hallazgos de auditoria de sistemas
TRANSCRIPT
FACULTAD
SISTEMAS MERCANTILES
CARRERA
CONTABILIDAD Y AUDITORÍA
NIVEL
SÉPTIMO
CÁTEDRA
AUDITORÍA DE SISTEMAS
TEMA
PAPELES DE TRABAJO, HALLAZGOS, ATRIBUTOS Y CONTROL INTERNO
AUDITORÍA DE SISTEMAS
ÍNDICE
PAPELES DE TRABAJO............................................................................................................1
Introducción.....................................................................................................................1
Objetivos Generales.........................................................................................................1
Concepto de Papeles de Trabajo...................................................................................1
Objetivos de Papeles de Trabajo...................................................................................2
Tipos de Papeles de Trabajo.........................................................................................2
Conclusiones....................................................................................................................3
HALLAZGOS Y ATRIBUTOS...................................................................................................4
Objetivos..........................................................................................................................4
Hallazgos......................................................................................................................4
Ejemplo de Hallazgos...................................................................................................4
Atributos de los hallazgos.............................................................................................5
Ejemplo de atributos de un hallazgo.............................................................................5
Conclusiones....................................................................................................................6
CONTROL INTERNO................................................................................................................6
Introducción.....................................................................................................................6
Objetivos Generales.........................................................................................................6
Concepto de Control Interno........................................................................................7
Objetivos de Control Interno........................................................................................7
Importancia del Control Interno...................................................................................8
Tipos de control............................................................................................................8
Ejemplos de tipos de control.........................................................................................8
Características de los tipos de control Interno..............................................................9
NORMAS DE CONTROL INTERNO PARA LAS ENTIDADES, ORGANISMOS DEL SECTOR PÚBLICO Y DE LAS PERSONAS JURÍDICAS DE DERECHO PRIVADO QUE DISPONGAN DE RECURSOS PÚBLICOS...........................................................................9
Objetivos de Control Interno para Entidades, Organismos del Sector Público y Privado.................................................................................................................................9
Responsables del control interno................................................................................10
Componentes del control interno................................................................................10
1. AMBIENTE DE CONTROL.....................................................................................10
2. EVALUACIÓN DEL RIESGO..................................................................................11
3. ACTIVIDADES DE CONTROL...............................................................................11
4. INFORMACIÓN Y COMUNICACIÓN....................................................................12
5. SEGUIMIENTO.........................................................................................................12
Control Interno Informático........................................................................................13
Objetivos del Control Interno Informático..................................................................13
Elementos del Control Interno Informático................................................................13
Conclusiones..................................................................................................................14
Bibliografía........................................................................................................................14
PAPELES DE TRABAJO
Introducción
El registro eficiente de la información que el auditor va recolectando en su evaluación,
es uno de los aspectos fundamentales de la auditoria, esta información le sirve al auditor
para respaldar las opiniones que expresa en el informe de auditoría y se denominan
papeles de trabajo que a su vez pueden ser documentos manuscritos, manuales,
instructivos, graficas, resultados de procesamiento o en medios electromagnéticos, en
los cuales recopilara hechos pruebas, tabulaciones interpretaciones, así como el análisis
de los datos obtenidos. Además, la información sirven para mantener el sentido e
importancia de las desviaciones que el auditor encontró durante la revisión, así como
también para establecerlas posibles causas de las desviaciones y para proponer las
probables soluciones que reporta como parte de su trabajo en el informe final de
auditoría.
Objetivos Generales
Conocer el concepto de Papeles de Trabajo
Identificar los objetivos de Papeles de Trabajo
Estudiar los tipos de Papeles de Trabajo que existe
Concepto de Papeles de Trabajo
Los papeles de trabajo son el conjunto de documentos preparados por el auditor, los
cuales le permiten disponer de la información y de las pruebas efectuadas durante su
trabajo profesional en la empresa, así como también de las decisiones tomadas para
fundamentar su opinión, también permiten el registro eficiente de la información que se
recolecta en el proceso de evaluación, la planificación, la ejecución, supervisión y
revisión de la auditoria así como también suministrar la evidencia del trabajo llevado a
cabo para respaldar la opinión del auditor.
