viernes, 28 de junio de 2013

CONTROL INTERNO

Básicamente todos los cambios que se realizan en una organización someten a una gran tensión a los controles internos existentes.

Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la cabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la mañana; para ello se empieza ya bien sea por áreas o departamentos o mejor dicho se empieza a trabajar internamente.

La mayoría de las organizaciones han acometido varias iniciativas en tal sentido tales como:


  • La reestructuración de los procesos empresariales.
  • La gestión de la calidad total.
  • El redimencionamiento por reducción y/o por aumento de tamaño hasta el nivel correcto.
  • La contratación externa.
  • La descentralización.


CONTROL INTERNO INFORMÁTICO

El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

Control interno informático suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.

Como principales objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias externas al grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.

La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos.


DEFINICIÓN Y TIPO DE CONTROLES INTERNOS

Se puede definir el control interno como "cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.

Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. 

Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones. etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.


IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS

 
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:

Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.

Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos.

Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.

Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.

Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

Para la implantación de un sistema de controles internos informáticos habrá que definir:

Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.

Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados


Publicado por en No hay comentarios:

PAPELES DE TRABAJO, HALLAZGOS Y SUS ATRIBUTOS

CONCEPTO:
Son el conjunto de documentos, planillas o cédulas, en las cuales el auditor registra los datos y la información obtenida durante el proceso de Auditoría, los resultados y las pruebas realizadas.

Los papeles de trabajo también pueden constituir la información almacenada en cintas, películas u otros medios (diskettes), y puede habilitarse  sobre listados, y fotocopias de documentos claves de la organización, sin incurrir a exceso de copiar todo el archivo.

Al preparar el auditor los papeles de trabajo debe evitar acumular exceso de documentación, (Calidad Vs Cantidad), esto se simplifica utilizando marcas de auditoria, es decir, certificando o validando información o actuaciones físicas que se tuvo a la vista, mediante marcas y referencias previamente definidas, tales como:


DESCRIPCIÓN DE LOS PAPELES DE TRABAJO:


Los papeles de trabajo sirven para dejar constancia escrita del trabajo realizado por el auditor:

· El conocimiento del negocio de la empresa
· La revisión y evaluación del control interno
· Las pruebas de revisión de saldos.

También recogen las conclusiones a las que llega el auditor como resultado de su trabajo:

· Deficiencias de control interno
· Ajustes y reclasificaciones

Igualmente los Papeles de Trabajo recogen la evidencia obtenida por el auditor acerca de la veracidad de las cuentas anuales:

· Fotocopias de mayores
· Fotocopias de facturas, albaranes…
· Fotocopias de escrituras
· Respuestas a la circularización bancaria
· Respuestas a las confirmaciones de proveedores, clientes…

En cuanto a la procedencia de los Papeles de Trabajo, cabe diferenciar:

a) Los preparados por el auditor:

* Sumarias
* Cuadres: de IVA, IRPF…

b) Los recibidos del auditado

* Fotocopias de facturas, albaranes, escrituras…
* Balances de sumas y saldos, mayores…

c) Los recibidos de terceros ajenos a la empresa y auditor:

* Respuestas a circularizaciones de bancos, asesores, aseguradoras…
* Respuestas de confirmaciones a clientes, proveedores…

Los Papeles de Trabajo tienen que confeccionarse, organizarse y clasificarse con la suficiente sencillez y claridad como para que puedan ser comprendidos sin ningún tipo de aclaración o explicación adicional:

· por parte de otros miembros del equipo o firma de auditoría.
· por parte de los componentes de los controles de calidad del ICAC o de las corporaciones.

VALOR PROBATORIO EN CASO DE JUICIO

Los Papeles de Trabajo tienen valor probatorio en caso de juicio, por lo que pueden ser útiles para un auditor acusado de fraude o negligencia.

Los Papeles de Trabajo que contengan cuestiones no resueltas, indicaciones no seguidas o un tratamiento inadecuado de asuntos importantes, pueden servir de apoyo a la parte demandante.

PROPIEDAD, CUSTODIA Y CONSERVACIÓN DE LOS PAPELES

Conforme a lo dispuesto en la Ley de Auditoría, los papeles de trabajo son propiedad del auditor, el cual debe conservarlos por un período de cinco años.
aunque la información que contienen es totalmente confidencial, y nadie puede utilizarla sin el consentimiento de la compañía auditada, existen, no obstante, ciertas excepciones al secreto profesional, como son: por mandato judicial, quienes estén autorizados por la ley, y el ICAC, en el ejercicio del control técnico del auditor.

CONTENIDO DE LOS PAPELES DE TRABAJO:

Hay tres grandes conceptos en el contenido de los papeles de trabajo:


1.- IDENTIFICACIÓN

Suelen contener la siguiente información:

· El nombre del cliente: indicado de modo completo y exacto, y situado en la parte superior central.
· Ejercicio al que se refiere la auditoría. Indica la fecha de los estados financieros, no la fecha del trabajo. Se      coloca en la esquina superior derecha.

