m1 espe auditoria conceptos.pdf
Post on 07-Dec-2014
133 Views
Preview:
TRANSCRIPT
1
Conceptos, Fundamentos y Tendencias
Maestría en Gerencia de Sistemas
• Ing. Giovanni Roldán31 de Mayo de 2006
Auditoria Informática
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 2
Objetivos del Módulo
• Describir la función y metodología de la Revisión
• Reconocer las normas de Auditoria interna que rigen la práctica profesional de la Revisión
• Identificar los tipos de riesgo• Comprender el concepto de control interno y los
tipos y clasificaciones de controles internos• Distinguir entre procesos y controles e
identificar controles eficaces e ineficaces• Reconocer conceptos clave y las mejores
prácticas para la Revisión
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 3
Taller
1. Cuál es el principal activo en su compañía?
2. Cómo cuida ese activo?
3. Cuáles son los riesgos asociados?
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 4
Qué es la Auditoria?
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 5
Cuál es el objetivo de la Auditoria?
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 6
Para que?
• Brindar una certidumbre razonable
• Cumplir las metas y objetivos del negocio
• Eficacia y eficiencia operativa
• Confiabilidad e Integridad de Informes Financieros
• Cumplir las leyes y reglamentaciones
• Brindar advertencia temprana de deterioro
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 7
Porqué?
• 80% de fraudes son internos
• Por la rotación del personal
• Por cambios en leyes, políticas y procedimientos– Nuevos controles: ambientales, diversidad…
• Por cumplir con normas de calidad
• Por cumplir con la satisfacción del cliente
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 8
Definición de Auditoria más aceptada
• Proceso sistemático para:– Obtener y evaluar evidencia en forma objetiva
acerca de aseveraciones sobre hechos y acontecimientos
– Determinar el grado de correspondencia entre aquellas aseveraciones y los criterios establecidos
– Comunicar los resultados a los usuarios
Comité de Conceptos de la Auditoria
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 9
Aspectos clave de la Definición
Un proceso de preparación de informes documentado rápidamente comunica los resultados de la revisión a la gerencia.
Comunicar los resultados
Las revisiones establecen la concordancia de las aseveraciones con las políticas/procedimientos corporativos y los criterios de control, legales, regulatorios o de calidad especificados.
Grado de correspondencia
Las revisiones examinan el respaldo subyacente de las aseveraciones. (Una aseveración es una proposición que puede demostrar ser verdadera o falsa).
Evaluar evidencia
Las revisiones se llevan a cabo con una actitud mental libre de prejuicio.
Obtener en forma objetiva
Las revisiones son actividades estructuradas que siguen una secuencia lógica.
Proceso sistemático
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 10
Taller: Participantes y Criterios
ClientesOrganismos de
Control
Leyes y Reglamentos
Políticas y Procedimientos
Auditores Externos
Advertencia: Algunas imágenes aparecen más exageradas de lo que son.
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 11
Taller
• Usted es el Gerente Nacional de Ventas– El Gerente Regional de la Costa:
• Cumple con las cuotas de ventas• Incumple con los políticas y procedimientos
– El Gerente Regional de la Sierra:• Cumple con las cuotas de ventas al 60%• Cumple con los políticas y procedimientos
• 1.- Qué haría Ud?• 2.- Cuál cree que es el criterio más aplicado en las
multinacionales?• 3.- Cuál cree que es el criterio más aplicado en las
nacionales?
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 12
¿¿DDóónde estnde estáá el riesgo?el riesgo?
El Riesgo Persiste
1960 2005
Riesgos de procedimientos manualesRiesgos en procesos automáticos
Forjado de FirmasForjado de Firmas
FalsificaciFalsificacióón de documentos de Identidadn de documentos de Identidad
FalsificaciFalsificacióón de Chequesn de Cheques
Complicidad InternaComplicidad Interna
Cartera de servicios básica
Cuenta corriente
Tecnología costosa, poco flexible
Tecnologías
Mainframe
Diversificación de servicios
Cuentas corrientes, ahorros, fideicomisos, Cobranzas, arrendamientos, facturación, fondo de inversiones
Tarjetas de crédito
Tecnologías
Mainframe
Cluster de conexiones
Servidores de Aplicaciones
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 13
¿¿DDóónde estnde estáá el riesgo?el riesgo?