Los papeles de trabajo se elaboran en el momento en que se realiza el trabajo y son
propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su
protección sin peligro y su confidencialidad ya que el auditor va integrando en los
papeles de trabajo documentos reservados y de uso exclusivo de la empresa.
1
Objetivos de Papeles de Trabajo
En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes:
Es ayudar al auditor a garantizar en forma adecuada que una auditoria se hizo de
acuerdo a las normas de auditoría generalmente aceptadas.
Servir como evidencia del trabajo realizado y de soporte de las conclusiones del
mismo.
Presentar informes a las partes interesadas.
Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo
ejecutado en las oficinas del cliente.
Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por
persona distinta de la que la inició.
Facilitar la labor de revisiones posteriores y servir para la información y evaluación
personal.
Anotar los hechos, acontecimientos y fenómenos observados durante la revisión
Coordinar y organizar todas las fases del trabajo.
Servir de guía en revisiones subsecuentes.
Facilitar la preparación del informe.
Comprobar y explicar en detalle las opiniones y conclusiones resumidas en el
informe.
Se utilizan para transcribir y concentrar los resultados de entrevistas, cuestionarios,
encuestas, investigaciones y observaciones del personal auditado.
Proveer un registro histórico permanente de la información examinada y los
procedimientos de auditoría aplicados.
Tipos de Papeles de Trabajo
Preparados por la entidad auditada: Es la documentación que la empresa pone al
servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros,
memoria, escritura, contratos, acuerdos.
Confirmaciones de terceros: Una parte del trabajo de auditoría consiste en la
verificación de los saldos que aparecen en el balance de situación a auditar.
Preparados por el auditor: Formado por toda la documentación elaborada por el
propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas,
2
descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas,
transacciones y otros.
Los papeles de trabajo deben documentar aspectos de la auditoría realizada, tales como:
planeación, procedimientos aplicados, información obtenida, conclusiones, revisión,
comunicación y seguimiento. Por consiguiente los papeles u hojas de trabajo de las
auditorías deberán identificar como mínimo lo siguiente:
Nombre del proceso ó dependencia evaluada,
Descripción general sobre la naturaleza de la prueba o propósito del papel de
trabajo.
Período cubierto de revisión.
Fecha en que se realizo el trabajo.
Nombre o iniciales del auditor.
Índice o número de referencia.
Marcas o símbolos de las verificaciones (cada una de ellas con su explicación)
Las fuentes o los datos deben estar claramente identificadas (cuentas analizados,
empleados entrevistados, consultas e informes analizados, etc.)
Nombre o inicial de la persona que los revisó.
Conclusiones
Considero que los papeles de trabajo son relevantes para el auditor, porque estos
fundamentan el trabajo del auditor acerca de las irregularidades halladas durante la
revisión que se realizan a la información presentada por la empresa.
3
HALLAZGOS Y ATRIBUTOS
Objetivos
Conocer la definición de hallazgos de Auditoría
Identificar y estudiar los atributos de un hallazgo de auditoría
Ejemplificar los atributos de un hallazgo de auditoría
Hallazgos
Los hallazgos de auditoría, se refieren a debilidades o fortalezas observadas por el
auditor dentro de la estructura del Sistema de Control Interno, en componentes y
elementos tales como procedimientos de control, ambiente de control, sistemas de
información, entre otros.
Un hallazgo debe tener ciertos requisitos:
Importancia relativa que merezca su comunicación.
Debe basarse en hechos y evidencias precisas que figuran en los papeles de trabajo.
Convincente a una persona que no ha participado en la auditoría.
Ejemplo de Hallazgos
Las áreas informáticas identificadas carecen de procedimientos documentos para las
actividades de soporte técnico. Asimismo escasean de procedimientos documentados
para la gestión de la gestión de licencia de software.
