Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Evidencias en una auditoria 1 Todas las imágenes fueron obtenidas de Google Imágenes Fases de una planificación 2 Fase Preliminar Fase de Planificación Fase de Elaboración de papeles de trabajo/informes/documentos Fase de Ejecución Fase de Retroalimentación 3 Según la RAE evidencia es “la certeza clara y manifiesta de la que no se puede dudar”. Es una “prueba determinante en un proceso” NIAS SAS Evidencia Algunas normas que la tratan ISACA 4 4 Fundamentar una aseveración de la auditoria Efectuar recomendaciones de los hallazgos Evidencia Finalidades buscadas Concluir el informe 5 5 Naturales (por los sentidos) Creadas (acciones que generan documentos de respaldo) Evidencia Por su modo de obtención Racionales (Interpretación lógica/conceptual de hechos) 6 6 Física/virtual (documentos varios) Oral (testimonios hablados) Evidencia Por su manera de presentarse De análisis (cálculos, relaciones, revisiones, entendimientos, controles y evaluaciones) 7 7 Interna (registraciones, documentaciones y testimonios propios del ente auditado) Externa (documentos o testimonios externos al ente auditado) Evidencia Por la fuente que lo provee -robustez- 8 8 9 Nivel de robustez de la evidencia obtenida Procedencia de los documentos generados Interna del ente Externa del ente Terceros vinculados con la auditada a pedido de la auditoria Auditada a pedido de la auditoria Auditor con sus papeles de trabajo sobre la auditada Operatoria normal de la auditada Operatoria normal de terceros vinculados con la auditada Pertinencia (Obvia relación con el objeto y su relevancia) Validez (Es una conjunción de requisitos que están asociados a la confiabilidad que el auditor le otorgue para: -proveer soporte como papel de trabajo y - detectar /confirmar errores. La confiabilidad está influenciada/viciada por: *su fuente, calidad y naturaleza(apta), y *las circunstancias particulares bajo las que se obtiene.) Evidencia Requisitos mínimos que debe cumplir Suficiencia (Cantidad de pruebas reunidas) 10 10 11 Nivel de validez de la evidencia obtenida Naturaleza de los procedimientos que pueden utilizarse en las pruebas Observación Recálculo Entrevista Reproceso Confirmaciones Inspección Procedimientos analíticos 12 Análisis del alcance de una prueba después de su realización Esfuerzo Costo Tiempo Suficiencia de la evidencia 13 Nivel de credibilidad de la evidencia obtenida Tipo de evidencia Evidencia oral Evidencia escrita 14 Criterios para evaluar una evidencia Evaluarla Objetividad Legalidad Obtenerla Evidencia Razonabilidad Conceptualidad 15 Inseguridades de los logs de auditoria Confidencialidad Se pueden leer los registros del log Integridad Se pueden alterar, modificar, corromper, infectar los registros del log Disponibilidad Se puede borrar o deshabilitar el sistema de log 16 Impacto de las TICS para encontrar evidencias *Es posible realizar operaciones sin generar documentación fuente. *Es posible cambiar la información sin dejar huellas, ni rastro alguno. *Los registros como las pistas de auditoría son invisibles *Es más fácil robar(interna o externamente) la información. *La información electrónica es fácil de perderse por problemas de seguridad física. *Pueden dispararse transacciones automáticamente. 17 Impacto de las TICS para encontrar evidencias *Hay cierta tendencia a concentrar funciones en el computador y dejar de lado los principios de control interno. *Hay nuevas fuentes y posibilidades de error para el auditor (no es solo la documentación y los procesos sino que tiene que ver el funcionamiento y homogeneidad de uso del software). *Es más fácil ocultar información para que la revise el auditor. 18 Impacto de las TICS para encontrar evidencias *La información almacenada está disponible de manera tal que sólo es analizable con ayuda del computador. *Muchos controles son parte de la lógica de los programas y no siempre el mantenimiento del soft los controla para validar su correcto funcionamiento. *Debido a la poca participación humana, algunos errores son difíciles de detectar y a veces el diseño del proceso es deficiente y en consecuencia el diseño lógico también. 