El Riesgo Persiste
1960 2005
Riesgos de procedimientos manualesRiesgos en procesos automáticos
Fisgoneo de Clave SecretaFisgoneo de Clave Secreta
ObtenciObtencióón fraudulenta de Clave Secretan fraudulenta de Clave Secreta
Aparición de la Banca electrónicaSWIFT – EDI POS – ATM - CALL CENTER
TecnologíasEquipos POS – ATMServidores de conexión SWIFTFrame Relay
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 14
¿¿DDóónde estnde estáá el riesgo?el riesgo?
El Riesgo Persiste
1960 2005
Riesgos de procedimientos manualesRiesgos en procesos automáticos
RetenciRetencióón de TDC y TDD en ATMn de TDC y TDD en ATM´́ss
ManipulaciManipulacióón ATMn ATM´́ss
Arqueo ATMArqueo ATM´́ss
FalsificaciFalsificacióón de Pln de Pláásticossticos
Advenimiento del e-business y creación de nuevos canales
e-banking - B2B - Monederos electrónicos
IVR
Tecnologías
Servidores de servicios electrónicos
Portales WEB
Servidores de servicios IVR
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 15
¿¿DDóónde estnde estáá el riesgo?el riesgo?
El Riesgo Persiste
1960 2005
Riesgos de procedimientos manualesRiesgos en procesos automáticos
Captura de Datos Captura de Datos -- ClonaciClonacióónn
LegitimaciLegitimacióón de Capitalesn de Capitales
Implantes de CHIPS en POSImplantes de CHIPS en POS
Generadores AutomGeneradores Automááticos ticos
de Nde Núúmeros de TDCmeros de TDC
Y2K: ¿Actualización o adaptación?
Reemplazo de los sistemas individuales por sistemas integrados
Ejecución de proyectos de adaptación de la plataforma al nuevo milenio
Tecnologías
Actualización de sistemas
Reemplazo de los sistemas
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 16
¿¿DDóónde estnde estáá el riesgo?el riesgo?
El Riesgo Persiste
1960 2005
Riesgos de procedimientos manualesRiesgos en procesos automáticos
Fallas en los controles de pruebasFallas en los controles de pruebas
AnAnáálisis errlisis erróóneos o incompletosneos o incompletosMicrotransacciones
Múltiples canales de atención
Integración del ambiente (Cliente como elemento central)
Consolidación de datos, equipos y sistemas
Identity Management
Estandarización en el proceso de intercambio de información (XML)
Fomento en el uso de canales alternos
Tecnologías
Integración de Sistemas de Computación
Infraestructura de claves públicas y privadas
SW y HW de Administración de usuarios y VPN
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 17
¿¿DDóónde estnde estáá el riesgo?el riesgo?
El Riesgo Persiste
1960 2005
Riesgos de procedimientos manualesRiesgos en procesos automáticos
PhisingPhising
Robo de SesionesRobo de Sesiones
SniffingSniffing
PPááginas Web Fraudulentasginas Web Fraudulentas
Accesos no autorizadosAccesos no autorizados
Hurto de InformaciHurto de Informacióón Sensiblen Sensible
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 18
Taller
• Con todos los medios tecnológicos para hacer daño y hacer fraudes: – Virus, hackers, pishing, etc…
• Debe ser la Seguridad Tecnológica el énfasis de la Auditoria Informática?– Si / No
– Porqué?
