Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
18/8 Ransomware --> entra al sistema y encripta datos, no se lleva datos por lo que es difícil localizar el origen del ataque. A veces se tiene ataques ransom que quedan dormidos dentro del sistema por lo que a la semana se puede llegar a reactivar en caso de que no se limpie de raíz Hay que tener en cuenta: • Tener respaldos de seguridad • Hacer un debugging para que no se re infecte • Saber cómo hacer un restore de la información Auditoria • Tiene un alcance y un objetivo • Tiene un objeto • Necesita de tener independencia para poder investigar 21/8 - Los objetos sobre los que se realiza la auditoria pueden ser tanto programas, organizaciones, actividades o segmentos operativos -La finalidad última no es solo informar sino implementar cambios para mejorar el rendimiento Misión y objetivos de la auditoria - Misión: lo que se pretende cumplir en un determinado entorno o sistema social en el que actua. Lo que se pretende hacer y para quien se va a hacer. - Objetivo: El objeto es el elemento sobre el que hacemos la auditoria. La misión es optimizar la eficiencia de la organización, a través de la mejora en la ejecución de procedimientos y la utilización de recursos. Auditoria Interna vs. Externa Aspectos Auditoria Externa Auditoria Interna Objetivo Opinar sobre la razonabilidad de la información reflejada en los Estados Contables, y si fueron elaborados de acuerdo con las Normas de Auditoría Vigentes Medir y evaluar la eficiencia de la operatoria del ente, así como la confiabilidad del control interno del mismo, proveyendo análisis y recomendaciones que tiendan a su mejoramiento Sujeto Contador Publico Profesionales de Ciencias Economicas Tipo de relación Contractual Relación de dependencia Independencia Total Relación de dependencia Objeto principal Estados contables Actividades de control interno del ente, circuitos administrativos, manual de procedimientos y organigramas. Normas de aplicación Normas profesionales vigentes. Exigencias legales de órganos de control. Normas de auditoría interna. No obligatorias. Producto final Informe sobre Estados Contables anuales o intermedios. Informes sobre control interno, gestión, desvíos presupuestarios. Responsabilidad Profesional, civil y penal Profesional y laboral Condiciones personales Independencia de criterio (respecto del ente auditado). Título habilitante. Cuidado profesional. Independencia de criterio (dependiendo del máximo nivel decisorio de la empresa). Capacidad técnica. Cualidades personales. Principios de auditoria (ISO 19011) - Integridad: fundamento de la profesionalidad. Honestidad, imparcial, sensibles ante las influencias - Presentación imparcial: obligatoriedad de informar con veracidad y exactitud - Cuidad profesional: diligencia y juicio al auditar - Confidencialidad: seguridad de la información - Independencia: base para la imparcialidad y objetividad en las conclusiones - Enfoque basado en evidencia: método racional para alcanzar conclusiones de la auditoria fiables y reproducibles - Enfoque basado en riesgos: se deben considerar los riesgos al momento de auditar para buscar cumplir los objetivos previstos Cada auditoría individual debería basarse en unos objetivos, un alcance y unos criterios de auditoría definidos. Estos deberían ser coherentes con los objetivos globales del programa de auditoría. Los objetivos de la auditoría definen qué es lo que se va a lograr con la auditoría individual y pueden incluir lo siguiente: • Determinación del grado de conformidad del sistema • Evaluación capacidad del sistema • Evaluación eficacia del sistema • Identificación de oportunidades de mejora • Evaluación capacidad del sistema para alcanzar los objetivos y abordar eficazmente los riesgos y oportunidades A fin de comprender el contexto del auditado, el programa de auditoría debería tener en cuenta del auditado: • los objetivos organizacionales; • las cuestiones externas e internas pertinentes; • las necesidades y expectativas de las partes interesadas pertinentes; • los requisitos de seguridad y confidencialidad de la información. El programa de auditoría debería incluir la información e identificar los recursos que permitan que las auditorías se realicen de forma eficaz y eficiente dentro de los periodos de tiempo especificados. Esta información debería incluir lo siguiente: • objetivos para el programa de auditoría; • riesgos y oportunidades asociados con el programa de auditoría (véase 5.3) y las acciones para abordarlos; • alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría; • calendario (número/duración/frecuencia) de las auditorías; • tipos de auditoría, tales como internas o externas; • criterios de auditoría • métodos de auditoría a emplear; • criterios para seleccionar a los miembros del equipo auditor; • información documentada pertinente. Auditoria en sistemas computacionales - Carlos Muñoz Razo En la revisión documental, el auditor de sistemas computacionales debe verificar que la empresa cuente con todos los documentos relacionados con el manejo de los sistemas computacionales Matriz DOFA (Debilidades, Oportunidades, Fortalezas, Amenazas) Influencias que afectan el comportamiento de una empresa, tanto las que recibe de su ambiente interno, como el ambiente externo. Factores de carácter interno • Misión, visión, objetivos • Factor humano • Cultura empresarial • Filosofía de calidad Factores de carácter externo • Clientes • Influencia cultural, económica y política • Competencia Repercusión externa dentro del ámbito de influencia • Ambiente local, regional, nacional e internacional Aplicación de la matriz DOFA en la auditoria de sistemas computacionales • Mediante dicha matriz se pueden estudiar las influencias que afectan el comportamiento del área de sistemas computacionales de una empresa, tanto las que recibe de su ambiente interior, como las de su ambiente exterior, ya sean de la propia empresa o de sus proveedores, desarrolladores o del entorno donde se encuentra establecida. • Será el análisis del área de sistemas con el propósito de identificar sus fortalezas y debilidades en la prestación del servicio de cómputo para la empresa, para incrementar dichas fortalezas, reforzarlas o al menos mantenerlas de la misma forma, así como solucionar las debilidades, o al menos reducir su repercusión en la prestación del servicio. Implementación programa de auditoria - Definición de los objetivos, el alcance y los criterios para una auditoria individual o Objetivos: definen que es lo que se va a lograr con la auditoria individual (grado de conformidad, evaluación eficacia, identificación para mejoras potenciales) o Alcance: debe ser coherente con el programa (ubicaciones, funciones, actividades y procesos a auditar) - Selección y determinación de los métodos de auditoria o Se seleccionan dependiendo de los objetivos, el alcance y los criterios definidos o Cuando dos o más organizaciones auditoras llevan a cabo una auditoría conjunta del mismo auditado, las personas responsables de la gestión de los diferentes programas de auditoría deberían estar de acuerdo en los métodos de auditoría y considerar las implicaciones para la provisión de recursos y la planificación de la auditoría. - Selección del equipo auditor o Un equipo auditor debería seleccionarse teniendo en cuenta las competencias necesarias para alcanzar los objetivos de la auditoría individual dentro del alcance definido. o Hay que tener en consideración la