· Título. Aparece directamente debajo del nombre del auditado e indica la naturaleza o finalidad del Papeles de Trabajo.

* Sumarias. El título es el epígrafe del área de los estados financieros.
* Papeles de detalle. El título indica el tipo de análisis o procedimiento aplicado, y con frecuencia se refiere a la correspondiente prueba del programa de auditoría.

· Referencia. Es un índice alfanumérico que siempre figura en rojo y se coloca en la esquina superior derecha.

· Firma de quien lo ha realizado. Iniciales y fecha del preparador. En la esquina inferior izquierda.

* Las iniciales del preparador indican la responsabilidad de la totalidad del Papel de Trabajo.
* La fecha es aquélla en la que se preparó el Papel de Trabajo.

· Firma de quien lo ha revisado. Se responsabiliza de que el trabajo realizado por quien lo preparó ha sido el adecuado.

· P. P. C. Preparado por el cliente. Indica Papeles de Trabajo preparados por el personal del auditado. Se coloca en rojo, barrado e inclinado en la parte superior izquierda.

Ejemplos de títulos:

· Cédula sumaria (de las diferentes áreas)
· Arqueo de caja
· Análisis de adiciones y retiros de inmovilizado
· Conciliaciones bancarias
· Análisis de antigüedad de deuda
· Corte de operaciones

2.-TRABAJO REALIZADO

Se encuentra en el cuerpo del papel de trabajo.
Su contenido dependerá del tipo de trabajo que se haya realizado, como veremos en el siguiente apartado:

3.- CONCLUSIONES

La conclusiones suelen aparecer al final de cada área.
Recogen la opinión que el auditor se ha formado acerca del área después de concluir el trabajo que tenía previsto.

Ejemplos de conclusiones:

· ÁREA DE TESORERÍA. De acuerdo con el trabajo realizado y puesto que no nos hemos encontrado con ninguna incidencia significativa, los saldos del área son razonablemente correctos.

· ÁREA DE CUENTAS A COBRAR. De acuerdo con el trabajo realizado y salvo por los ajustes y reclasificaciones que hemos propuesto, los saldos del área son razonablemente correctos.

· ÁREA DE EXISTENCIAS. De acuerdo con el trabajo realizado y salvo por la limitación al alcance encontrada, los saldos del área son razonablemente correctos.

PROPÓSITOS DE LOS PAPELES DE TRABAJO:

Los papeles de trabajo tienen los siguientes propósitos: 
·         Soportar por escrito la planeación del trabajo de auditoría.
·         Instrumento o medio de supervisión y revisión del trabajo de auditoría.
·         Registra la evidencia como respaldo de la auditoria y de informe
·         Se constituye en soporte legal en la medida de requerir pruebas.
·         Memoria escrita de la auditoría.

CLASES DE PAPELES DE TRABAJO:

a) Papeles de trabajo relacionados con la planificación























b) Papeles de trabajo relacionados con los saldos y transacciones

LOS ESTADOS FINANCIEROS
* Preparados por la empresa.
* En muy pocas ocasiones el auditor cuenta desde el comienzo de la auditoría con los estados financieros. Es habitual que los mismos se estén elaborando en el desarrollo de la auditoría.
· EL BALANCE DE COMPROBACIÓN
* Normalmente la auditoría comienza sobre la base del balance de comprobación o de sumas y saldos.
· HOJAS SUMARIAS
* Recoge los saldos de las cuentas que componen el área. Es el Papeles de Trabajo que abre el área.
* En las que se traslada la información del balance de comprobación de cada partida o concepto principal de aquellos estados
HOJAS DE DETALLE DEL SALDO QUE CONFORMA CADA CUENTA DEL BALANCE
* Muestran el desglose de los saldos de las sumarias.
c) Papeles de trabajo relacionados con la obtención de evidencia


Papeles destinados a reflejar los procedimientos específicos de Auditoría de cada área.
* Conciliación bancaria
* Conciliación de clientes
* Corte de operaciones
* Prueba de nóminas
Aquellos que recogen la evaluación del Sistema de Control Interno
* Cuestionarios o flujogramas.
Copias de los documentos importantes que han sido examinados:
* Escrituras, actas, contratos, etc.
Copias de las Cartas de confirmación y contestaciones.
* Remitidas a terceros solicitando la de determinada información y las correspondientes contestaciones de las mismas.
La constancia de inspecciones oculares
* Como recuentos, inventarios y otros, así como las notas sobre las indagaciones orales.
d) Papeles relacionados con la preparación y formulación de su opinión


1. “Resumen de ajustes y reclasificaciones”, comprende todos los ajustes y reclasificaciones detectados con posibles efectos en la opinión.
2. “Resumen de asuntos que afectan a la opinión”, que recoge todas las incidencias detectadas diferentes a los ajustes y reclasificaciones que posiblemente tendrán incidencia en la opinión.
3. “Resumen de incidencias de control interno”, que recoge todas las debilidades de control interno detectadas y que constituirán el contenido de la carta de recomendaciones.