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 19
• Evalúan la eficacia de los Controles Internos• Ayudan a mantener la eficacia en el tiempo
• Fija parámetros éticos• Visión global del negocio• Pautas de actuación• Dueño de la Información
Toda la Organización
Auditoria y Control Interno
Directorio
Gerencia General
• Fija la pauta• Fija los factores del ambiente de control• Selecciona al Sr. Mgmt.• Establece políticas y procedimientos de control más específicas
Auditores Internos
• Control Interno como parte de su función• Realizan las funciones necesarias para efectuar el control• Comunican a nivel superior: Problemas y Novedades
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 20
Aplicaciones- Control Acceso- Control ingreso y rechazo datos- Control transmisión datos- Control Interfaces
Infraestructura Tecnológica- Autenticación/encripción- Confianza en servicios de terceros- Estudios de Penetración - Recuperación de Datos - Acceso físico- Políticas de seguridad de activos de información
Ambiente de Riesgo- Riesgo organizacional- Riesgo Operacional
(Normas COSO)- Riesgo Financieros- Riesgo de privacidad- Riesgo de
Globalización
Aplicaciones e-business- Seguridad aplicación- Integridad interfases- Integridad información- Transmisión datos- Seguridad Web
Procesos del Negocio- Controles de procesos- Planificación de la
continuidad del negocio
Estructura de Riesgo Integrada
Aplicaciones
Aplicaciones e-busines
Infraestructura TI
Internet Intranet Extranet
Mercado
Proveedores
Clientes
Procesos del Negocio
Ambiente de Riesgo
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 21
Indicadores clave de los riesgos de la tecnología
Ausencia del software de seguridad
Ausencia de la función de seguridad de activos de información
Elevado número de reprocesos
Uso significativo de herramientas automatizadas
Complejidad tecnológica
Falta de formalidad en las políticas y procedimientos
Bajo nivel de seguimiento a las violaciones de seguridad y actividades de usuarios en general
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 22
Internal Control Componentes C.O.S.O
Seguimiento
Actividades deControl
Evaluación del Riesgo
Ambiente de Control
Comunicación
Información
•Contenido:• ¿Contiene toda la información
necesaria?• Oportunidad:
• ¿Se facilita en el tiempo decuado?• Actualidad:
• ¿Es la más reciente disponible?• Exactitud:
• ¿Los datos son correctos?• Accesibilidad:
• ¿Puede ser obtenida fácilmente por las personas adecuadas?
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 23
Matrices de Riesgo
• Ayuda a definir, consensuar y asignar responsabilidades de los riesgos.
• La definición de Matrices de Riesgo debe ser una responsabilidad de la Empresa y no un trabajo aislado de auditoria.
• El trabajo de conceptualizar, formular y definir la primera versión de la Matriz puede tomar bastante tiempo; posteriormente ésta se ajusta para recoger experiencias externas e internas y hacerla consistente con las “Mejores Prácticas”.
• Para los riesgos de la Matriz, se debieran establecer indicadores, que faciliten los análisis, generen planes de acción con responsables, plazos y su posterior seguimiento.
• Cada organización debe desarrollar su propio enfoque sistemático (desarrollo de herramientas), acorde a sus riesgos y realidad
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 24
Ejemplo de Matriz de Riesgo
A
Sam
ple 10-20 approvals for user access
1. Verify that accesses to Internet has been approved by direct management and granted TIS (Technology Infrastructure Services) organization.2. Determine that access to internet services is approved by managers.3. Determine that access is granted through the corporate process established for this purpose on a case-by-case basis: Internet Access and Registration. Ensure that them manager must review/agrees with the reasons why Internet access is being granted to the individual before approving the form. 4. Verify that access is granted by an independent unit that is not involved in Technology Project design, development and implementation.
LS
1. Access to internet services must be approved by managers and controlled by IT through filters.2. Access is granted through the corporate process established for this purpose on a case-by-case basis: Internet Access and Registration. The Manager must review/agree with the reasons why Internet access is being granted to the individual before approving the form. 3. Access is granted by an independent unit that is not involved in Technology Project design, development and implementation.
M
Misuse of Internet access can disrupt productivity and even expose the organization to image and/or legal risks
Granting A
ccess to the Internet
Internet Managem
ent
Freq
.
Sam
ple S
ize
Test Methodology
Resid
ual R
iskH
/M/L
Qu
ality of
Co
ntro
lS
/NI/U
Key Controls / Control Activity
Inh
erent R
isk H
/M/L
Key R
isks
Pro
cesses
Pro
du
cts / F
un
ction
s
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 25
Matrices de Riesgo
• Ventajas– Tiende a objetivizar el
análisis.
– Establece parámetros de comparación.
– Permite hacer medición de la evolución.