complejidad, los métodos, la imparcialidad o Factores externos (idiomas y factores culturales) - Asignación de responsabilidades al líder del equipo auditor o Se debe asignar un líder del equipo o Se eligeen base al objetivo, alcance, métodos, composición del equipo o Además, debe tener ubicación del auditado, recursos para la auditoria, información para abordar los riesgos - Gestión de los resultados del programa de auditoria o Evaluar el cumplimiento de los objetivos o Revisión de los informes de auditoría y su distribución o Determinación de la necesidad de alguna auditoria de seguimiento - Gestión y conservación de los registros del programa de auditoria o Deberían asegurarse de que se generan, gestionan y conservar registros de la auditoría para demostrar la implementación del programa de auditoría o Ejemplos para esto serían: calendarios de auditorías, objetivos y extensión del programa, planes e informes de auditoría, informes de correcciones, evaluación de desempeño del equipo auditor 23/8 Planificación de una auditoria Planificar --> acto deliberado de construir un curso de acción con el fin de alcanzar un objetivo prefijado que sea medible, alcanzable, realista y claros mediante la utilización de recursos determinados (humanos, financieros, tecnológicos). • Las habilidades blandas hay que convertirlas en duras para poder medirlas • Las planificaciones son particulares a la auditoria (puede de tener un modelo con ciertas características, pero hay otras que se tienen que adaptar al proyecto en sí) Curso de acción --> organizar el trabajo en base a una estrategia definida que depende del encargo (acción por la cual se encarga la auditoria. Audit sistemas, contable, etc.), el tiempo para cumplirlo, el objetivo y alcances fijados (es en base al encargo) y la experiencia del auditor (un auditor más experimentado puede que sepa varias mañas o cosas que haya que pedir que quizá un novato no sepa) Fases de una planificación • Preliminar: o origen de la potencial contratación (por parte de accionistas o ejecutivos) o origen de la auditoria (por temas de la organización, por cumplimientos legales antes entidades gubernamentales o por sospechas de fraudes) o origen de actividad (necesidad de colaboración entre la organización y terceros como contadores tercerizados, necesidad de entrega de información veraz, estudio de independencia y libertad de conflicto de intereses del auditor) o estudio de lugares y horarios del negocio (equipos con huso horario distinto) o estudio de equipos necesarios (dentro del equipo y tercerizados) o factores de entorno o de contexto de la empresa (clientes, proveedores, legislatura, factores políticos) o estudio específico de la estructura formal de la organización (formal, estrella, estatutos) y la informal que puedan cambiar criterios de determinados tipos de organización (contratación de amigos o parejas de empleados actuales) y de la cultura en si. o Análisis de riesgos o Análisis horas y valores horarios para presupuestar o Determinar reuniones de avance (milestones) o Elaborar y firmar el contrato de auditoria (detallado, fijando procedimiento por si hay cambio de auditores o servicios adicionales, uso de la información obtenida y confidencialidad) • Planificación: o Gráficos para indicar los cursos a seguir o Se materializa el alcance y los procesos a auditar o Obtener evidencias completas y adecuadas que permitan arribar a conclusiones veraces y argumentadas o Aplicar eficiencia y eficacia en el desarrollo de las actividades de auditoria o Establecer necesidades/amenazas o Determinar procesos críticos a auditar o Determinar tipos de pruebas a hacer o Establecer perfiles de usuarios para pruebas o Determinar tipo de permisos de acceso necesarios o Determinar días de concurrencia a la organización o Planificar pruebas o Establecer cronograma de pruebas o Establecer como guardar la información recabada o Determinar tipos de entrevistas (preguntas abiertas, preguntas cerradas) o Tanto las pruebas como las entrevistas tienen 3 etapas (antes, durante, después) ▪ Preguntas cerradas: checklists, preguntas estandarizadas, duración corta, información fácil de procesar. Puede necesitarse nuevas pruebas o recolecciones posterior a la inicial. Desarrollada por un auditor junior ▪ Preguntas abiertas: preguntas no estandarizadas, hay un conocimiento previo de la persona a entrevistar, duración larga, información obtenida más difícil de procesar. Desarrollada por un auditor senior o Requerir designación de un responsable vincular de la organización auditada • Ejecución: • Retroalimentación: • Elaboración de documentación: - Estas fases están interconectadas y pueden ir y volver entre ellas - No hay que solo planificar sino también llevar herramientas graficas que muestren el progreso que se va haciendo a lo largo del tiempo - El auditor tiene que aprender a observar y escuchar Entrevista: • Antes o Analizar la persona a auditar o Pactar la entrevista y establecer el motivo de la entrevista y la duración de la misma o Evitar preguntar preguntas ambiguas • Durante o Establecer y mantener el contacto o Mantener la calidad de la relación o Tomar nota y no grabar o No hacer preguntas personales ni con lenguaje inapropiado o Agradecerle por la entrevista al final • Después o Analizar la entrevista para no olvidar detalles o Separar hechos de opiniones o Extraer información relevante o Preparar papeles de trabajo o Analizar si se requiere realizar alguna otra prueba o Documentar Pruebas: • Antes o Revisar contratos con los proveedores externos contra estándares o conceptos incluidos en las buenas practicas o Se determinan las áreas auditables (legales y contables) • Durante o Guardar los contratos o Análisis de los documentos o Si el producto es físico se busca protección del activo y continuidad del negocio o Si el producto es intangible o servicio se busca continuidad del negocio, confidencialidad y seguridad o Preparación de los papeles de trabajo • Después o Vuelco resultados a la carpeta general de la auditoria o Comentarios de la reunión de cumplimiento o Archivo en el legajo RT7 Normas para el desarrollo del encargo • El contador debe reunir pruebas válidas y suficientes • Documentación del encargo (apropiado, resguardado) • La tarea del contador debe ser económica (no se puede exceder lapsos y costos de forma intencional) • El contador debe contemplar la significación y los riegos al momento de planificar • Para sustentar juicios de auditoria, el auditor debe conseguir las manifestaciones de manera escrita y suscriptas por la dirección • Cuando el auditor utilice un experto, deberá evaluar su competencia • No generan informes con palabras ambiguas Auditoria de Sistemas – Castello – Capitulo 1 • Auditoría es un control selectivo, efectuado por un grupo independiente del sistema a auditar, con el objetivo de obtener información suficiente para evaluar el funcionamiento del sistema bajo análisis. • Auditar es efectuar el control y la revisión de una situación pasada. Es observar lo que pasó en una entidad y contrastarlo con normas predefinidas. Concepto de control Control --> el proceso de ejercitar una influencia directiva o restrictiva, es decir, la posibilidad de dirigir actividades hacia objetivos buscados o de evitar que se produzcan resultados no deseados El control produce dos tipos de acciones: • Influencia directiva: intenta que las actividades se realicen modo tal que se produzca tal resultado • Influencia