Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen Del Resumen Auditoría
Resumen Del Resumen Auditoría
Normas éticas
Responsabilidad legal: Según la Ley 18.045 del Mercado de Valores, el art. 59 establece penas de
presidio menor en su grado medio a presidio mayor en su grado mínimo a quienes entreguen
informes falsos sobre la situación financiera de una empresa. También se penalizará a quienes hagan
uso indebido de información privilegiada. La Ley 18.046 para Sociedades Anónimas, el art. 134,
establece pena de presidio menor en su grado medio a máximo, por declaraciones o informes que
indujeren en errores a los accionistas y externos. Se establece multa de hasta 4000 UF al fisco.
Proceso de Auditoría:
1. Definición de AI: objetivos stakeholders, reunir info del negocio y operaciones básicas.
Entender estrategia y conocer los reportes de control existentes para ver riesgos.
2. Planificación: identificación de riesgos. Riesgos estratégicos definidos por la dirección de la
empresa. Riesgos operacionales los que pueden afectar los objetivos de las actividades.
Evaluación de riesgos criterios para interpretar los riesgos, ver nivel de este. Cómo se hará.
Se revisarán los controles que se prueban mediante pruebas que se documentan. Luego se
ven las causas y se definen posibles acciones correctivas. Observaciones: criterio, condición,
causa, efecto, recomendación, comentarios de la adm. y valoración de la observación. AMB
3. Ejecución de AI: pruebas y etapas asociadas (crear, guardar, hacer informes)
4. Informe de AI: Conclusiones en relación con los objetivos de la auditoría. Objetivas y
consistentes.
5. Seguimiento: monitoreo de recomendaciones periódico para comprobar cumplimiento.
AUDITORÍA
Control Interno
Plan de organización y métodos y medidas tomadas para salvaguardar sus activos, asegura
la exactitud y confiabilidad de su info financiera, promover la eficiencia operacional y
promover adherencia a las políticas establecidas por la administración.
Lo llevan a cabo personas, aporta un grado de seguridad razonable, no total a los directivos.
GESTIÓN DE RIESGOS
Tipos de Riesgo:
COSO ERM
Objetivos:
ISO 31000
El propósito de la gestión del riesgo es la creación y la protección del valor. Mejora el desempeño,
fomenta la innovación y contribuye al logro de objetivos.
Los principios son el fundamento de la gestión del riesgo y se deberían considerar cuando se
establece el marco de referencia y los procesos de la gestión del riesgo de la organización:
1. Integrada: La gestión del riesgo es parte integral de todas las actividades de la organización. Debe
estar integrada en la gestión de las entidades.
5. Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos
externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a
esos cambios y eventos de una manera apropiada y oportuna.
6. Mejor información disponible: Las entradas a la gestión del riesgo se basan en información
histórica y actualizada, así como en expectativas. La gestión del riesgo tiene en cuenta
explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La
información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.
Este modelo de gestión de riesgo, posee también un marco de referencia, que tiene como propósito
asistir a la organización en integrar la gestión del riesgo en todas sus actividades y funciones
significativas. El desarrollo del marco de referencia implica integrar, diseñar, implementar, valorar
y mejorar la gestión del riesgo a lo largo de toda la organización.
AUDITORÍA TIC
Auditoría de Sistemas:
Riesgo Tecnológico es el potencial que una determinada amenaza tecnológica pueda explotar las
vulnerabilidades de un activo y causar pérdidas o daños a la empresa.
Amenaza: Hecho probable que puede producir un daño provocado por un evento natural
(terremoto, ciclón, temporales, etc.) u originado por la actividad humana (antrópico: incendios,
atentados y/o fraudes). Ejemplo de amenazas tecnológicas son: errores, fallas de hardware o
software, daños intencionales, fraudes, robo, pérdidas operativas, entre otros.
Vulnerabilidad o falta de control: Puntos débiles del software, sistemas y/o infraestructura que
permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo.