Factores a considerar en el desarrollo de hallazgo de auditoría
Condiciones al momento de ocurrir el hecho
Naturaleza, complejidad y magnitud administrativa y financiera de las operaciones
examinadas.
Análisis crítico de cada hallazgo importante.
Integridad del trabajo de auditoría.
Autoridad legal.
Diferencia de opinión, conclusiones y recomendaciones
.
4
Atributos de los hallazgos
Los atributos que deben incluir los hallazgos son:
Condición: Situaciones actuales encontradas. Lo que es, en términos del hecho
irregular o deficiencia determinada por el auditor interno.
Criterio: Medidas o normas aplicables, es decir lo que debe ser, según la norma o
estándar técnico-profesional, alcanzable en el contexto evaluado,
Causa: Razones de desviación, en cuanto a lo que se considera de por qué sucedió.
En este punto hay que tener capacidad de diferenciar, la causa del efecto. Para
definir este aspecto se requiere de la habilidad y juicio profesional del auditor
Efecto: Importancia relativa del asunto, señalando el impacto entre lo que es y lo
que debe ser, de ser posible en forma cuantitativa o cualitativa, con las eventuales
consecuencias que se derivan del incumplimiento de los objetivos de control
interno.
Recomendación: Es la sugerencia constructiva y objetiva que se expone con el
firme propósito de erradicar la condición identificada.
Ejemplo de atributos de un hallazgo
Condición
De la revisión a los procesos de generación de las copias de respaldo a la información
del Sistema de Información, se ha evidenciado que estas no son guardadas en lugares
remotos al local de la entidad.
Criterio
Esta situación contraviene a la Norma COBIT DS11.25 Almacenamiento de Respaldos,
de la Fundación de Auditoría y Control de Sistemas de Información, la cual indica que
los procedimientos de respaldo para los medios relacionados con tecnología de
información deberán incluir el almacenamiento apropiado de los archivos de datos, del
software y de la documentación relacionada, tanto dentro como fuera de las
instalaciones…
5
Causa
No se ha identificado aún el lugar destinado para estos fines.
Efecto
La consecuencia que traería sería la pérdida definitiva de la información, en el caso de
la ocurrencia de desastres tales como un incendio.
Recomendación
Se recomienda a la máxima autoridad poner en marcha los procedimientos y procesos
para el respaldo de la información.
Conclusiones
Considero que los hallazgos son importantes ya que es motivo por el cual se realiza las
auditorias por nos permiten conocer las deficiencias que presentan las empresa, en el
que se indica condición, criterio causa y efecto. Conociendo las deficiencias el auditor
emite su opinión y la empresa tiene la decisión de aceptar o no las recomendaciones del
auditor en su informe final.
CONTROL INTERNO
Introducción
El control interno es una herramienta importante para supervisar si las actividades y
operaciones que desarrolla las empresas se cumplen de acuerdo al plan institucional.
Esto involucra tomar medidas para proteger la integridad de los bienes de la empresa y
detectar errores y salvaguardar los recursos económicos, y verificar si las operaciones
son registradas correctamente y tienen su documento de respaldo.
Objetivos Generales
Conocer la definición de control interno.
Identificar los objetivos del control interno.
Estudiar los componentes del control interno de las entidades públicas y privadas.
6
Concepto de Control Interno
JOSÉ ANTONIO ECHENIQUE
"El control interno comprende el plan de organización y todos los métodos y
procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar
sus actividades, verificar la razonabilidad y confiabilidad de su información financiera,
promover la eficiencia operacional y provocar la adherencia a las políticas prescritas por
la administración."
HOLMES R- ARTHUR
"El control interno es una función de la gerencia que tiene por objeto salvaguardar y
preservar los bienes de la empresa, evitar desembolsos indebidos de fondos, y ofrecer la
seguridad de que no se contraen obligaciones sin autorización."