restrictiva: la acción se ejerce modo tal que se eviten resultados no deseados Elementos de control: • Elemento a controlar • Sensor • Grupo de control --> mediante sus resultados va a determinar la necesidad de corrección • Grupo activante --> grupo encargado de realizar una acción correctiva al sistema operante Tipos de control • De acuerdo a suobjetivo o Correctivos: cuentan en su estructura con elementos para medir desviaciones e informar sobre ellas o No correctivos: prescinden de la medición e información de los desvíos que se puede producir • De acuerdo a su marco temporal o Retroalimentados: operan sobre hechos sucedidos o Prealimentados: operan sobre hechos futuros. Busca prevenir resultados negativos • De acuerdo a su pertenencia o De secuencia abierta: el grupo de control es independiente al sistema operante o De secuencia cerrada: los elementos de control pertenecen al propio sistema operante Etapas de control • Establecimiento de estándares: elementos y parámetros sobre los que se ejercerá el control y los resultados deseables. • Comparación o diagnóstico: comparación entre resultados reales y deseados. Se investiga acerca de las causas de las desviaciones • Determinación de acciones correctivas: lleva la decisión de corregir o dejar como esta. • Ejecución de acciones correctivas Economicidad del control Se considera que este costo debe ser menor al beneficio (potencial o real) que se obtiene con su implementación. Por ello no se evalúan todas las características o parámetros posibles, sino sólo aquellos que dan una ratio positiva a la relación costo de implementar la medida-beneficio esperado La auditoría es un tipo de control con las siguientes características: • Retroalimentado • Correctiva • De secuencia abierta • Selectiva Auditoria vs. Consultoría 31/8 Riesgos y controles internos Riesgo --> posibilidad de que algo desagradable acontezca --> se asocia a una decisión que conlleva a una exposición o tipo de peligro --> lleva una amenaza (persona o cosa vista como fuente de peligro), una vulnerabilidad (situación creada por deficiencia de controles) y una oportunidad Riesgo --> probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad Impacto --> evaluación de efecto de riesgo -Un riesgo se puede evitar, trasferir (pagando un seguro), reducir, asumirlos - Mientras que en las tres primeras se hace una acción, cuando uno lo asume, no hace nada por ese riesgo (se lo conoce como riesgo residual, un riesgo que se decide no tratar) -Un riesgo se puede transformar en una oportunidad de generar valor a la organización Clasificación del riesgo: - Riesgo Inherente: riesgo de errores o irregularidades antes de la efectividad de los sistemas de control - Riesgo de control: riesgo de que los sistemas no puedan detectar o prevenir errores en forma oportuna - Riesgo de detección: riesgo de que, a través de un procedimiento de auditoria, no se puedan detectar errores o irregularidades significativas Metodología análisis de riesgo • Cuestionario • Identificar riesgos • Determinar probabilidad de ocurrencia • Calcular impacto • Identificar medidas y costos • Simulaciones (What happens if…?) • Creación de informes • Toda la planificación de la metodología de análisis de riesgo se hace en el antes de la auditoria • Las pruebas planificadas se hacen en el durante • Una vez hechas las pruebas y el análisis de riesgo, se establece el estado del control interno de la aplicación y se establecen las recomendaciones Controles --> verificar que las actividades que hacen las organizaciones se hagan como se planeó y corregir desviaciones --> el que controla debe controlar en base a procedimientos escritos. Los desvíos aceptables también deben estar escritos --> el que controla debe ser independiente al que desarrolla, no puede ser la misma persona Control interno --> proceso llevado a cabo por personal de distintas áreas de la empresa, diseñado con el objeto proporcionar un grado de seguridad en cuanto a la consecución de objetivos dentro de las categorías de eficacia y eficiencia, fiabilidad de la información y cumplimiento de las leyes y normas aplicables Control interno (componentes): multidireccionales (vertical y horizontalmente), repetitivos, permanentes, interrelacionados (relación con las unidades de la organización) • Entorno de control • Evaluación de riesgos • Actividades de control • Información y comunicación • Supervisión Control Interno (características): • Continuo y preventivo • Unido a los sistemas de la organización • Incorporado al diseño de la estructura • No es esporádico ni externo • Debe tener flexibilidad (Rubro, Horarios, Movimiento, Ubicación de la organización) • Tiene que tener una relación Costo / Beneficio • Implica eficacia en los procedimientos, eficiencia operativa y seguridad en la información -El procesamiento electrónico de datos no afecta el objetivo de control interno, pero afecta el enfoque para la evaluación del mismo y el tipo de evidencia de auditoria que se obtiene (la obtención de la evidencia y la necesidad de control sigue estando vigente pero se tiene que hacer de otra manera) Control Interno (normas generales): • Formación de un ambiente de control (hay lugares donde no hay un ambiente y hay que buscar construirlo) • Evitar zonas disputadas y tierras de nadie (disputa entre departamentos) • Formalizar las operaciones por escrito • Niveles de autorización de operaciones • Separación de funciones y control cruzado (el procesamiento de una tarea es parte de más de una persona por lo que por si genera control interno. Se debe estudiar la reasignación de tareas para acomodar esto) • Prenumeración de formularios (orden de las operaciones. Le agregas un numero correlativo para que se note el faltante de alguna operación o registro) • Control de correlatividad numérico / cronológico (verificar correlatividad entre documentos) • Análisis de riesgo/conveniencia • Dependencia del sector auditor y auditado • Custodia de los formularios sin usar (tener control de formularios y evitar fraudes) • Importancia de los archivos • Rotación de personal en áreas sensibles (hay que buscar que no sea acelerado y tener cuidado en rotación de personal por más de un área sensible. Lo mismo con los permisos de acceso a información y demás) • Evitar rotación interna acelerada • Registraciones claras y al día 01/09 Control interno • Ambiente de control (puntos a analizar): o Filosofía y estilo de conducción (no todo está escrito, hay parte de esto que lo ve el auditor durante la auditoria y las entrevistas) o Estructura, reglamentos y manuales o Integridad, valores éticos y competencia profesional o Documentación de políticas o Normas de asignación de responsabilidades o Normas sobre administración de personal o Canales de comunicación • Protección de activos (tangible e intangible): o Servicio de vigilancia o Protección contra incendio o Mantenimiento preventivo o Separación de funciones o Política de seguros o Formularios prenumerados o Un cheque por cada egreso o Cheques con más de una firma (la firma es de personas de distintas áreas. Ejemplos contables Control por oposición para evitar arreglos) o Régimen de autorizaciones • Información adecuada: o Manual de cuentas o Sumatoria de información analítica igual a la sintética o Uniformidad en las instrucciones o Información cruzada o Comparación de datos actuales contra históricos o Comparación de información propia con la de terceros o Información constante o Comparación información