– Genera participación activa del auditado
• Aspectos a cuidar– Es clave una adecuada
definición de las ponderaciones
– Se deben cubrir la mayoría de riesgos
– Se deben ajustar formatos de informes para que exista consistencia
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 26
Taller
• Conocimientos y habilidades que debe tener el Auditor?–
–
–
–
–
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 27
Buenas Prácticas
• Proceso planificado– Ya no es a la sorpresiva
– Proceso continuo
• Debe haber una metodología
• Auto evaluación
• De reactivo a preventivo
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 28
Buenas Prácticas
• Independencia de funciones
• Educación y entrenamiento técnico del Auditor
• Controles compensatorios• Alcance correcto de la revisión
• Evidencias
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 29
Taller
• Actividades que realiza de un auditor proactivo:–
–
–
–
–
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 30
Retos de los Revisores actuales
• Conceptualizar cada proceso de negocio
• Definir el alcance de cada auditoria por proceso
• Comprender sus partes estratégicas y operativas
• Dimensionar su alcance en el sistema computacional
• Evaluar los aspectos de control
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 31
Revisión
• Pregunta: Seleccione cinco frases claves que pertenezcan a la definición de auditoria:
– a) Obtener evidencia en forma objetiva.– b) Grado de riqueza– c) Responsabilidades operativas– d) Proceso sistemático.– e) Grado de correspondencia.– f) Integrada con responsabilidades de la línea– g) Comunicar los resultados a los usuarios.– h) Proceso aleatorio– i) Evaluar evidencia en forma subjetiva– j) Evaluar aseveraciones contra criterios establecidos.– k) Afirmaciones y negativas– l) Administración de riesgo
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 32
Revisión
• Pregunta: Las auditorias internas son llevadas a cabo por:– a) estudios contables públicos– b) empleados de la Empresa– c) contratistas independientes– d) abogados de la empresa
• Pregunta: Complete la siguiente afirmación. La misión de los auditores internos es investigar en forma independiente la suficiencia y eficacia de los ___________________ de la Empresa.
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 33
Revisión
• Pregunta: Los auditores externos se basan en la precisión del trabajo de revisión de auditoria interna para reducir el alcance del trabajo de auditoria.– a) Verdadero– b) Falso
• Pregunta: La Unidad de Revisión de Auditoria Interna cumple:– a) una función de soporte.– b) una función de negocios.– c) una función de centro de ganancias.– d) una función de administración por objetivos.
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 34
Revisión
• Pregunta: Identifique la organización que evalúa la eficacia de los controles.– a) El Departamento Operativo– b) La Unidad de Control Financiero– c) La Unidad de Revisión de Auditoria Interna– d) El Directorio
• Pregunta: Identifique dos partes de la misión de la Unidad de Revisión de Auditoria Interna
– a) Evaluar el impacto de los procesos de negocios sobre las relaciones con los clientes.– b) Comparar la rentabilidad de todas las unidades de negocios dentro del país o la región.– c) Evaluar el desempeño y los controles de las funciones y procesos de soporte del negocio .– d) Mejorar los controles en forma continua mediante el análisis de los riesgos existentes y
anticipados .– e) Implementar procedimientos de control en todas las unidades de negocios.
• Pregunta: Identifique la actividad que es el mejor ejemplo del componente proactivodel Auditor:
– a) El auditor evalúa los procedimientos existentes para resguardar los procesos.– b) El auditor alerta a la gerencia cuando se descubren desvíos de los procedimientos.– c) El auditor documenta los puntos débiles en los controles para resguardar los procesos.– d) El auditor sugiere un rediseño de procesos para resguardar mejor las transacciones .
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 35
Revisión
• Pregunta: Identifique el criterio que usaría para determinar el alcance de una revisión de Auditoria. Una revisión de Auditoria debe asegurar que:– a) se encaren en forma adecuada los riesgos principales de todos los
procesos y productos .– b) se midan y evalúen todos los riesgos internos y externos.– c) se reporte adecuadamente toda la información financiera.– d) todos los procesos y controles estén funcionando según fueron diseñados.
• Pregunta: La posición dentro de la organización de la función de revisión de Auditoria como una unidad distinta está destinada a cumplir la norma desarrollada para:– a) el alcance del trabajo.– b) independencia.– c) pericia profesional.– d) desempeño del trabajo de auditoria.
