11 EVIDENCIAS EN UNA AUDITORIA_2022

Vista previa del material en texto

Evidencias en una auditoria
1
Todas las imágenes fueron obtenidas de Google Imágenes 
Fases de una planificación
2
Fase Preliminar
Fase de Planificación
Fase de Elaboración de papeles de trabajo/informes/documentos
Fase de Ejecución
Fase de Retroalimentación
3
Según la RAE evidencia es
 “la certeza clara y manifiesta de la que no se puede dudar”. 
Es una “prueba determinante en un proceso”
NIAS
SAS
Evidencia
Algunas normas que la tratan
ISACA
4
4
Fundamentar una aseveración de la auditoria
Efectuar recomendaciones de los hallazgos
Evidencia
Finalidades buscadas
Concluir el informe
5
5
Naturales (por los sentidos)
Creadas (acciones que generan documentos de respaldo)
Evidencia
Por su modo de obtención
Racionales (Interpretación lógica/conceptual de hechos) 
6
6
Física/virtual
 (documentos varios)
Oral 
(testimonios hablados)
Evidencia
Por su manera de presentarse
De análisis
(cálculos,
relaciones, revisiones, entendimientos, controles y evaluaciones)
7
7
Interna (registraciones, documentaciones y testimonios propios del ente auditado) 
Externa (documentos o testimonios externos al ente auditado) 
Evidencia
Por la fuente que lo provee
-robustez-
8
8
9
Nivel de robustez
de la evidencia obtenida
Procedencia de los documentos generados
Interna 
 del
ente
Externa 
del 
ente
Terceros vinculados con la auditada a pedido de la auditoria
Auditada a pedido de la auditoria
Auditor con sus papeles de trabajo sobre la auditada
Operatoria normal de la auditada
Operatoria normal de terceros vinculados con la auditada
Pertinencia (Obvia relación con el objeto y su relevancia)
Validez (Es una conjunción de requisitos que están asociados a la confiabilidad que el auditor le otorgue para:
-proveer soporte como papel de trabajo y
- detectar /confirmar errores.
La confiabilidad está influenciada/viciada por:
*su fuente, calidad y naturaleza(apta), y 
*las circunstancias particulares bajo las que se obtiene.)
Evidencia
Requisitos mínimos que debe cumplir
Suficiencia (Cantidad de pruebas reunidas) 
10
10
11
Nivel de validez de la evidencia obtenida
Naturaleza de los procedimientos que pueden 
utilizarse en las pruebas 
Observación
Recálculo
Entrevista
Reproceso
Confirmaciones
Inspección
Procedimientos analíticos
12
Análisis del alcance de una prueba 
después de su realización 
Esfuerzo
Costo
Tiempo
Suficiencia de la evidencia
13
Nivel de credibilidad de la evidencia obtenida
Tipo de evidencia 
Evidencia oral
Evidencia escrita
14
Criterios para evaluar una evidencia
Evaluarla
Objetividad
Legalidad
Obtenerla
Evidencia
Razonabilidad
Conceptualidad
15
Inseguridades de los logs de auditoria
Confidencialidad
Se pueden leer los registros del log
Integridad
Se pueden alterar, modificar, corromper, infectar los registros del log
Disponibilidad
Se puede borrar o deshabilitar el sistema de log
16
Impacto de las TICS para encontrar evidencias
*Es posible realizar operaciones sin generar documentación fuente.
*Es posible cambiar la información sin dejar huellas, ni rastro alguno.
*Los registros como las pistas de auditoría son invisibles
*Es más fácil robar(interna o externamente) la información.
*La información electrónica es fácil de perderse por problemas de seguridad física.
*Pueden dispararse transacciones automáticamente.
17
Impacto de las TICS para encontrar evidencias
*Hay cierta tendencia a concentrar funciones en el computador y dejar de lado los principios de control interno.
*Hay nuevas fuentes y posibilidades de error para el auditor (no es solo la documentación y los procesos sino que tiene que ver el funcionamiento y homogeneidad de uso del software).
*Es más fácil ocultar información para que la revise el auditor.
18
Impacto de las TICS para encontrar evidencias
*La información almacenada está disponible de manera tal que sólo es analizable con ayuda del computador.
*Muchos controles son parte de la lógica de los programas y no siempre el mantenimiento del soft los controla para validar su correcto funcionamiento.
*Debido a la poca participación humana, algunos errores son difíciles de detectar y a veces el diseño del proceso es deficiente y en consecuencia el diseño lógico también.
19
Impacto de las TICS para encontrar evidencias
*Falta de registros visibles.