real vs. Pronosticada o Formulares prenumerados • Eficiencia operativa: o Perfil profesional o División de trabajo o Manual de funciones o Medios materiales y tecnológicos -Para auditar el organigrama se puede hacer una encuesta preguntándole a la gente quien tiene arriba y abajo Control interno informático • Debe ser: o Completo o Simple o Fiable o Revisable o Adecuado o Rentable • Clasificación: o Preventivos: medidas anteriores a la entrada al procesamientoo Detectivos: advierten sobre errores ocurridos o Correctivos: permiten a un sistema recuperar su capacidad de procesamiento • Tipos de controles o Controles generales: se enfocan a la organización general del departamento de sistemas, a las normas y procedimientos y a las funciones de cada área o Controles de aplicación: son interiores de cada sistema y tienen el objetivo de lograr integridad y confiabilidad de la información mediante la autorización y la validación BCRA NORMA 4609 (punto 2.5) -Debe existir una planificación formalizado y aprobado por el directorio o autoridad equivalente. -Debe existir una segregación de funciones. Abajo se detallan las areas que son incompatibles para tener funciones en común En el cuadro, donde se indica la intersección de dos funciones mediante la sigla “NO”, la entidad deberá tomar medidas en la segregación de tareas, a efectos de evitar su concentración. Cuando en el cuadro se indica la intersección de dos funciones mediante la sigla “X”, esto implica que preferentemente estas tareas no deberían recaer en un mismo sector, y en el caso de que las mismas estuviesen concentradas, deberán evidenciarse claras medidas de control compensatorio. Capítulo 2 – El sistema de control interno - Pungitore El sistema de control interno es un conjunto de normas , controles, consideraciones y aspectos a tener en cuenta por el ente y cuyo objetivo es: • Evitar la comisión de errores y fraudes • Ganar seguridad y confiabilidad en la operatoria de la organización • No apunta a detectar anomalías sino a prevenirlas Es: • Preventivo • Continuo Esta: • Unido a los sistemas administrativos y contables de la org. • Incorporado al diseño de la estructura, procedimientos y sistemas admin y de informacion No es: • Esporádico • Externo al sistema al que sirve, ni a la empresa u org. Implica: • Eficacia en los procedimientos y controles • Eficiencia operativa • Seguridad en materia de información Utiliza: • Relación costo beneficio para determinar la configuración y la profundidad de los controles a efectuar Flexibilidad y plasticidad del sistema de control interno Con el pasar del tiempo, el sistema tendrá que irse adaptando y cambiando su configuración en base al cambio de configuración de la empresa como respuesta a avances tecnológicos o de modas. Por esto, el SCI debe estar construido sobre bases muy dinámicas que permitan su ajuste periódico a las nuevas necesidades Auditoria en ambientes computarizados – Cansler Elaboración del plan de actividades Las verificaciones que deben realizarse son de dos tipos: • Verificaciones sobre los controles: identificar los controles generales a revisar y señalar los sistemas más importantes y representativos que aportar valor a la labor de auditoria o Revisión de controles generales o Revisión de los controles de las aplicaciones • Verificaciones sobre los cuadros contables o sustantivas: identificar el o los rubros de los estados contables a revisar Metodología propuesta - Como método para establecer prioridades se deben establecer factores y grados de riesgo que inciden con distinta importancia en el objeto principal de análisis. - Cada factor representara un valor diferenciado - El producto del valor del factor por el grado de incidencia brindara un factor de ponderación puntual 1)Matriz para la prueba de controles • Para las aplicaciones o Identificar los riesgos del sistema para luego hacer un análisis de cómo cada riesgo está cubierto por un control diseñado para el efecto o Los factores de riesgo a evaluar en las aplicaciones podrían surgir de la siguiente lista: ▪ Modo de procesamiento, modo de ingreso de datos, resultado auditorias anteriores, cantidad de usuarios que la emplean, complejidad del sistema, acceso interno y externo, cantidad de transacciones procesadas o Para cada rubro o aplicación, el riesgo tendrá un distinto grado de incidencia o Si la matriz que se arma es para pruebas de cumplimiento, en las filas se ubican los aplicativos o Si la matriz que se arma es para pruebas sustantivas, en las filas se ubican los rubros • Para los controles generales o Hay un orden mínimo e imprescindible que debieran encararse o Estructura organizativa del área: adecuada separación de funciones y cultura organizacional sobre el concepto de control (buscar oposición de intereses) o Seguridad física: conocer restricciones de acceso a áreas sensibles, prevenciones contra incendios, falta de alimentación energética o de aires acondicionados, etc. o Seguridad lógica: protección de los medios con respecto a los accesos al sistema o Continuidad del procesamiento: existencia de un plan de contingencias. Como actuar frente a situaciones que puedan provocar la interrupción o demora temporal de las operaciones o Relación con los proveedores externos: se considera importante cuando hay tercerización. Las relaciones deben estar claramente formalizadas a través de contratos que asignen responsabilidades a ambas partes. 2)Matriz para las pruebas sustantivas Para las pruebas sustantivas será importante considerar los siguientes factores: • Los objetivos de auditoria • La significatividad de las cuentas que cubren los objetivos de auditoria • La significación de las partidas individuales en relación con los movimientos y los saldos de las cuentas • El nivel de interdependencia que tienen los objetivos buscados con los sistemas de información relacionados • Los resultados surgidos de la realización de pruebas de cumplimiento • Posibilidades de emplear el computador para la obtención de los elementos para las comprobaciones (… tema aparte de las pruebas…) Programación de las tareas - De tal programación surgirá el presupuesto económico de la labor a iniciar considerando los tiempos requeridos para un eficaz y eficiente cumplimiento de la tarea - Cualquiera sea el trabajo a emprender, será imprescindible elaborar un programa de actividades que se deberá acordar con el cliente - Quedará establecido que persona o que perfil profesional tendrá el personal dependiente del auditor - En sus filas deberá especificarse el detalle de las tareas - Se citan los recursos que se requerirían de parte del cliente con definición de los roles que debieran representar y también se especificaran los recursos que colocara el auditor para la tarea Matriz de riesgo para los controles Esta matriz para el análisis de riesgos está planteada para las pruebas de cumplimiento ya que para las pruebas sustantivas se podrá pasar directamente a la etapa de las comprobaciones considerando que ya se han seleccionado las partidas o rubros a analizar Esta matriz entonces, deberá ser elaborada por separado para • Controles generales • Controles de aplicación La información a incluir será: • Objetivo de control • Tratamiento que se prevé e da el sistema o la organización para el objetivo • Riesgo advertido y calificación subjetiva del nivel de riesgo • Recomendación de acciones a emprender para su eliminación o acotamiento Objetivo de control Tratamiento en el sistema Riesgo Nivel Acciones