Informes de auditoria






descargar 78.77 Kb.
títuloInformes de auditoria
fecha de publicación05.08.2015
tamaño78.77 Kb.
tipoInforme
m.exam-10.com > Contabilidad > Informe





Empresa


Conjunto de recursos organizados. ¿Para que están organizados? Para obtener objetivos y mantener un control.
Categorización de Empresas


Por tamaño

  • Pyme

  • Gran Empresa

Por actividad que desarrolla

  • Primaria (explotación de recursos naturales)

  • Secundaria

  • Terciaria (Servicios)

Forma Jurídica

  • Individuales

  • Sociales

Ambiente

  • Local

  • Regional

  • Nacional

  • Multinacional (distintas estrategias de venta)

  • Global (una única estrategia de venta)

Capital

  • Capital Privado

  • Capital Publico

  • Mixta

  • Autogestión (cooperativas)


Organización dentro de la Empresa


  • División de trabajo

  • Control

  • Coordinación de tareas


Tipos de organización


  • Lineal: un único mando, comunicación lineal, un único jefe. El nivel superior siempre toma las decisiones. Sirve cuando las tareas están estandarizadas y empresas chicas.

  • Lineal Staff: Línea de asesoramiento que ayuda a nivel de la línea. (Auditoria, Legales, Riesgos)

  • Matricial: Abandona la unidad de mando. La empresa esta coordinada por más de 1 criterio.

  • Funcional: La empresa esta organizada por división funcional.



Gobierno IT


Estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la misma y añadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos.
Busca generar confianza ante los accionistas, los empleados y la sociedad en general a través de 6 elementos básicos:

  1. Transparencia informativa

  2. Informes de auditoria

  3. Código de Ética

  4. Gestión de Riesgos

  5. Medidas de Protección de patrimonio

  6. Planificación Estratégica

Normativas a nivel empresa

  • SOX: Ley que aplica a empresas que cotizan en bolsa en EEUU

  • COSO

- Calidad: ISO 9000

  • Seguridad y ambiente: ISO 14000

  • Riesgo: ISO 17550

  • Bancos: Basilea

  • RRHH, Responsabilidad social de la empresa: ISO 26000


Definición de responsabilidad social de la empresa: rol que toma la organización para con la sociedad mas allá de los bienes que produce o comercializa.

Ventajas:

  • mejora la reputación e imagen corporativa

  • mejora a través de la reducción de costos operativos

  • mejora de productividad

  • apoyo social ante situaciones de riesgo


Normativas a nivel Sistemas

  • COBIT

  • ITIL/ISO 20000

  • ISO 27000 (17799)

  • CMMI


Significado de siglas
SOX: Sarbanes-Oxley (los diputados que escribieron la ley)

ISO: International Organization of Standardization

COBIT: Objetivos de Control para la información y las tecnologías relacionadas.

CMM: Capability Madurity Model (Modelo de capacidad y madurez)
Informe COSO

Define una guía para la elaboración de informes públicos de control interno.

Componentes:

  1. incluye aspectos vinculados al ambiente de control (estilo operativo de gerencia, practica de RRHH, estructura organizacional, atención y compromiso del directorio)

  2. Evaluación de Riesgo (ISO17550/Basilea)

  3. Actividades de Control (marco normativo, revisiones de control interno de la organización)

  4. Información y comunicación (roles y responsabilidades)

  5. Actividades de monitoreo (salidas de controles –Log-, reportes de deficiencias, etc.)


Limitaciones:

  • que el que lo arme tenga un juicio limitado o defectuoso

  • colusión: 1 o mas personas se ponen de acuerdo para concretar un fraude

  • atropellos de la gerencia (no cooperación)

  • costo/beneficio



Metodologías de Gestión de Riesgos de IT

  • Magerit

  • Octave

  • Microsoft

  • NIST 800-53


Gobierno IT: Busca generar confianza ante los accionistas, los empleados y la sociedad en general.
¿Como genera confianza? A través de 6 elementos básicos:

  1. transparencia informativa (publicación de balances)

  2. informes de auditoria

  3. código de ética

  4. gestión de riesgos

  5. medidas de protección de patrimonio

  6. planificación estratégica


COBIT (Objetivo de control aplicado a la información de negocio y tecnología relacionada)
Serie de documentos que definen una estructura de control y seguridad a aplicar en toda el área de TI.