Ejemplo de vulnerabilidades son: falta o desactualización de procedimientos, configuraciones
deficientes, faltas de controles en procesos o accesos, falta de registros de accesos, de políticas de
respaldo o de una infraestructura de contingencia.
Ej. Pruebas: Revisar que los procedimientos utilizados para elaborar el plan anual de auditoría
incluyen el análisis de los reclamos o inquietudes de los gerentes. // Validar que en la estimación
del riesgo residual del proceso de elaboración del plan anual de auditoría se realizan análisis de los
reclamos o inquietudes de los gerentes. // Revisar que los procedimientos utilizados para elaborar
el plan anual de auditoría incluyen, el análisis de los reclamos o incidencias declaradas por los
clientes. // Validar que en la estimación del riesgo residual del proceso de elaboración del plan anual
de auditoría se realizan análisis de los reclamos o incidencias declaradas por los clientes.
Ej. Recomendación:
Situación: Si bien, el área de auditoría cuenta con una metodología para elaborar su plan anual,
dicha metodología no contempla la incorporación de las opiniones o reclamos de los gerentes y
clientes en la estimación del riesgo residual de los procesos contenidos en el universo auditable.
Riesgos: No considerar las opiniones o reclamos de los gerentes y clientes en la estimación del riesgo
residual puede provocar que, por error en la estimación del mismo, no se incluyan procesos críticos
en el plan anual de auditoría.
Observación: Incluir en la metodología utilizada para estimar el riesgo residual de los procesos a
auditar las opiniones y reclamos o incidentes declarados por los gerentes y clientes del Banco.
PROGRAMA DE TRABAJO
Son políticas, prácticas y estructuras organizacionales designadas para proporcionar una razonable
seguridad de que los objetivos del negocio serán alcanzados y que los eventos indeseables serán
prevenidos, detectados y/o corregidos.
Objetivos de CI:
2. Disponibilidad de sistemas
a. Definir procedimientos de contingencia que ante cualquier falla nos diga que hacer.
b. Contar con la infraestructura técnica adecuada.
c. Contar con herramientas para monitorear la operatividad.
3. Confidencialidad de la información
a. Control de acceso.
b. Se previene la modificación no autorizada de la información.
c. El acceso a los sistemas exige identificación.
d. Los usuarios mantienen el mínimo privilegio.
e. Procedimientos de validación de accesos y privilegios de los usuarios.
4. Salvaguarda de activos
a. La información de los sistemas automatizados esté protegida y actualizada
5. Registro de actividad
a. Control de eventos: trazabilidad de eventos críticos
b. Pistas de auditoría: detección de modificaciones
c. Revisión: análisis de información recogida
6. Efectividad y eficiencia
a. Los sistemas entregan información relevante, oportuna, consistente y utilizable.
b. La información es generada optimizando el uso de recursos.
7. Cumplimiento normativo
a. Los sistemas incluyan lo estipulado en las leyes, reglamentos y acuerdos, tanto internos como
externos.
Primera línea: se encarga de implementar las acciones correctivas y del mantenimiento efectivos
de los controles día a día. Adicionalmente, se debe cumplir con el objetivo fundamental de control
interno; aseguramiento de cumplir con los objetivos de la empresa.
Segunda línea: establece diversas funciones de gestión y cumplimiento para ayudar a construir y/o
monitorear los controles de la primera línea. Rinde cuenta directamente al directorio y a los órganos
del gobierno en ciertas situaciones.
Tercera línea: Entrega a los directivos y alta administración, garantía objetiva y global de que la
información y operación de línea 1 y 2 es razonablemente adecuada, mostrando un grado de
independencia a la empresa.
El control interno, como se mencionó anteriormente tiene como objetivo mitigar el riesgo a través
del establecimiento de controles. Estos se clasifican en:
- Preventivos: Detectan problemas antes que aparezcan, evitan la ocurrencia de errores,
omisiones o actos maliciosos. Ejemplo: segregación de funciones; mensajes de error en
cintas; validación de consistencia; cualificación del personal; control de acceso; uso de
software de encriptación.