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 36
Taller
Las ecuaciones:
Riesgo vs. Ingresos
Riesgo vs. Gastos
Cuál se identifica primero?
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 37
Taller
• Qué criterio aplicaría Usted?– Todos los departamentos y procesos deberían ser
revisados ya que en cualquiera de ellos pueden producirse problemas
– Los departamentos y procesos con los más altos riesgos identificados deberían recibir la mayor atención por parte del personal.
• Qué criterio aplicaría Usted?– Tecnología debería ser auditada al menos una vez al
año.– Tecnología debería ser auditada cada vez que se
revisa un departamento o proceso importante del negocio
• Qué cree que opinan los Auditores sobre esto?
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 38
Criterios para Identificar Áreas Críticas
• El monto del producto o riesgo operativo inherente
• El grado de complejidad del proceso
• La contribución a los ingresos, ganancias o gastos
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 39
Taller
• Criterios para identificar Riesgos en Tecnología:
1.
2.
3.
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 40
Taller
• Qué paso con:– Parmalat
– Filanbanco
– Arthur Andersen
– Banco Popular
– La Universal
– WorldCom
– Enron
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 41
Metodología General de Revisión
Identificación de losProcesos y Productos
Identificar los RiesgosAsociados
Determinar los ControlesClave
Evaluar la Eficacia deLos Procesos
1
23
4• Segregación de Funciones• Supervisión / Revisión /• Autorización / Aprobación• Seguridades• Conciliaciones y Controles• Confirmación de contrapartes• Controles de acceso a datos• Políticas de Personal• ….
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 42
Niveles de Riesgo
Riesgo de
Revisión
Riesgo de Control(Controles Inadecuados)
Riesgo Inherente
Mayo
r Co
ntro
l Co
nsi
der
acio
nes
• Posibilidad de pérdida significativa• Parte de la naturaleza del negocio
• Consecuencias de la presencia / ausencia del Control• Eficacia del proceso:
• Riesgo vs. Costo de Implementar• Riesgo vs. Recursos• Riesgo vs. Satisfacción del Cliente
• Naturaleza de los Controles• Preventivos vs. Pro activo• Automáticos vs. Manuales
• CheckLists• CheckPoints
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 43
Riesgo vs. Costo implementación
Costo
Implementar medidas de reducción
Usar Juicio
Antieconómico
Nivel Total de Riesgos
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 44
Riesgo Inherente
• Posibilidad de que se produzca una pérdida significativa, tipos:– Riesgo del Negocio: productos/servicios , mercados/clientes– Riesgo Regulatorio: multas; publicidad adversa– Riesgo de Crédito: los clientes no cumplen sus obligaciones– Riesgo de Precio: tipo de cambio, variación de tasas– Riesgo de Liquidez: falta de fondos para cubrir obligaciones– Riesgo de Procesamiento: clasificación, manejo, ingreso, …– Riesgo Contable: informes imprecisos– Riesgo País: convertibilidad, estabilidad jurídica, impuestos, …– Riesgo de Documentación: falsificaciones.– Riesgo de Custodia: robos, fraudes (activos físicos)– Riesgo de Información: pérdida, fraude, uso indebido– Riesgo Tecnológico: vulnerabilidades, contingencia,
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 45
Riesgos de Inseguridad Tecnológica
0
5
10
15
20
25
30
Infección por virus
Fuga de Información
No disponibilidad de los sistemas
Violación de la seguridad física
Uso de software ilegal
Hurto de equipos/periféricos
Uso indebido del correo/Internet
Violación de controles de acceso a sistema
Fraudes 2004
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 46
Criterios de Control Eficaces
¿Qué pasos o procesos confirman que los activos, pasivos, ingresos y gastos están debidamente descritos y tratados en los estados financieros?
Presentación
¿Qué pasos o procesos confirman que la compañía es titular y/o cuenta con un título de propiedad carente de gravámenes sobre los activos y garantías, y que la compañía efectivamente participó en las transacciones informadas?
Propiedad
¿Qué pasos o procesos aseguran que los activos y pasivos están valuados adecuadamente y los ingresos y gastos medidos correctamente?
Valuación
¿Qué pasos o procesos deberían seguirse para asegurar que todos los montos financieros están valuados correctamente, son matemáticamente correctos, están asignados al código contable correcto (por partida o descripción) o al período contable adecuado?