Agrupa los controles en cuatro grandes áreas:

  • planeamiento y organización

  • adquisición e implementación de sw

  • entrega y soporte (de servicios que provee TI)

  • monitoreo (actividades de monitoreo de procesos de TI)


Todos los controles se aplican sobre los siguientes recursos:

  • datos

  • sistemas

  • tecnología (infraestructura)

  • instalaciones

  • personas


ITIL: desarrollo organizado por el gobierno británico para estandarizar procesos de gestión de SW. Originalmente BS y luego se nombro ITIL
ISO20000: A los de ISO les gusto ITIL e hicieron básicamente lo mismo.
Procesos que estandarizan:

  • provisión de servicios (a partir de SLA –Service Level Agrement-)

  • procesos de control

  • procesos de entrega

  • procesos de resolución de incidentes

  • procesos de relaciones (como se piden información entre las distintas áreas)


CMM: Proceso de capacidad y madurez aplicada a desarrollo de software. Define 5 niveles de madurez.

  1. inicial: no se dispone de ambiente estable de desarrollo y prueba. Falta planificación. Resultados dependen de personas. Sobrecostos

  2. repetible: existen prácticas institucionalizadas de gestión de proyectos. Métricas básicas de seguimiento de la calidad. Gestión sistemática con clientes y subcontratistas

  3. definida: buena gestión de proyectos. Coordinación entre grupos de trabajo. Métricas a nivel de proceso. Adecuada formación del personal

  4. Gestionado: métricas significativas de calidad y productividad. Existe definido un modo sistemático de toma de decisiones y gestión de riesgos.

  5. Optimizado: apunta a mejora continua de los procesos.


No siempre más es mejor. Un nivel 5 de CMMI requiere mucha burocracia.
Ciclo de mejora continua: PDCA (Plan, Do, Check, Act)
ISO27000: Mejores practicas de seguridad de la información. Más especifico 27.001
Análisis estratégico
Externo:

  • 5 fuerzas de porter

  • Método de los escenarios


Interno:

  • FODA (se aplica también a personas)

  • Cadena de valor


Definición de auditoria
Actividad de emitir una opinión profesional independiente sobre si un objeto en análisis representa adecuadamente la realidad que pretende reflejar o cumple las condiciones que le fueron establecidas.

Esta actividad se realiza a posteriori.
Riesgo de auditoria: Combinación de 3 grandes riesgos

1 – Riesgo de control: el sistema de control definido sobre el objeto falla

2 – Riesgo inherente: o propio de la actividad que estoy auditando

3 – Riesgo de detección: a través de pruebas del auditor no se detectan fallas (riesgo propio del auditor)
Definición de consultoría
Asesoramiento sobre lo que debe hacerse o como llevar a cabo una tarea para lograr los objetivos. Gran especialización.

A diferencia de la auditoria, el trabajo de consultor se realiza a priori y durante los proyectos.
Tipos de Auditoria


Auditoria Interna

Controla el cumplimiento de controles o normas interno. Lo realiza staff interno propio de la empresa.

Auditoria Externa

Verifica estados contables de la empresa. Certifica los valores. Lo realiza gente externa a la empresa.

Auditoria de Certificación

Verifica el cumplimiento de ciertas y especificas normativas


Tipos de Auditoria Interna

  • Contable y financiera: verifica estados contables y financieros de la empresa

  • Operativa: controla procesos operativos

  • Auditoria Administrativa: Evalúa eficiencia y productividad de procesos internos.

  • Auditoria de Sistemas: Evalúa estructura de control interno de la empresa. Estudia los controles organizativos definidos dentro del área de TI, realiza el análisis de aplicativos en desarrollo, producción y mantenimiento, realiza auditoria sobre datos y redes. 3 aspectos: confidencialidad, integridad y disponibilidad (CIA).



Perfil de auditor de Sistemas

  • Profesional en sistemas de información

  • Conocimiento Gral. De auditoria

  • Conocimiento Gral. De gestión de empresas

  • Conocimientos específicos

    • Desarrollo de sistemas

    • Gestión de TI

    • Análisis de riesgo de TI

    • Telecomunicaciones y redes

    • Base de datos

    • Seguridad física aplicada a centro de procesamiento de datos

    • Seguridad lógica

    • Mejores practicas de continuidad de sistemas

    • E – Commerce


Para organizar el área de auditoria de sistemas:


  1. Definir plan de trabajo acorde al gerente de auditoria

  2. Contar con presupuesto

  3. Saber con que recursos cuento

  4. Definir un alcance y plan de formación

  5. Si tengo que contratar gente, contratar aquella que este certificada

    • CISA: Certified Information System Auditor

    • CIA: Certificación Auditoria Operativa

    • CISSP: Certificación Seguridad Informática


Organigrama de Auditoria de Sistemas
Jefe: Realiza el plan operativo y la descripción del plan de trabajo. Tiene visión completa del grupo.