a emprender 1)Para los controles generales Objetivos de control que se plantean: • Evaluación de la organización y estructura o Analizar la estructura de funciones en el área (cantidad y suficiencia técnica de los recursos asignados a cada función) o Determinar el respeto a la segregación de funciones o Riesgos derivados de funciones no segregadas o Riesgos derivados de la adición de funciones a áreas existentes o Evaluar formalidades del control del cumplimiento del plan • Normas y procedimientos de análisis, programación y operación o Analizar la normativa existente (deben establecerse estándares en donde queden expuestos los modos y formasde llevar a cabo funciones y responsabilidades) o Evaluar misiones y funciones de los puestos de trabajo (es normal que no tengan un nivel de detalle suficiente) o Verificar la documentación existente o Riesgos de la falta de normas y procedimientos • Seguridad física y lógica o Políticas formales de seguridad informática o Organización del área de seguridad informática y dependencia con el área de sistemas (debieran ser áreas independientes) o Riesgos existentes y evaluar el esquema de seguridad lógica instalado o Analizar perfiles de usuario y vincularlo con la función de la persona o Procedimientos de detección de violaciones a los procedimientos de seguridad o Procedimiento de puesta en operación de programas (separación adecuada de ambientes) • Validez de la información procesada o Verificar la calidad y validez de los procedimientos existentes como controles preventivos, detectivos y correctivos o Evaluar los controles introducidos en las aplicaciones o Cumplimiento de controles durante el procesamiento y de las reconciliaciones o Procedimientos para la incorporación de rutinas en los programas que aseguren validez e integridad en la información a ser procesada • Controles sobre comunicaciones o Sistemas de seguridad para el teleproceso (firewalls, antivirus y anti espías, actualización de sistemas, análisis de vulnerabilidades de redes) o Utilización y validez de los procedimientos de encriptación o Procedimientos de análisis que las áreas responsables de las comunicaciones realizan en la red o Procedimientos de administración de red que aseguren eficacia y eficiencia de las operatorias • Continuidad del procesamiento o Revisar el proyecto de plan de contingencia o Evaluar la adecuación del plan de contingencia a las necesidades operativas de la organización o Mecanismos instrumentados para su puesta en operación o Capacitación del personal involucrado o Contrataciones formales con proveedores o Procedimientos formales y detallados sobre métodos de backup o Comprobaciones formales de recuperación de los backups • Relación con proveedores externos o Contratos instrumentados con proveedores externos (debe ser claro los puntos requeridos, tiempos de ejecución, recursos a poner por cada parte, cronograma de trabajo, niveles de servicio, etc.) o Promover la adecuación de los contenidos a las necesidades de la organización o Evaluar conveniencia de proponer adecuaciones a los contratos o Evaluar las capacidades de los funcionarios del contratante 2)Para las aplicaciones Objetivos de control que se plantean: • Ingreso de transacciones o Evidencia y calidad de las validaciones (rutinas en programas para detectar y prevenir errores) o Ingreso de transacciones autorizadas (transacciones que requieran autorización cuando sean criticas) o Seguimiento y reingreso de transacciones rechazadas o Rechazo transacciones duplicadas o Exactitud datos ingresados • Archivado de datos o Incorporación de los datos aceptados sobre los archivos correctos o Procesamiento normal para el cambio de los datos almacenados o Coherencia de los datos incluidos en los archivos o Modificaciones de datos solo por los programas de las aplicaciones o Integridad de la información utilizada por el sistema • Acceso a los registros de datos o Restricción hacia las personas que necesitan acceso (permitir acceso a objetos que use esa persona nomas) o Restricción de habilitación a las tareas (permitir acceso a objetos que use esa área nomas) o Mantenimiento del requerimiento (monitorizar los accesos por cambios de posiciones y demás) • Documentación o Existencia y calidad de la documentación funcional y técnica o Actualización de la documentación • Resguardo de archivos o Resguardo para los archivos fuente y de datos o Realización con la periodicidad adecuada o Validación de sus contenidos o Traslado y almacenamiento de los soportes • Mantenimiento de los sistemas o Metodología formal y estándar para el mantenimiento o Coherencia entre sistemas de PROD Y QA o Procedimiento de pasaje de programas desde desarrollo a producción o Control para conversiones de archivos o Procedimientos para emergencias • Seguridad lógica o Registración y análisis de los eventos producidos en el sistema o Usuarios que acceden a las bases de información del sistema o Cambios en las registraciones de seguridad o Protección sobre archivos • Interfaces con otros sistemas o Evaluar interfaces existentes ISO 31000 Principios de la gestión de riesgos: 1. "La gestión del riesgo crea valor y la reserva"... La gestión del riesgo tangiblemente contribuye al logro de los objetivos y mejorar el desempeño de la organización, a través de la revisión de su sistema de gestión y sus procesos. 2. "La gestión del riesgo se integra en los procesos organizacionales". 3. "La gestión del riesgo está integrada en la decisión de hacer del proceso." La gestión del riesgo es una ayuda de decisión para las opciones discutidas, para establecer prioridades y seleccionar las acciones más apropiadas 4. "La gestión del riesgo aborda explícitamente la incertidumbre". 5. "La gestión del riesgo es sistemática, estructurado y utilizado en forma oportuna". Los procesos de gestión de riesgo deben ser coherentes en toda la organización para asegurar la efectividad, relevancia, consistencia y fiabilidad de los resultados. 6. "La gestión del riesgo se basa en la mejor información disponible". Eficaz de gestión de riesgos, es importante considerar y entender toda la información disponible y relevante para una actividad, reconociendo las limitaciones de los datos y los modelos utilizados 7. "La gestión del riesgo es conveniente". La gestión de los riesgos de una organización se debe adaptar según los recursos disponibles - recursos de personal, finanzas y tiempo - así como su ambiente interno y externo 8. "La gestión del riesgo integra factores humanos y culturales". La gestión del riesgo debe reconocer la contribución de los individuos y los factores culturales para el logro de los objetivos de la organización. 9. "La gestión del riesgo es transparente y participativa". Al involucrar a las partes interesadas pertinentes, interna y externa, durante el proceso de gestión del riesgo, la organización reconoce la importancia de la comunicación y consulta en las etapas de identificación, evaluación y tratamiento de riesgos. 10 "La gestión del riesgo es dinámica, iterativa y sensible para cambiar". La gestión del riesgo debe ser flexible. El entorno competitivo requiere la organización para adaptarse al contexto interno y externo, especialmente cuando nuevos riesgos aparecen, ciertos riesgos se cambian, mientras que otros desaparecen. 11. "La gestión del riesgo facilita la mejora continua de la organización". Las organizaciones con una madurez en la gestión de riesgo son aquellos que invierten a largo plazo y demostrar la normal realización de sus objetivos. 