- Detectivos: Permiten revelar e informar la ocurrencia de un error, omisión o acto
fraudulento. Ejemplos: verificación de cálculos; auditoría interna; totales de comprobación;
validación de entrada de datos; reportes de rendimiento; revisión de logs.
- Correctivos: Minimiza el impacto de una amenaza, remedia problemas descubiertos por los
controles detectivos, identifica las causas de un problema, corrige errores y modifica los
sistemas de procesamiento para minimizar futuros problemas. Ejemplo: plan de
contingencia; procedimientos de respaldo; reversas de operaciones; reejecución de
procesos.
- Compensatorios: Mitiga la falta de controles automáticos.
Auditoría de Sistemas
Una vez analizados los riesgos y sus controles se deben realizar pruebas de auditoría, para probar
estos controles y las aseveraciones contables. Con esto, se busca generar evidencia que debe estar
documentada en papeles de trabajo. Estos documentos deben cumplir con ser: suficiente,
relevante, independiente, fiable, objetiva y adecuada.
Las políticas (Por qué) son documentos de alto nivel que representan la filosofía de la empresa, son
claras y concisas y deben ser revisadas periódicamente. Son creadas, desarrolladas y promulgadas
por la gerencia, y los empleados deben ser capacitados para que entiendan los lineamientos
contenidos en estas políticas. Estas deben apoyar los objetivos del negocio y la implementación de
controles de TI.
Los estándares (Qué) son los criterios o requisitos mínimos aceptables para la operación de procesos
específicos, con el fin del asegurar la calidad en la presentación de los servicios. Señalan el
comportamiento esperado y deseado en los empleados, y son utilizados como guías para evaluar su
funcionamiento y lograr el mejoramiento continuo. Se debe realizar un seguimiento y control de los
estándares.
Los procedimientos (Cómo) son pasos detallados que se definen y documentan para implementar
políticas. Deben ser claros y concisos, generalmente son dinámicos dependiendo de cómo cambia
el entorno. Los auditores deben revisar los procedimientos para identificar, evaluar y probar los
controles definidos.
Existen cuatro estrategias de gestión de riesgos, que son evitar (no implementar actividades
riesgosas), mitigar (reducir la probabilidad o impacto del riesgo), transferir (compartir el riesgo) o
aceptar (no se toman medidas). También se puede ignorar o rechazar el riesgo, pero esto puede ser
altamente riesgoso.
Para llevar a cabo un correcto proceso de gestión de riesgos, se debe establecer el propósito del
programa (disminuir riesgos, costos, número de accidentes), definir indicadores de desempeño y
evaluar los resultados para determinar la efectividad del programa.
Desarrollo y Mantenimiento de Sistemas: si no hay controles adecuados en el proceso de
adquisición o desarrollo de sistemas se puede afectar la:
- Efectividad, ya que los proyectos pueden no cumplir con lo definido por las unidades de
negocio.
- Eficiencia dado que se pueden realizar inadecuadas evaluaciones de costos, tiempos y
recursos.
- Integridad de la información, ya que se pueden introducir rutinas no solicitadas por el
usuario.
- Confidencialidad, por el nivel de participación del área de seguridad de información en las
fases del proyecto.
Actividades: alineación estratégica; caso de negocio; atención de clientes; plan tecnológico; ciclo de
vida de productos.
Los proyectos, deben pasar por las actividades mostradas anteriormente:
Factibilidad: Análisis de los beneficios y la relación con la estrategia del negocio, riesgos asociados,
si se satisfacen las necesidades, si mejora algún sistema y si el proyecto es compatible con la
infraestructura.
Definición de requerimientos: El proyecto debe estar relacionado con la estrategia a largo plazo, se
debe describir cómo funciona el proyecto, como este interactúa con otros sistemas, que controles
de seguridad son necesarios. Debe existir participación de las gerencias y los usuarios, además de
un documento formal de requerimiento
Implementación: Se debe contar con ambientes separados, realizar pruebas de sistemas, ejecutar
conversión de datos, ejecutar la conversión de datos, formalizar la aceptación usuaria y
promocionar las aplicaciones al ambiente productivo.