*Factibilidad de hacer desaparecer la información con extremada velocidad
*Complejidad de la operatoria
*Falta de un enfoque orientado hacia el control en la etapa del diseño del sistema.
*Cuando se desliza un error, este afecta a un mayor volumen de transacciones.
*Necesidad de emplear personal especializado en informática para efectuar las pruebas que no siempre conoce sobre la operatoria del negocio.
Tradicional
Electrónica
Tipo de Evidencia
20
20
La evidencia tradicional o física representa una afirmación en los documentos presentados en una auditoria para que el auditor exprese su opinión o sugerencia
21
21
La evidencia electrónica o digital, es un tipo especial de evidencia, que puede entenderse como “cualquier información que, sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático”.
22
22
23
	Atributo	Evidencia tradicional	Evidencia electrónica
	Origen	Fácilmente comprobable
(Se observa cual es la unidad originante)	De difícil comprobación. 
Se requiere complementar verificación a través de técnicas de seguridad para establecer autenticación, no repudio y perfil de usuario autorizado.
	Aprobación	Fácilmente comprobable
(Hay firmas que acompañan)	Se requiere conocer perfiles de usuario y analizar correspondencia del documento con los niveles de autorización diseñados.
	Formato	Es parte integrante del documento	Está separado de los datos y puede ser cambiado y el auditor no saberlo. 
Es fundamental analizar el control interno de las salidas y ver su política y seguridad.
Tabla de comparación entre evidencia tradicional y electrónica
24
	Atributo	Evidencia tradicional	Evidencia electrónica
	Disponibilidad	No es usualmente una restricción durante una auditoría.	El registro de auditoría puede no estar disponible en el tiempo y forma requerido.
	Alteración	Fácilmente comprobable por control visual (tipo de papel, tachaduras, borrado no permitido, etc.).	Es imposible detectar alteraciones leyendo sólo la información electrónica.
Para comprobar la integridad de la información hay que conocer el sistema de control interno organizacional desde el punto de vista de controles generales y de aplicación.
	Firma	Es igual para todo tipo de documento.
Se puede hacer una simple comparación visual para compararla.	Es distinta según el grado de importancia del documento.(Firma digital, firma electrónica, firma simple).
Tabla de comparación entre evidencia tradicional y electrónica
25
	Atributo	Evidencia tradicional	Evidencia electrónica
	Completitud	Todos los términos relevantes de una transacción son incluidos en un documento.	Todos los términos relevantes de una transacción son incluidos en varios archivos o en mensajes de datos.
Hay que trabajar con las políticas organizaciones en cuanto a términos de guardado de mensajes (no siempre se recuperan todos). 
	Alacena-miento	Los documentos se mantienen de acuerdo a las necesidades de la organización o a necesidades de organismos de control.En general hay mas de una copia del mismo ejemplar distribuido entre las áreas involucradas en una operación/transacción/
proceso. Fácil acceso.	Los documentos se mantienen en un repositorio con características especiales de seguridad, integridad y disponibilidad. El auditor debe averiguar quien es el propietario de la información para requerir información.
Tabla de comparación entre evidencia tradicional y electrónica
26
	Atributo	Evidencia tradicional	Evidencia electrónica
	Lectura	No se requiere la necesidad de contar con ningún tipo de equipo para su lectura.	Requiere al menos de una computadora con electricidad o estar conectado a internet y tener un perfil de usuario para su lectura o requerir perfiles de usuario de mayor nivel.
	Copiado	Fácil acceso, por fotocopia generalmente.	Requiere que el auditor conozca primero como está organizado el control interno para saber a quien le tiene que pedir la información y que admita el formato pedido o le dé las herramientas para su acceso , lectura y copiado.
	Destino	Fácilmente comprobable.	De difícil comprobación. 
Se requiere complementar verificación a través de técnicas de seguridad para establecer autenticación, no repudio y perfil de usuario autorizado.
Tabla de comparación entre evidencia tradicional y electrónica
 
	 	¡¡¡Seguimos aprendiendo…!!!
27
image2.png
image3.jpeg
image4.jpeg
image5.png
image6.png
image7.png
image8.png
image9.png