7/9 Informes y papeles de trabajo Informes de auditoría: • Informes de avances (o actividades): se realizan periódicamente, se detallan actividades realizadas (avance mensual, por ejemplo) (se hace a grandes rasgos) • Informe especial: se realiza al terminar una actividad específica, previo a arrancar otra (informe especial sobre auditoria de pagos) • Informe preliminar: informe que se envía a los lugares en donde se detectaron vulnerabilidades para recibir una respuesta por parte de esos equipos (esa respuesta va al informe final) • Informe final • Carta de presentación o entrega (del informe final): va junto al informe final Informe --> expresión escrita donde el auditor expone su conclusión sobre la tarea que realizo El informe debe contener: • Identificación objeto examinado • Tarea realizada • Opinión formada separada deotra información (en auditoría contable la opinión debe estar si o si, en sistemas no es tan tajante) • Elementos adicionales (recomendaciones, seguridad social) El informe debe ser: • Técnicamente correcto (especificado, atado, coherente) • Adecuadamente presentado (informe anillado, enumerado, hora y fecha) • Breve y completo (puede haber informes adicionales con más nivel de detalle) • Debe ser adaptado a quien va a ser el que lo reciba (para niveles de tecnicismo y demás) Son opcionales Habría que contemplar: • Simplicidad • Pulcritud • Faltas de ortografía • No decir COMO se va a realizar el trabajo propuesto (hay que decir que se detectó, pero no que se va a hacer) Algunas ideas sobre informes: • Los títulos pueden ser las respuestas a los reclamos del cliente (“Hay reclamos en tal aspecto”) • Ofrecer servicios de valor agregado (ayudar a subsanar las regularidades, no solo detectarlas) • No prometer cosas que no se van a poder cumplir • Fundamentar las conclusiones • Proyectar resultados y beneficios de la propuesta • Dejar abierto el interés por mantenernos informados • Tratar de evitar la 1era persona • Mantener un lenguaje referencial (ser imparcial y objetivo) La redacción debe ser: • Breve y concisa • Completa • Sin aires literarios (no verdulear) • No inflar la propuesta • Inducir al cliente a leer la propuesta (hacerlo llevadero) • Impersonal • Claro • Afirmaciones sencillas Características del informe: • Claridad, Concisión y Sencillez • Confiabilidad, Acertividad y Exactitud • Con Propiedad y Sintaxis • Objetividad, Congruencia e Imparcialidad • Oportunidad (hacerlo en tiempo y forma) (en caso de detecciones importantes, se informa en ese momento y no se espera al final de la auditoria) y Precisión • Tono y Fuerza • Veracidad Estructura del informe • Objeto de auditoria: se establecen los objetivos que se tuvieron en cuenta para encarar el trabajo • Alcance del trabajo: se debe explicar los aspectos del sistema que se han evaluado. Se debe especificar tanto lo que se hizo como lo que no se hizo • Aclaraciones previas: aclaraciones de donde se hizo el trabajo, espacio físico, tareas, modalidad de auditoria (remoto, presencial) • Tarea: riesgos, consecuencia de los riesgos, recomendaciones y opinión de la gerencia auditada (compromiso, factibilidad y tiempos --> habla sobre la respuesta del informe preliminar que se le envía) • Conclusiones o dictamen: se expresa la opinión general sobre la situación evaluada. Debe estar fundado. Es un juicio de valor (juicio profesional del auditor) • Considerar distribución de copias • Lugar y fecha de emisión (fecha en donde culmino la auditoria) • Carta de entrega: Contiene la entrega formal del trabajo concluido Tipo de dictámenes: • Dictamen favorable sin salvedades • Dictamen favorable con salvedades (tiene algunas recomendaciones a corregir) • Dictamen adverso • Abstención de opinión (no te dan información sobre algo a auditar. Deben existir pruebas de que esa información no se dio) • Opinión parcial Contable Sistemas Generalmente publico Reservado (hay mucha más información critica que en los informes contables) Redacción reglada (tiene que ser certificado por el comité profesional) Redacción libre (no necesariamente debe ser certificado) Opinión obligatoria Opinión libre Generalmente no llevan recomendaciones Generalmente llevan recomendaciones 8/9 Seguridad de la información (física y lógica y Plan de contingencias) • Busca mantener integridad, privacidad de la información y la continuidad de la operatoria de la organización minimizando las vulnerabilidades (físicas y lógicas) Pilares • Prevenir • Detectar • Mitigar • La prevención, detección y corrección se controlan con la política de autenticación y la política de anti ataques Seguridad Física • Conjunto de medidas de prevención ante potenciales amenazas sobre recursos físicos y la información que viaje y reside en los mismos (sobre todo en el cableado de las redes) • No solo abarca el centro de cómputos y alrededores sino a todo el ente • Tiene relación con la custodia de los activos físicos (tecnológicos o no) que componen una organización (puede ser seguridad del personal en sí) • La estrategia de seguridad física va a estar asociada con la política definida sobre el tema (la estrategia de seguridad depende de lo que diga el dueño y de qué forma se llevan a cabo los procedimientos de seguridad) • La estrategia estará conformada por distintos objetivos de control que tendrán un grado de relevancia distinto (depende que aspectos son críticos para cada empresa) Riesgos seguridad física • Eventos naturales (inundaciones, volcanes, sismos) • Eventos accidentales (incendios, explosiones, fugas, perdida potencia eléctrica) • Eventos intencionales (robo, fraudes, sabotajes, interferencias por uso celular, espionaje) Los riesgos pueden ser por: • Zona geográfica • Vecindad o Permanentes (movimiento de zonas con trenes o subtes) (explosiones, descarrilamientos) o Transitorios • Del ente: o Cableado o Lay-out o Extintores o Aire acondicionado o Falso piso o Protección contra incendios () o Suministro energía alternativo (UPS) o Suministro energía complementaria (otro proveedor) Seguridad física – Medios de acceso: • Tarjeta magnética • Técnicas biométricas • Password • Doble factor Seguridad lógica: conjunto de medidas de prevención ante potenciales amenazas sobre los recursos lógicos que componen el sistema de información y el tratamiento de información Identificación y autenticación (4 factores): • Conoce (clave) • Posee (token) • Es (huellas) • Hace (patrón de escritura) Modalidad de acceso a la información • Leer • Escribir • Ejecución programas • Eliminar recursos • Crear archivos • Buscar • Imprimir Plan de contingencia: conjunto de acciones específicas preestablecidas de coordinación, alerta, movilización y respuesta ante la ocurrencia o inminencia de un evento particular Plan de elaboración • Determinar amenazas, riesgos y probabilidad de ocurrencia • Establecer recursos críticos • Elaborar proyectos • Obtener la aprobación directa de la alta gerencia • Designar responsables • Capacitar responsables • Comunicar plan a la dotación • Actualizar el plan • Comunicar plan a la dotación Una vez que se detecta el problema/evento/contingencia se activa un plan de 4 etapas Plan de 4 etapas: • Fase emergencia o Comunicar a todos el comienzo de la crisis o Encuadrar el evento dentro del plan o Poner en marcha el plan y accionar según el mismo o Evaluar daños y documentar • Fase enlace o Establecer el procedimiento alternativo aplicable según plan o Establecer operaciones