Supervisor: Colabora en armado de evaluación de riesgos. Supervisa auditores. Forma auditores. Hace devolución de informes

Auditores: Ejecuta el trabajo. Obtiene información a través de pruebas, documenta y realiza informes. Saca conclusiones.
¿Por que el auditor hace el informe y lo entrega el supervisor? Para cubrir el riesgo de detección (que es propio del auditor) y para contestar las preguntas que puedan llegar a hacerle ya que el tiene mas experiencia. Es otra forma de control.
Evolución de Auditoria de Sistemas

Cuatro Etapas
1 – Soporte a auditor operativo

2 – Auditor inicial de sistemas automatizados en auditorias operativas

3 – Separación de auditor de sistemas del auditor operativo

4 – Rol de control interno informático.
Auditoria Externa SAS70 (Statement on Auditing Standards No. 70)
Se utiliza para hacer la revisión de empresas que prestan servicio de procesamiento de datos.
Beneficios:

  1. Reducción de costos: disminución de esfuerzo en auditorias

  2. Mejoramiento de controles

  3. Marketing: adquisición y retención de clientes


2 Tipos de informe SAS70:

    1. Describe controles de TI dentro de la empresa y constata la idoneidad

    2. Verifica el cumplimiento de los controles definidos.


Planificación de la auditoria
El auditor trabaja por periodos o ciclos:

A corto plazo: planes que cubren 1 año. Tiene en cuenta marco regulatorio de la empresa

A largo plazo: verifica el cumplimiento de los controles, asociados con la estrategia de la empresa (generalmente a 5 años)
¿Como hace el auditor para llevar a cabo su planificación?


  1. Entender el negocio y los procesos core de la empresa

Utiliza herramientas de análisis de estrategia; marco regulatorio por el cual esta alcanzada la empresa.

Marcos regulatorios: SOX, Basilea, PCI-DSS (Tarjetas de crédito), HIPAA (Servicios de salud y hospitales), Habeas Data.


  1. Análisis de Riesgo


Definición de riesgo: Cualquier evento que puede afectar negativamente el logro de los objetivos de la empresa. Tiene dos componentes: Impacto (se mide en términos económicos) y probabilidad de ocurrencia.

Se intenta mitigar el impacto y disminuir la probabilidad de ocurrencia.
Definición de amenaza: Cualquier posible fuente de riesgo o peligro de vulnerabilidad. Situación creada por falta de controles a través de la cual se materializa una amenaza.
Proceso de Análisis de Riesgo


  1. Identificar objetivos de negocio

  2. Identificar sistemas que dan soporte a procesos de negocio

  3. Identificar estructura

  4. Evaluar riesgos

  5. Sobre los riesgos evaluar cuales son los controles definidos

  6. Identificar riesgo residual (cuales no tienen controles)

  7. Decidir: asumir riesgo, minimizar riesgo, transferirlo o evitarlo

  8. Establecer controles faltantes




  1. Revisión del control interno de TI aplicando COBIT


Desarrollo de control interno para suministrar con una certeza razonable que se cumplen objetivos y minimizar riesgos.
Distintos tipos de controles dentro de la organización


    • Preventivos: buscan detectar errores de manera temprana o antes de que ocurran. Trabaja a priori: normas y procedimientos trabajar a nivel preventivo (consultoría)

    • Detectivos: a través de este tipo de controles se busca reportar la existencia de errores o incidentes. Informes de gestión, contabilidad, auditoria.

    • Correctivos: minimizan el impacto de 1 incidente y reducen problemas futuros. Backups.

    • Disuasivos: controles asociados con aspectos de seguridad física. Uso de cámaras, perros, etc. Inhiben que se cometa algún tipo de ilícito.

Procedimientos de control

1 – Definir objetivos de control de auditoria de procesos manuales y automáticos

2 – Definir procedimientos de control

3 – Ejecutar los controles
Objetivos de seguridad de la información: CIA
Confidencialidad

Integridad

Disponibilidad
(No puede haber DAD: Divulgación, Alteración, Negación)


  1. Ejecución de la auditoria


Proceso sistemático a través del cual un auditor independiente evalúa objetivamente evidencias a fin de detectar el grado de cumplimiento de los controles.
Fases de Auditoria de Sistemas


  1. Definir el sujeto de la auditoria: establecer que, quien voy a controlar.

  2. Definir el objetivo de la auditoria: verificar el cumplimiento regulatorio, analizar probabilidad de fraude, verificar cumplimiento de los controles.