¿Qué medidas deberían tomarse para garantizar la integridad y validez de los datos?
Precisión
¿Están definidas y asignadas las tareas de control y procesamiento en la estructura de la organización?
Autorización
¿Qué pasos o procesos confirman que los activos y pasivos informados realmente existen a la fecha del balance?
¿Qué controles confirman que las transacciones informadas en el estado de resultados efectivamente ocurrieron durante tal período?
Existencia
¿Qué pasos o procesos aseguran que todas las transacciones y cuentas que deberían incluirse en los estados financieros están efectivamente incluidas?
¿Qué impide que figuren los activos, pasivos o transacciones faltantes?
Integridad
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 47
Normas para la práctica profesional de Auditoria Interna
• Independencia• Posición de dentro de la Organización• Objetividad• Conocimientos de los procesos y del negocio• Supervisión• Cumplimiento de normas de conducta• Relaciones humanas y comunicaciones• Actualización constante• Confiabilidad e integridad de la información• Cumplimiento de las leyes, políticas, estándares y procedimientos• Resguardo de activos• Uso eficiente y económico de los recursos• Logro de los Objetivos y Metas Establecidas para las Operaciones• Planificación de la Auditoria• Examen y evaluación de la información• Comunicación de los resultados• Seguimiento
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 48
Revisión
• Pregunta: Seleccione la pauta que mejor describe el alcance hasta el cual el Revisor debe efectuar pruebas.
– a) Las pruebas deben evaluar en detalle todos los puntos de riesgo.– b) Las pruebas deben evaluar en qué medida están funcionando los controles existentes.– c) Las pruebas deben confirmar la precisión de todas las transacciones.– d) Las pruebas deben concentrarse en la validación de controles críticos.
• Pregunta: La posibilidad de que la empresa sufra una pérdida debido a la naturaleza esencial de una actividad de negocios es:
– a) un riesgo de revisión.– b) un riesgo de control.– c) un riesgo de proceso.– d) un riesgo inherente .
• Pregunta: Un Revisor que comprende los riesgos inherentes de un proceso o negocio puede:
– a) determinar el tipo de controles que deben existir para mitigar el riesgo– b) evaluar la magnitud de las pérdidas potenciales.– c) evaluar los tres niveles de riesgo.– d) comparar los tipos de riesgo con otros procesos.
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 49
Revisión
• Ordene: Describa el proceso para llevar a cabo una revisión basada en riesgo:– Determinar los controles claves.– Identificar los tipos de riesgos asociados con el proceso.– Identificar un proceso.– Evaluar la eficacia de los controles claves.
• Pregunta: La posibilidad de que la cobertura de su revisión no encare los riesgos del negocio es:
– a) un riesgo de revisión.– b) un riesgo de control.– c) un riesgo de proceso.– d) un riesgo inherente.
• Pregunta: Para minimizar el riesgo de control, el inspector debe evaluar:– a) todos los controles minuciosamente.– b) los controles que proporcionan el mayor grado de protección contra el riesgo identificado .– c) los Checklists.– d) los controles que exponen al banco al riesgo de Revisión.
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 50
Revisión
• Pregunta: El riesgo de control representa la posibilidad de que:– a) las Revisiones se concentren en los temas
equivocados.
– b) los procesos funcionen en forma ineficaz.
– c) los controles establecidos no logren manejar el riesgo .
– d) el costo de los controles se torne prohibitivo.
Auditoria Informática: Conceptos y Fundamentos Ing. Giovanni Roldán C Pag: 51
Bibliografía
• The Australian/New Zealand Joint Standards Committee AS/NZS 4360 Risk Management
• COSO - The Committee of Sponsoring Organizations of thecommission Treadway
• CICA - Instituto Canadiense de Contadores Certificados • IFAC - Financial & Management Accounting Committee• A Guide to Security Risk Management for Information Technology
Systems - Government of Canada, Communications Security• MAGERIT - Metodología de Análisis y Sesión de Riesgos de los
Sistemas de Información - Versión 1.0• Chester Simmons - Risk Management –• Solis Montes Gustavo A. Reingeniería de la Auditoría Informática
top related