a ser procesadas o Documentar • Fase backup o Efectuar copias de seguridad de las actividades desarrolladas o Enviar copia a biblioteca o Documentar • Fase restauración o Detectar anomalías haciendo pruebas de la informacion del camino alternativo y el normal o Hacer parches si es necesario o Corregir inconsistencias y falta de integridad del sistema o Discontinuar el proceso alternativo y documentar Auditoria y seguridad de los sistemas de computación – Nardelli Seguridad de los sistemas de computación La seguridad absoluta es imposible: • Aun suponiendo que fuera factible, sería un costo intolerable para la organización • Un sistema depende de un sistema operativo y del mismo se llevan a cabo tests de penetración de manera recurrente (para hacerlos, el atacante debe saber cuáles son sus debilidades para buscar vulnerarlas) Los sistemas deben ser protegidos de 3 tipos de peligros: • Desastres naturales • Errores u omisiones humanos • Actos intencionalesPrivacidad: concepto que se aplica al humano (una persona decide con quien quiere compartir la información) Confidencialidad: concepto que se aplica a la información (importancia impuesta por la organización a un registro. Determina el grado de seguridad que necesite) Integridad: la información no difiere de los archivos originales Funciones de la seguridad • Evitar: evitar los riesgos • Disuadir: contar con medidas de seguridad para disuadir al atacante de que no busque vulnerar los sistemas • Prevenir: • Detectar: • Recuperar y Corregir: ante cualquier falla de software buscar mecanismo para buscar recuperar la información 14/09 Pruebas de cumplimiento • Está en la fase de ejecución, eso es lo más importante Nardelli --> dos tipos de auditoria: • Alrededor del computador: el sistema es una caja negra, no se conoce el proceso. Se necesita documentación del sistema. • A través del computador: uso de distintas técnicas lógicas. Se trabaja con las lógicas de los programas (trabaja con la confiabilidad y la integridad del software) • Ambos tipos de auditoria son complementarias • Las limitaciones de la auditoria a través del computador son el automatismo del computador (hay acciones del computador que la gente cree que se hacen “porque si” por ser automático pero que igualmente existe y quizá no se tienen en cuenta --> por ejemplo el encendido del computador) y el determinismo del algoritmo (El límite del sistema va a ser lo que haga o no el algoritmo) Tipos de comprobaciones en una auditoria • Pruebas globales de razonabilidad o Se manejan con ratios (liquidez, rotación) y relaciones lógicas (sueldos/cargas sociales, amortizaciones/valores de origen) • Pruebas de cumplimiento o Buscan reunir evidencias suficientes para determinar factores de riesgo y de la existencia de que existan controles internos en la organización auditada (esos controles internos deberían estar documentados) o No prueban magnitudes, solo prueban frecuencia de errores u omisiones (¿esta completa la documentación del control interno o hay cosas omitidas?) o Verifican el funcionamiento de sistemas (a la vez del ente, se descubren que tecnologías usa esa organización) o Confirma el conocimiento del ente (a través de las entrevistas que se hacen en la auditoria, se consigue un conocimiento del ente) o La prueba de cumplimiento busca existencia, efectividad y continuidad del control interno (que el control exista y funcione bien sobre ese periodo de auditoria) o Busca que los pasos que debe cumplir el software este funcionando bien • Pruebas sustantivas o Prueba magnitudes (archivos y transacciones del periodo o alcance) o Confirman el resultado de las transacciones o Busca que los resultados que da el software se den de manera lógica (que los cálculos que debe hacer se den de forma exacta) Pruebas de cumplimiento • Pasos o Explicar la técnica elegida a la gerencia o Obtener la aprobación de la gerencia o Elaborar plan o Ejecutar plan o Controlar resultados y establecer conclusiones • Elementos a considerar dentro del plan para efectuar pruebas de cumplimiento o Establecer objetivo y alcance de cada prueba (distinto al de la auditoria) o Seleccionar los subsistemas, transacciones y controles existentes o Elegir el formato de la información a analizar (base parcial, base total, archivo) o Elegir la forma de armar la muestra (criterio del auditor, muestreo aleatorio) o Establecer resultados esperados o Especificar formas de eliminación de las transacciones simuladas (todo lo que se agrega después hay que eliminarlo) • Técnicas o Lote de prueba ▪ Prueba estática (es una foto) ▪ Se basa en un periodo ocurrido ▪ Se trabaja en el sistema real ▪ Momento de aplicación predeterminado ▪ Trabaja con transacciones simuladas y las explota al máximo o Caso base ▪ La diferencia radica en que no solamente toma las facturas de venta o la de compras, sino que toma la transacción completa por todos los puntos por los que pasa y tiene mayor intervención de los departamentos por los que esa transacción pasa o Comparación de dos versiones de un programa ▪ Modificaciones y cambios en los programas ▪ Que se cumplan procedimientos, tramitaciones y autorizaciones vigentes en la organización ▪ Metodología de mantenimiento del software o Mapping ▪ Evaluar el grado de extensión y profundidad de la prueba de un sistema con el objeto de determinar aquellos aspectos relativos a la lógica de un programa ▪ Establece la confiabilidad de un software ▪ Diagnostica la eficiencia operativa del sistema o Simulación en paralelo ▪ Probar el funcionamiento del software ▪ Se genera un sistema simulado con transacciones reales ▪ Se hace un diseño igual al real ▪ Si los resultados dan distintos, es porque hay parches no notificados o Procesamiento en paralelo ▪ Probar el funcionamiento del hardware ▪ El mismo programa se replica en otro ambiente físico o virtual o Mini compañía ▪ Es un subsistema del sistema normal ▪ Es una prueba dinámica ▪ Dentro del sistema real ▪ Durante los procesos seleccionados ▪ Tipos de transacciones simuladas y reales conjuntamente ▪ Se incorpora un módulo para crear la mini compañía (caja y bancos) y se divide la información que ingresa entre la maxi compañía (todo el activo) y la mini compañía (caja y bancos). Los resultados debieran ser iguales ▪ Se pueden crear también pruebas ficticias para comprobar el comportamiento del sistema ▪ Una vez terminado de usar se debe usar un mecanismo de eliminación de esos elementos ficticios ▪ Estas pruebas se pueden hacer por el máximo o por el mínimo (en compañías donde los precios promedio sean muy altos o muy bajos hago las pruebas con lo opuesto al promedio). En casos en donde las pruebas son por el máximo, la reversión de los elementos ficticios se tiene que hacer de manera rápida porque afectan la posición económico financiera del ente o Técnicas complementarias para Mini compañía ▪ Facilitar al auditor la comprensión de los sistemas avanzados ▪ Seguimiento de las transacciones especiales a través de diferentes caminos lógicos ▪ Tagging (una técnica complementaria) o Se marca la transacción con un identificador que acompaña la misma durante el procesamiento ▪ Snapshot (una técnica complementaria) o Ver en la ppt ▪ Tracing (una técnica complementaria) o Realizar el recorrido de una transacción dentro del computador extrayendo instrucciones que está ejecutada para llevar a cabo ese recorrido (tipo el debugging) o Necesita del tagging para identificar la transacción o Verifica si se cumplen las normas