ADMINISTRACIÓN DEL TRABAJO:

Los papeles de trabajo se archivan y organizan en dos tipos de archivos:

 ARCHIVO PERMANENTE

Este tiene por objeto tener disponible aquel tipo de información que se requiere para conocer y mantener un conocimiento permanente y actualizado sobre las distintas actividades o hechos de la empresa auditada, que directa o indirectamente se relacionan con el examen de sus estados financieros. Este archivo incluye todos aquellos datos y todos los papeles que retengan por mas de dos años, y por lo general esta información no es preparada por el auditor, si no que se obtiene directamente del cliente, cada año debe revisarse críticamente su información a fin de contener información de interés actual, aquella que no sea necesaria examinar para la revisión de los años futuros deberá transferirse a un archivo permanente inactivo.

 ARCHIVO CORRIENTE

 Es el que contiene la principal información que soporta la opinión del auditor sobre los estados financieros examinados en los papeles de trabajo se encuentra la evidencia extensión de los procedimientos de auditoria aplicados, contenidos tanto de pruebas de cumplimiento como pruebas sustantivas.

 MARCAS DE COMPROBACIÓN:

 También denominados tildes y tick marks. Son símbolos que documentan los Papeles de Trabajo, dotándoles de significado y dejando constancia de parte del trabajo realizado.

 NORMAS PARA LA UTILIZACIÓN

 1. Deben escribirse en rojo.

 2. Deben ser claras y perfectamente distinguibles.

 3. Deben ser sencillas y, cuando sea posible, estar normalizadas para todos los P de T.

 4. No debe inundarse un P de T con tildes, haciendo imposible seguir el flujo de trabajo.

 5. Las explicaciones deben estar en la misma cédula del tilde.

 6. Las explicaciones deben ser precisas en la descripción del trabajo realizado.
Publicado por en No hay comentarios:

martes, 25 de junio de 2013

Técnicas de Auditoría

Existen varias técnicas de Auditoría Informática de Sistemas, entre las cuales se mencionan:

• LOTES DE PRUEBA

Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo.   

Entre los datos que se deben incluir en una prueba
se tienen:

•  Datos de Excepción.
  Datos Ilógicos.
  Transacciones Erróneas



AUDITORÍA PARA EL COMPUTADOR

Permite determinar si el uso de los equipos de computación es el idóneo.  

Mediante esta técnica, se detectan equipos sobre y subutilizados.

PRUEBA DE MINICOMPAÑÍA

Revisiones periódicas que se realizan a los Sistemas a fin de determinar nuevas necesidades.  
Publicado por en No hay comentarios:

jueves, 9 de mayo de 2013

PERFIL DEL AUDITOR DE SISTEMAS Y NORMAS BÁSICAS DE APLICACIÓN


AUDITORIA DE SISTEMAS

INTRODUCCIÓN

El nivel académico en armonía con la tecnología, la capacidad y experiencia son elementos importantes para el buen desarrollo de la auditoria en TI, asimismo el responsable de ejecutar la evaluación debe considerar escenarios de posibles “supuestos” que permitan ampliar o profundizar las pruebas para minimizar los riesgos, por ello el proceso de auditoria exige que el auditor de TI reúna evidencias, evalúe fortalezas y debilidades de los controles existentes, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la Administración o Gerencia de la cual depende. Así mismo el auditor debe ser portador de independencia y autoridad para realizar su examen. Como primer paso, la planificación es necesaria para realizar auditorias de TI. El auditor debe comprender el ambiente del negocio en el que se ha de realizar la auditoria  así como los riesgos del negocio y control asociado. Por ello el auditor antes de aplicar los programas de trabajo debe tener en cuenta las siguientes consideraciones.

Al planificar una auditoria  el auditor de TI debe tener una comprensión suficiente del ambiente total que se revisa, debe incluir una idea general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoria  así como los tipos de sistemas que se utilizan. El auditor de TI también debe comprender el ambiente normativo en el que opera el negocio.