  3. Definir el alcance: que se incluye y que no se incluye en la auditoria. Periodo de tiempo.

  4. Definir aspectos de preauditoria: que estándares voy a utilizar, auditorias previas, organigrama.

  5. Definición de procedimientos de prueba

    1. Existen dos tipos de pruebas:

      1. Pruebas de cumplimiento: Permiten determinar que los controles existen, están siendo aplicados y otorgan al auditor un grado de certeza razonable de que el control funciona.

      2. Pruebas sustantivas: fundamentan la integridad en el procesamiento de las operaciones. Otorgan validez e integridad a los saldos.

  6. Recopilación de resultados de ejecución de las pruebas

    1. Definición de evidencia: información que puede ser usada por el auditor para determinar que los datos que están siendo auditados cumplen con los objetivos establecidos.

    2. Características:

      1. Confiable

      2. Independiente (del proveedor que la suministra)

      3. Disponible (al auditor)

      4. Relevante (tiene relación lógica con los objetivos de la auditoria)

      5. Suficiente

      6. Adecuada (en cuanto a la calidad. No afecta la opinión del auditor)

    3. Técnicas de recopilación de evidencia

      1. Revisión de estructura organizacional

      2. Revisión de normas

      3. Revisión de estándares de configuración de TI

      4. Revisión de documentación de auditorias anteriores

      5. Revisión de segregación de funciones aplicadas al personal

      6. Observación de los procesos y desempeño de los empleados

Esta es la técnica mas importante y recomendada porque permite determinar las funciones reales de los empleados, sus destrezas y asegura que la persona que realiza la función es la que debe hacerlo.

    1. Técnicas de Muestreo

      1. Estadístico: un auditor decide utilizar un método cuantitativo para el cálculo de la población a partir de una muestra.

      2. No estadístico de criterio (del auditor) o subjetivo. Basado en la experiencia y en la “chapa” del auditor.




  1. Comunicación a la gerencia o sector involucrado:

    1. Se tiene la oportunidad de validar la evidencia obtenida.

    2. Realizar algún tipo de corrección.

    3. Sugerir fechas tentativas de resolución.




  1. Armado del informe

Hay 2 clases de informes:

  • Corto: se realiza para la gerencia. Es un resumen ejecutivo de la situación general

  • Largo: se realiza para los distintos involucrados en la auditoria


El informe de auditoría es la manera formal mediante la cual un auditor informático comunica los resultados y conclusiones de su trabajo.

Existen distintos estándares para realizar informes de auditoría, uno se llama “El libro verde de la auditoría”.

Otro estándar es el ITSEC muy usado en Europa.

Otro estándar también usado en Europa es Common Criteria.
Los principales campos del informe son:

  • Identificación del informe: fecha y numeración del informe

  • Identificación del cliente: nombre de la entidad auditada, los destinatarios, etc.

  • Objetivos de la auditoría

  • Normativas aplicadas: COSO, COBIT, ISO 27001, etc.

  • Alcance de la auditoría: se describe el trabajo que se va a realizar, en qué áreas, en qué período. Se debe definir qué se va a realizar y lo que no se va a hacer también. Permite:

    • Definir la magnitud del trabajo

    • Acotar el riesgo

    • Fijar honorarios

  • Conclusión general o resumen ejecutivo: se comentan los resultados del informe en forma general dando una opinión imparcial e independiente de lo observado durante el trabajo. Permite definir la posición del auditor respecto de lo auditado. Hay 4 opiniones:

    • Favorable o sin observaciones: cuando no se tuvo ningún tipo de problemas en el acceso a la información. No hubo incertidumbre o no se observó ningún incumplimiento normativo.

    • Favorable con observaciones: cuando

      • Me encuentro limitado respecto a lo que se va a auditar

      • Existe algún tipo de incumplimiento normativo o legal menor

      • Se presentan irregularidades menores

    • Desfavorable o adverso: cuando

      • Se identifican irregularidades graves para la empresa

      • Existe algún tipo de incumplimiento normativo

      • Se encuentra altamente acotado respecto al alcance de la auditoria

    • Opinión denegada: cuando

      • No se tuvo acceso a la información

      • No se pudo hacer la auditoria

  • Detalle de las observaciones: se indican las observaciones, recomendaciones, comentarios para el auditado, fechas tentativa de la regularización.