L. HALL
"El control interno comprende la organización sistemática del trabajo administrativo y
de los procedimientos de rutina, con el objeto de provenir el fraude, los errores y los
trábalos inútiles mediante el efecto disuasivo de los controles ejercidos."
Objetivos de Control Interno
Establecer la seguridad y protección de los activos de la empresa. Incrementar la
eficiencia y eficacia en el desarrollo de las operaciones y actividades de la empresa.
Establecer y hacer cumplir las normas, políticas y procedimientos que regulan las
actividades de la empresa.
Implantar los métodos, técnicas y procedimientos que permitan desarrollar
adecuadamente las actividades, tareas y funciones de la empresa.
Evitar o reducir fraudes.
Salvaguarda contra el desperdicio y contra la insuficiencia.
Comprobar la corrección y veracidad de los informes contables.
Salvaguardar los activos de la empresa.
Promover la eficiencia en operación y fortalecer la adherencia a las normas fijadas
por la administración.
7
Importancia del Control Interno
El control interno es un instrumento eficaz para lograr la eficiencia y eficacia en el
trabajo de las entidades.
El desarrollo de nuevos términos relacionados con el Control Interno a diferencia de
lo que hasta ahora se identificaba, es decir, solo contable.
El Control Interno contribuye a la seguridad del sistema contable que se utiliza en la
empresa, fijando y evaluando los procedimientos administrativos, contables y
financieros que ayudan a que la empresa realice su objeto.
Detecta las irregularidades y errores y propugna por la solución factible evaluando
todos los niveles de autoridad, la administración del personal, los métodos y
sistemas contables para que así el auditor pueda dar cuenta veraz de las
transacciones y manejos empresariales.
Tipos de control
Se diseñan para cumplir varias funciones:
Preventivos: Anticipan eventos no deseados antes de que sucedan
Detectivos: Identifican los eventos en el momento en que se presentan
Correctivos: Aseguran que las acciones correctivas sean tomadas para revertir un
evento no deseado
Ejemplos de tipos de control
Ejemplos de controles preventivos
Contratar seguros para cualquier tipo de bienes.
Respaldar la información en archivos.
Cotejar firmas antes de realizar un pago.
Ejemplos de control detectivos
Omisión de una firma para que proceda el pago.
Deben ser 2 copias falta una.
Al Formato U-23 le falta el anexo A.
8
Ejemplos de controles correctivos
La suma es incorrecta.
El registro corresponde a otra partida.
El apellido no corresponde.
Características de los tipos de control Interno
Controles preventivos
Son más rentables
Deben quedar incorporados en los sistemas
Evitan costos de corrección o reproceso
Controles correctivos
Implica que se tomen acciones y procedimientos de corrección (la recurrencia)
Por medio de la documentación y los reportes se informan a la gerencia y se
supervisan los asuntos hasta que son corregidos o solucionados
Controles detectivos
Son más costosos que los preventivos
Miden la efectividad de los preventivos
Algunos errores no pueden ser evitados en la etapa preventiva
NORMAS DE CONTROL INTERNO PARA LAS ENTIDADES, ORGANISMOS
DEL SECTOR PÚBLICO Y DE LAS PERSONAS JURÍDICAS DE DERECHO
PRIVADO QUE DISPONGAN DE RECURSOS PÚBLICOS
Objetivos de Control Interno para Entidades, Organismos del Sector Público y
Privado
El control interno de las entidades, organismo del sector público y personas jurídicas
de derecho privado que dispongan de recursos públicos para alcanzar la misión
institucional, deberá contribuir al cumplimiento de los siguientes objetivos:
9
Promover la eficiencia, eficacia y economía de las operaciones bajo principios éticos
y de transparencia.
Garantizar la confiabilidad, integridad y oportunidad de la información.
Cumplir con las disposiciones legales y la normativa de la entidad para otorgar
bienes y servicios públicos de calidad.
Proteger y conservar el patrimonio público contra pérdida, despilfarro, uso indebido,
irregularidad o acto ilegal.
