificarla por alguna transacción, sobre todo cuando es a través de sistemas

en línea o de teleproceso distribuido (terminales remotas), puesto que únicamente

personal autorizado debe tener acceso a los datos e informes de TI y que los

cambios a los archivos sean autorizados únicamente por el personal designado.

ESTABLECIMIENTO DE HUELLAS O PISTAS.

Asegurar lo adecuado de las huellas o pistas en la transformación de la

información. Cuando la TI se realice en un centro de cómputo externo, la revisión,

estudio y evaluación del control interno deberá dirigirse principalmente a los

siguientes aspectos:

Selección del centro de cómputo.

Debe seleccionase un centro de cómputo que asegure la obtención de información

confiable y oportuna, vigilándose aspectos como: su localización, seguridad en el

manejo de datos y archivos, organización, capacidad instalada y soporte técnico.

Contrato de servicio.

El contrato con el centro de cómputo debe contener los términos en que el servicio

será prestado.
12
 Control de los datos

Es necesario que toda la información enviada, ya sea a través de unidades de

proceso directo (terminales) o bien, físicamente, se someta a un control que asegure

que se incluyen todos los datos, que la información transmitida sea correcta, que

existan archivos de soporte en caso de pérdida accidental de información y que la

información se devuelva completa y oportunamente a la empresa una vez procesada.

Personal

La relación con el centro de cómputo, así como el envió de la documentación,

recepción y revisión de la información debe estar asignada a personal competente.

Otros controles

En general, la empresa que contrate servicios de TI a través de un centro de

cómputo externo, debe asegurarse de que dicho centro reúna los controles

comentados en la sección de controles generales y de aplicación o específicos

En términos generales, debemos evaluar:

CARACTERÍSTICAS DE LA TI.

La importancia de las aplicaciones.

El grado de transformación de la información (desde compilaciones sencillas de

datos hasta transformaciones sofisticadas de las huellas o pistas dejadas en estos

procesos, ya sean estás visibles o incorporadas en los mismos sistemas; estas últimas

solamente pueden ser localizadas y verificadas a través de pruebas usando el mismo

computador).

El grado de confianza que el auditor deba depositar en los sistemas de control

interno integrado a la TI.

Lo anterior a través de tres fases:

13
Primera fase. Estudio preliminar, obligatorio y necesario efectuar en todas las

empresas que usen en alguna forma la TI para la obtención de su información

financiera.

Segunda fase. Ampliación del estudio de control interno. De aplicación obligatoria

cuando en el estudio preliminar se ha determinado que se tienen aplicaciones de

importancia para la obtención de la información financiera, que existen

transformaciones importantes en la información y de que el auditor tiene que confiar

en una medida importante en el control interno existente sobre dichas aplicaciones.

Tercera fase. Pruebas a los controles de TI. De aplicación obligatoria cuando la

importancia de los sistemas sujetos a procesos sea tal en cuanto a las

transformaciones de información y al grado de confianza que el auditor depositará

en el control interno, que él no efectuar pruebas de cumplimiento a los controles de

TI, limita el alcance de trabajo del auditor al no obtener la necesaria evidencia

suficiente y competente.

Habrá casos en que el auditor deba, necesariamente, confiar en el control interno de

TI y, por lo tanto, tenga que evaluarlo y después probarlo en forma completa e

integral a través de pruebas de cumplimiento.

Sin embargo, también habrá casos que por el resultado esperado de sus pruebas

sustantivas, de importancia relativa y de riesgo probable, el auditor obtendrá la

necesaria evidencia suficiente y competente que le permita solamente evaluar ciertos

controles internos importantes y reducir sustancialmente sus pruebas de

cumplimiento, limitándolas estas aprobar controles internos importantes de entrada,

proceso y salida y, por lo tanto, solamente cumplir con la primera fase y, según las

circunstancias, cubrir parcialmente la segunda y omitir la tercera.

14
Es importante señalar que desde la primera fase, se requiere de experiencia en

auditoría de TI por parte del auditor y conforme se vaya pasando a las siguientes

fases, se requerirá de mayor capacitación.

EVALUACIÓN DE RIESGOS

Una vez documentado y probado el control interno de TI, debemos evaluar los

resultados de dicho proceso para determinar el alcance y oportunidad de nuestros

procedimientos de auditoría.

Los riesgos identificados son evaluados en relación con el impacto que podrían tener

en los estados financieros, durante las etapas de planeación, estrategia y ejecución del

trabajo, ya que cualquier riesgo de la compañía se transforma en un riesgo de

auditoría.

Asimismo, se debe identificar como la gerencia mitiga dichos riesgos y qué riesgo

remanente debemos evaluar.

Dependiendo de la evidencia que encontremos en el área de sistemas, concluiremos

si los controles del área de TI son efectivos o no.

15
 CONCLUSIONES

Al conocer la NIA 320 puedo concluir la responsabilidad que tiene el auditor en la

preparación y evaluación de la información sobre los juicios que pueda emitir acerca de los

estados financieros, ya que el criterio que se emita es necesario para la toma de decisiones.

Los controles de seguridad ayudan a prevenir que los riesgos se materialicen y poderlos

detectar cuando no sea tarde. Una vez que se identifican los riesgos para proteger los

sistemas, se pueden aplicar medidas como mantener buenos hábitos de uso del sistema

tomando en cuenta que de nosotros depende el buen funcionamiento del mismo.

16
 BIBLIOGRAFIA

ALVIN ARENS, E. M. (s.f.). AUDITORIA UN ENFOQUE INTEGRAL. DECIMO

PRIMERA.

RAMIREZ CALLEJA, HECTOR A. Sistemas de Tecnología de Información (TI) y su

efecto en la auditoría de estados financieros. Revista Contaduría Pública

www.contaduriapublica.org.mx

17