  • Comentarios de informes previos

  • Identificación y firma del auditor

  • Lista de distribución




  1. Comunicación de los resultados



  1. Seguimiento de las observaciones: el trabajo del auditor es por ciclo y es un proceso continuo de revisión debilidades detectadas. Tareas:

    1. Definir los plazos de revisiones

    2. Asociar los plazos a criticidad de los hallazgos




  1. Resguardo de la evidencia obtenida y del informe: por 5 o 10 años según reglamentación.


Código de Ética del Auditor
Se espera que los auditores apliquen y cumplan los siguientes principios:

Integridad

La integridad de los auditores internos establece confianza y, consiguientemente, provee la base para confiar en su juicio:

  • Desempeñarán su trabajo con honestidad, diligencia y responsabilidad.

  • Respetarán las leyes y divulgarán lo que corresponda de acuerdo con la ley y la profesión.

  • No participarán a sabiendas de una actividad ilegal ó de actos que vayan en detrimento de la profesión de auditoría interna o de la organización.

  • Respetarán y contribuirán a los objetivos legítimos y éticos de la organización.


Objetividad

Los auditores internos exhiben el más alto nivel de objetividad profesional al reunir, evaluar y comunicar información sobre la actividad o proceso a ser examinado. Auditores internos hacen una evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios sin dejarse influir indebidamente por sus propios intereses o por otras personas:

  • No participarán en actividades o relaciones que puedan perjudicar o que aparentemente puedan perjudicar su evaluación imparcial. Esta participación incluye aquellas actividades o relaciones que puedan estar en conflicto con los intereses de la organización.

  • No aceptarán nada que pueda perjudicar o que aparentemente pueda perjudicar su juicio profesional.

  • Divulgarán todos los hechos materiales que conozcan y que, de no ser divulgados, pudieran distorsionar el informe de las actividades sometidas a revisión.


Confidencialidad

Los auditores internos respetan el valor y la propiedad de la información que reciben y no divulgan información sin la debida autorización a menos que exista una obligación legal o profesional para hacerlo.

  • Serán prudentes en el uso y protección de la información adquirida en el transcurso de su trabajo.

  • No utilizarán información para lucro personal o de alguna manera que fuera contraria a la ley o en detrimento de los objetivos legítimos y éticos de la organización.


Competencia

Los auditores internos aplican el conocimiento, aptitudes y experiencia necesarios al desempeñar los servicios de auditoría interna.

  • Participarán sólo en aquellos servicios para los cuales tengan los suficientes conocimientos, aptitudes y experiencia.

  • Desempeñarán todos los servicios de auditoría interna de acuerdo con las Normas para la Práctica Profesional de Auditoría Interna.

  • Mejorarán continuamente sus aptitudes y la efectividad y calidad de sus servicios.


ISO-27000


Es una familia de normativas vinculadas con la Seguridad de la Información
ISO-27000: define el vocabulario general a utilizar
ISO-27001: especifica los requisitos para implementar un Sistema de Gestión de Seguridad de Información (SGSI). Es certificable y reemplaza a la ISO-17798
ISO-27002: define un esquema de mejores prácticas respecto de la gestión de la seguridad
ISO-27003: define una guía de implementación en función del clic lo de Demin (Plan/Do/Check/Act)
ISO-27004: define métricas e indicadores de Seguridad (está en desarrollo)
ISO-27005: define un modelo de gestión de riesgos (está en desarrollo). Actual ISO-17750
ISO-27006: define todo lo vinculado a la continuidad del negocio
Principales dominios de la ISO-27002

  • Política de Seguridad: debiera existir una política de seguridad de la información

  • Aspectos organizativos de la Seguridad de la Información: definir cómo se estructurará la Seguridad de la Información dentro de la empresa y su vinculo con el tratamiento contra terceros

  • Gestión de activos: responsabilidad sobre activos. Se trabaja con CMDB y se debe tener un owner.

  • Seguridad ligada a RRHH: al tomar a una persona, mientras la persona esté en la empresa y hasta que la persona deje la empresa

  • Seguridad ambiental: todo lo que se deberá asegurar para el procesamiento de la información.



Añadir el documento a tu blog o sitio web

similar:

Informes de auditoria iconCapitulo n. 1 Concepto de auditoría en informática y diversos tipos de auditoria

Informes de auditoria iconUniversidad privada san pedro faculdad de ciencias contables y administrativas...

Informes de auditoria iconFacultad de contabilidad y auditoria

Informes de auditoria iconConcepto moderno de auditoria

Informes de auditoria iconPrograma prácticas en auditoria

Informes de auditoria iconInforme de auditoria de sistemas

Informes de auditoria iconAsesor impositivo auditoria

Informes de auditoria iconNormas de auditoria y facturación iapos

Informes de auditoria iconLa auditoria energética es un proceso sistemático mediante el que

Informes de auditoria iconAuditoria de ambientes especiales empresa chocolates de colombia s. A






© 2015
contactos
m.exam-10.com