Responsables del control interno
El diseño, establecimiento, mantenimiento, funcionamiento, perfeccionamiento, y
evaluación del control interno es responsabilidad de la máxima autoridad, de los
directivos y demás servidoras y servidores de la entidad, de acuerdo con sus
competencias.
Las servidoras y servidores de la entidad, son responsables de realizar las acciones y
atender los requerimientos para el diseño, implantación, operación y fortalecimiento de
los componentes del control interno de manera oportuna, sustentados en la normativa
legal y técnica vigente y con el apoyo de la auditoría interna como ente asesor y de
consulta.
Componentes del control interno
1. AMBIENTE DE CONTROL
El ambiente o entorno de control es el conjunto de circunstancias y conductas que
enmarcan el accionar de una entidad desde la perspectiva del control interno. Es
fundamentalmente la consecuencia de la actitud asumida por la alta dirección y por el
resto de las servidoras y servidores, con relación a la importancia del control interno y
su incidencia sobre las actividades y resultados.
El ambiente de control define el establecimiento de un entorno organizacional favorable
al ejercicio de prácticas, valores, conductas y reglas apropiadas, para sensibilizar a los
miembros de la entidad y generar una cultura de control interno. Un ambiente propicio
10
para el control, estimula e influencia las tareas del personal con respecto al control de
sus actividades.
2. EVALUACIÓN DEL RIESGO
La máxima autoridad establecerá los mecanismos necesarios para identificar, analizar
y tratar los riesgos a los que está expuesta la organización para el logro de sus
objetivos.
El riesgo es la probabilidad de ocurrencia de un evento no deseado que podría
perjudicar o afectar adversamente a la entidad o su entorno. La máxima autoridad, el
nivel directivo y todo el personal de la entidad serán responsables de efectuar el proceso
de administración de riesgos, que implica la metodología, estrategias, técnicas y
procedimientos, a través de los cuales las unidades administrativas identificarán,
analizarán y tratarán los potenciales eventos que pudieran afectar la ejecución de sus
procesos y el logro de sus objetivos.
Identificación de riesgos: Los directivos de la entidad identificarán los riesgos que
puedan afectar el logro de los objetivos institucionales debido a factores internos o
externos, así como emprenderán las medidas pertinentes para afrontar exitosamente
tales riesgos.
Los factores externos pueden ser económicos, políticos, tecnológicos, sociales y
ambientales. Los internos incluyen la infraestructura, el personal, la tecnología y los
procesos. Es imprescindible identificar los riesgos relevantes que enfrenta una entidad
en la búsqueda de sus objetivos. La identificación de los riesgos es un proceso
interactivo y generalmente integrado a la estrategia y planificación.
3. ACTIVIDADES DE CONTROL
La máxima autoridad de la entidad y las servidoras y servidores responsables del
control interno de acuerdo a sus competencias, establecerán políticas y procedimientos
para manejar los riesgos en la consecución de los objetivos institucionales, proteger y
conservar los activos y establecer los controles de acceso a los sistemas de
información.
11
Las actividades de control se dan en toda la organización, en todos los niveles y en
todas las funciones. Incluyen una diversidad de acciones de control de detección y
prevención, tales como: separación de funciones incompatibles, procedimientos de
aprobación y autorización, verificaciones, controles sobre el acceso a recursos y
archivos, revisión del desempeño de operaciones, segregación de responsabilidades de
autorización, ejecución, registro y comprobación de transacciones, revisión de procesos
y acciones correctivas cuando se detectan desviaciones e incumplimientos. Para ser
efectivas, las actividades de control deben ser apropiadas, funcionar consistentemente
de acuerdo a un plan a lo largo de un período y estar relacionadas directamente con los
objetivos de la entidad.
4. INFORMACIÓN Y COMUNICACIÓN
La máxima autoridad y los directivos de la entidad, deben identificar, capturar y
comunicar información pertinente y con la oportunidad que facilite a las servidoras y
servidores cumplir sus responsabilidades.