19 Impacto de las TICS para encontrar evidencias *Falta de registros visibles. *Factibilidad de hacer desaparecer la información con extremada velocidad *Complejidad de la operatoria *Falta de un enfoque orientado hacia el control en la etapa del diseño del sistema. *Cuando se desliza un error, este afecta a un mayor volumen de transacciones. *Necesidad de emplear personal especializado en informática para efectuar las pruebas que no siempre conoce sobre la operatoria del negocio. Tradicional Electrónica Tipo de Evidencia 20 20 La evidencia tradicional o física representa una afirmación en los documentos presentados en una auditoria para que el auditor exprese su opinión o sugerencia 21 21 La evidencia electrónica o digital, es un tipo especial de evidencia, que puede entenderse como “cualquier información que, sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático”. 22 22 23 Atributo Evidencia tradicional Evidencia electrónica Origen Fácilmente comprobable (Se observa cual es la unidad originante) De difícil comprobación. Se requiere complementar verificación a través de técnicas de seguridad para establecer autenticación, no repudio y perfil de usuario autorizado. Aprobación Fácilmente comprobable (Hay firmas que acompañan) Se requiere conocer perfiles de usuario y analizar correspondencia del documento con los niveles de autorización diseñados. Formato Es parte integrante del documento Está separado de los datos y puede ser cambiado y el auditor no saberlo. Es fundamental analizar el control interno de las salidas y ver su política y seguridad. Tabla de comparación entre evidencia tradicional y electrónica 24 Atributo Evidencia tradicional Evidencia electrónica Disponibilidad No es usualmente una restricción durante una auditoría. El registro de auditoría puede no estar disponible en el tiempo y forma requerido. Alteración Fácilmente comprobable por control visual (tipo de papel, tachaduras, borrado no permitido, etc.). Es imposible detectar alteraciones leyendo sólo la información electrónica. Para comprobar la integridad de la información hay que conocer el sistema de control interno organizacional desde el punto de vista de controles generales y de aplicación. Firma Es igual para todo tipo de documento. Se puede hacer una simple comparación visual para compararla. Es distinta según el grado de importancia del documento.(Firma digital, firma electrónica, firma simple). Tabla de comparación entre evidencia tradicional y electrónica 25 Atributo Evidencia tradicional Evidencia electrónica Completitud Todos los términos relevantes de una transacción son incluidos en un documento. Todos los términos relevantes de una transacción son incluidos en varios archivos o en mensajes de datos. Hay que trabajar con las políticas organizaciones en cuanto a términos de guardado de mensajes (no siempre se recuperan todos). Alacena-miento Los documentos se mantienen de acuerdo a las necesidades de la organización o a necesidades de organismos de control.En general hay mas de una copia del mismo ejemplar distribuido entre las áreas involucradas en una operación/transacción/ proceso. Fácil acceso. Los documentos se mantienen en un repositorio con características especiales de seguridad, integridad y disponibilidad. El auditor debe averiguar quien es el propietario de la información para requerir información. Tabla de comparación entre evidencia tradicional y electrónica 26 Atributo Evidencia tradicional Evidencia electrónica Lectura No se requiere la necesidad de contar con ningún tipo de equipo para su lectura. Requiere al menos de una computadora con electricidad o estar conectado a internet y tener un perfil de usuario para su lectura o requerir perfiles de usuario de mayor nivel. Copiado Fácil acceso, por fotocopia generalmente. Requiere que el auditor conozca primero como está organizado el control interno para saber a quien le tiene que pedir la información y que admita el formato pedido o le dé las herramientas para su acceso , lectura y copiado. Destino Fácilmente comprobable. De difícil comprobación. Se requiere complementar verificación a través de técnicas de seguridad para establecer autenticación, no repudio y perfil de usuario autorizado. Tabla de comparación entre evidencia tradicional y electrónica ¡¡¡Seguimos aprendiendo…!!! 27 image2.png image3.jpeg image4.jpeg image5.png image6.png image7.png image8.png image9.png
Compartir