PERFIL DEL AUDITOR DE SISTEMAS Y NORMAS BÁSICAS DE APLICACIÓN

Cada empresa tiene establecidos los criterios, condiciones y obligaciones que deben de ser respetados por el personal que labora en ella, esto obedece a que son aspectos vigentes que regulan la actuación de quienes administran la empresa, por tanto, es compromiso del auditor apegarse a las normas o políticas establecidas, sean estas internas o externas en el ejercicio del servicio profesional, auditoria de sistemas debe de exigir el cumplimiento de normas básicas o principios generales aceptados.
En cualquier ámbito laboral existen necesidades que cumplir , el primer requisito que debe poseer quien se dedica a esta profesión, es estar totalmente libre de cualquier tipo de influencia; es decir debe ser autónomo en su actuación y no permitir ningún tipo de injerencia  ya sea de cualquier carácter, sean estas; laborales, morales, conducta, independencia y conocimiento profesional. El segundo requisito son los conocimientos computacionales que debe tener, con un amplio cúmulo de nociones en áreas vinculadas al trabajo, métodos, herramientas y técnicas de auditoria a fin de que pueda realizar sus tareas con eficiencia y eficacia.
Sin embargo, este debe poseer otras características personales que son representativas del auditor tales como: honradez, valores, confianza, tenacidad, capacidad analítica, en este contexto también lo ideal es la experiencia profesional para el buen desempeño del trabajo dentro de la Organización. Así mismo debe el auditor de sistemas manejar otros factores que contribuyen y se encuentran ligados a su profesión, tales como: a) El auditor debe de aprender a manejar adecuadamente las relaciones personales, profesionales y laborales entre él y el auditado. b) Como profesional de auditoria debe utilizar la misma metodología, procedimientos, herramientas y técnicas que se hayan establecido para la revisión de las áreas. c) Los resultados que obtiene el auditor forman evidencias en las que se respalda, para emitir el dictamen. d) Es obligación profesional, moral y personal del auditor respetar la confidencialidad de dicha información y no divulgarla. e) Mantener y aplicar la equidad, en virtud que trata de igualar la justicia, ponderación y emisión de juicios; la imparcialidad que evita las preferencias injustas y la razonabilidad que es la capacidad del individuo para emitir un juicio.
La sociedad misma identifica una serie de aspectos fundamental que debe de tener el profesional dedicado a la auditoria, a fin de que identifique y cumpla con los principios y valores del auditor, citando alguno de ellos:

INDEPENDENCIA


La independencia supone una actitud mental que permite al auditor actuar con libertad respecto a su juicio profesional, para lo cual debe encontrarse libre de cualquier predisposición que limite su imparcialidad en la consideración objetiva de los hechos, así como en la formulación de sus conclusiones.
Para ser independiente, el auditor no debe tener intereses ajenos a los profesionales, ni estar sujeto a influencias susceptibles de comprometer tanto la solución objetiva de los asuntos que le son sometidos, como la libertad de expresar su opinión profesional.


INTEGRIDAD


La integridad debe entenderse como la rectitud intachable en el ejercicio profesional, que le obliga a ser honesto y sincero en la realización de su trabajo y en la emisión de su informe. En consecuencia, todas y cada una de las funciones que realice han de estar regidas por una honradez profesional irreprochable.



OBJETIVIDAD


La objetividad implica el mantenimiento de una actitud imparcial en todas las funciones del auditor. Para ello, debe gozar de una total independencia en sus relaciones con la entidad auditada. Debe ser justo y no permitir ningún tipo de influencia o perjuicio.





COMPETENCIA PROFESIONAL


Es la obligación de mantener su nivel de competencia a lo largo de toda su carrera profesional, así como de mantener sus conocimientos y sus habilidades a un nivel adecuado para asegurar que la evaluación será la adecuada.







CONFIDENCIALIDAD

El Auditor deberá respetar la confidencialidad respecto a la información que reúna en el desarrollo de su trabajo y no deberá ninguna información a terceros sin la autorización específica, a menos que tenga el derecho o la obligación profesional o legal de hacerlo. También tiene la obligación de garantizar que el personal bajo su control respete fielmente el principio de la confidencialidad. El principio de confidencialidad es más amplio que la revelación de la información; incluye el hecho de que un auditor que obtenga información en el curso de la prestación de sus servicios, no debería usarla ni aparentar usarla para su beneficio personal o para terceros.



RESPONSABILIDAD


Se mantiene como responsabilidad el hecho de aceptar el compromiso que implica la toma de decisiones y las consecuencias previstas por las acciones y omisiones en el cumplimiento del trabajo.







CONDUCTA PROFESIONAL




Actuar de acuerdo con la buena reputación de la profesión y evitar cualquier conducta que pueda desacreditarla. Esto requiere que las normas de ética tengan en cuenta las responsabilidades profesionales.






NORMAS TÉCNICAS



El auditor deberá conducir una auditoria conforme las Normas y Políticas, locales o internacionales. Estas deberán contener principios básicos y procedimientos esenciales junto con lineamientos relativos y asociados a las funciones del auditor.






Los elementos referenciados con anterioridad se encuentran integrados en normas llamadas código de ética, aplicadas para el auditor de sistemas, siendo estos utilizados y difundidos por instituciones nacionales e internacionales.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)