El sistema de información y comunicación, está constituido por los métodos
establecidos para registrar, procesar, resumir e informar sobre las operaciones técnicas,
administrativas y financieras de una entidad. La calidad de la información que brinda el
sistema facilita a la máxima autoridad adoptar decisiones adecuadas que permitan
controlar las actividades de la entidad y preparar información confiable. El sistema de
información permite a la máxima autoridad evaluar los resultados de su gestión en la
entidad versus los objetivos predefinidos, es decir, busca obtener información sobre su
nivel de desempeño.
La comunicación es la transmisión de información facilitando que las servidoras y
servidores puedan cumplir sus responsabilidades de operación, información financiera y
de cumplimiento. Los sistemas de información y comunicación que se diseñen e
implanten deberán concordar con los planes estratégicos y operativos, debiendo
ajustarse a sus características y necesidades y al ordenamiento jurídico vigente. La
obtención de información interna y externa, facilita a la alta dirección preparar los
informes necesarios en relación con los objetivos establecidos.
12
5. SEGUIMIENTO
La máxima autoridad y los directivos de la entidad, establecerán procedimientos de
seguimiento continuo, evaluaciones periódicas o una combinación de ambas para
asegurar la eficacia del sistema de control interno.
Seguimiento es el proceso que evalúa la calidad del funcionamiento del control interno
en el tiempo y permite al sistema reaccionar en forma dinámica, cambiando cuando las
circunstancias así lo requieran. El seguimiento se efectúa en forma continua durante la
realización de las actividades diarias en los distintos niveles de la entidad y a través de
evaluaciones periódicas para enfocar directamente la efectividad de los controles en un
tiempo determinado, también puede efectuarse mediante la combinación de las dos
modalidades.
Control Interno Informático
Controla diariamente que todas las actividades de sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección
de la Organización y/o la Dirección de Informática, así como los requerimientos legales.
Objetivos del Control Interno Informático
Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorías
externas al Grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informático.
Elementos del Control Interno Informático
En particular, se analizará los elementos que se pueden aplicar como control interno
informático en el área de sistemas:
Controles internos sobre la organización del área de informática
13
DirecciónDivisión del trabajoAsignación de responsabilidad y autoridadEstablecimiento de estándares y métodosPerfiles de cargos.
Controles internos sobre el análisis, desarrollo e implementación de sistemas
Estandarización de metodologías para el desarrollo de proyectosAsegurar que el beneficio de los sistemas sea el óptimoElaborar estudios de factibilidad del sistemaGarantizar la eficiencia y eficacia en el análisis y diseño de sistemas
Controles internos sobre la operación del sistema
Prevenir y corregir los errores de operaciónPrevenir y evitar la manipulación fraudulenta de la informaciónImplementar y mantener la seguridad en la operación
Controles internos sobre los procedimientos de entrada de datos, el procesamiento
de información y la emisión de resultados
Verificar la existencia y funcionamiento de los procedimientos de captura de datosComprobar que todos los datos sean debidamente procesadosVerificar la confiabilidad, veracidad y exactitud del procesamiento de datos
Controles internos sobre la seguridad del área de sistemas
Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las áreas de sistematizaciónControles sobre la seguridad física del área de sistemasControles sobre la seguridad lógica de los sistemasControles sobre la seguridad de las bases de datos
Conclusiones
El control interno permite cuidar los bienes de la empresa tanto económicos como
humanos, verificando que los recursos sean manejados y registrados correctamente.
Esto es posible con la implementación de estándares que permitan prevenir y detectar
riesgos y a su vez corregir dichos errores.
Bibliografía
Universidad Nacional A Distancia, Manual de auditoría de sistemas 2006
Guía metodológica de Control Interno
http://www.cnsc.gov.co/docs/Gu%C3%ADaMetodol
%C3%B3gicaOficinadeControlInternoCNSC.pdf
14
Normas de control interno para las entidades, organismos del sector público y de las
personas jurídicas de derecho privado que dispongan de recursos públicos
15