y procedimientos ▪ Scarf (una técnica complementaria) o Analiza periódicamente las excepciones del sistema o Busca el cumplimiento de rutinas del programa Auditoria en ambientes computarizados – Cansler Pruebas de cumplimiento • El objetivo de estas es determinar si el sistema se comporta en la práctica de acuerdo a como se espera que lo hagan • No solo se refiere a las llamadas validaciones sobre información sino también deben incluirse las decisiones que se toman dentro de los sistemas • Un lote de prueba propone que el auditor genere transacciones para poner en evidencia qué relación existe cuando esas transacciones se ejecuten en el sistema con respecto a los esperados • El concepto del caso base es una extensión del lote de prueba luego de su primera utilización • La simulación en paralelo consiste en desarrollar un programa con el cual se analicen las transacciones de un periodo ocurrido para ver que reacciones provocan las mismas en el sistema • La mini compañía consiste en la incorporación de registros especiales para finalidades de auditoria. Las salidas del sistema en este caso tienen que ser tratadas por separado de las salidas comunespara que no alteren significativamente las cifras del sistema real. Permite inferir que si los controles de la mini compañía son adecuados, lo será en la totalidad de la misma • Las técnicas concurrentes constituyen mecanismos muy hábiles de auditoria, pero, comprometen al auditor con la operación del sistema. Comparación de las técnicas Tecnica Ventaja Limitación Lote de prueba -No necesita habilidad técnica del auditor -Prueba el circuito computadorizado y administrativo -Prueba cuasi completa de las variantes que se quieran probar -Evidencias completas de los resultados -Mucho tiempo de elaboración la primera vez -Es irrealizable una prueba completa de todas las alternativas posibles -Difícil reproducir en el ambiente operativo real -La imagen que da es estatica Caso Base -Mismas ventajas que el lote de prueba -Permite fotografías de instancias futuras -Debe mantenerse el caso base actualizado con los cambios del sistema Simulacion en parelelo -Demuestra si los archivos son accedidos por fuera de los programas de aplicaciones -Sirven para pruebas de cumplimiento y sustantivas -No se afecta el ambiente operativo -Demanda habilidad técnica para programar -Solo se pueden probar las transacciones analizadas -Se necesita ejecutar en más de un periodo para actualizar transacciones a analizar -Es posibles que situaciones que se quieran controlar no se presenten en la simulación Minicompañia -No requiere habilidad técnica -Es una película, se puede ejecutar varias veces dentro de un periodo -Se prueban situaciones de cambio -El programa podría estar alterado para el auditor -Pueden existir limitaciones impositivas y de otras fuentes reglamentarias -El auditor queda ligado al sistema (necesita un buen manejo de logs para deslindar sus responsabilidades) -Se pierde integridad de la base de datos Técnicas concurrentes -Posibilita un monitoreo de las condiciones que el auditor desee -Si viene provisto en el ERP, su aplicación se ve facilitada -Demanda habilidad técnica -Necesita compromiso del auditor con las rutinas del sistema Observación -Demanda escasa habilidad técnica -La prueba es concurrente con la operación, sin preparación previa con lo cual facilita el factor sorpresa -Aplicación limitada -Puede dificultar el desenvolvimiento normal de los operadores Verificaciones, pruebas de cumplimiento Para los controles generales En general se desarrollan sin el empleo de un computador Son mecanismos válidos y habituales • Inspección visual: espacios físicos, disposición equipamientos, pasillos, estado y comportamiento del personal • Lectura de documentación: memorandos, organigramas, actas formalizadas, planos de las instalaciones y redes • Lectura de manuales técnicos • Entrevistas: con los resultados de las mismas será conveniente formalizar la actuación en documentos tales como actas o correos electrónicos • Informes técnicos específicos: capacidad de los sistemas de energía ininterrumpida o la iniciación del ciclo y entrada en régimen de un motogenerador. Controles de acceso, dispositivos antincendios, control de temperatura Para los controles de aplicación - Sera importante entender cuáles son los módulos de procesamiento del sistema en una forma más detallada - Toda aplicación tiene programas “polifuncionales” donde se concentra la mayor cantidad de actividades - En ciertos casos, la construcción de un cursograma de las actividades puede ayudar a definir con mejor precisión los núcleos del problema - Se deberá distinguir los nucleos, sus entradas validacoines y mecanismos especificos Documentos que pueden existir en caso de que no haya documentación: • Diagramas de los procesos: gráficos o listado de sentencias con los pasos de la ejecución. Se obtienen los archivos que entran y luego salen del sistema. Va a permitir ver los programas más importantes • Diseño de los archivos empleados: dependiendo del campo del que se trate, se verifica que consistencias realiza y cuáles son las acciones que toma en caso de detectar errores • Tablas y árboles de decisión: dependiendo de que ingrese al sistema, el árbol identificara que tratamiento se le da a esa entrada Pasos para concretar las pruebas de aplicación • Ubicación del sistema objeto: si el aplicativo a verificar cumple funciones que colaboran con objetivos del negocio y soportan actividades de varias áreas del sistema • Formalización de las listas de control: completar eficazmente los aspectos relevados encarándoselos en forma específica hacia los módulos donde se detectaron mayores riesgos • Identificación de los módulos en que se encuentra subdividido el sistema. Se puede identificar también cuales son los más críticos • Seleccionar la técnica a emplear: surgirá de la entrevista con el personal de sistemas La prueba de las aplicaciones Seleccionada la técnica a emplear se describirán los pasos a respetar para la concreción efectiva de una prueba de cumplimiento Utilizando transacciones simuladas: • Identificar que controles comprobar • Aislar las transacciones con las que es posible corroborar las controles • Obtener del sistema los elementos que nos permitirán realizar las transacciones • Elaborar un documento donde se vuelque el contenido de los datos de las transacciones • Predeterminación de los resultados esperados • Ejecución de la prueba • Completar matriz de la prueba indicando si es correcto o no el resultado Simulando el procedimiento con transacciones existentes: • Identificar controles a comprobar • Elaborar un diagrama que posibilite graficar que archivos serán necesarios para tomar entre las entradas y las salidas • El documento conteniendo los resultados predeterminado podrá existir según el método de prueba • Ejecución de la prueba • Completar la matriz de la prueba indicando resultados - Para observar la ejecución de un procedimiento real no se requiere habilidad técnica. Solo habrá que tomar precauciones acerca de cómo documentar los distintos momentos de la ejecución, de manera de emplearlos como respaldo de la prueba de cumplimiento 15/09 Papeles de trabajo = Legajo Papeles de trabajo • Contiene: o Descripción de la tarea (herramientas, recursos) o Datos y antecedentes recogidos o Conclusiones sobre el análisis de cada rubro o Conclusiones finales Organización papeles de trabajo • Según su origen (el origen se indica en la cabecera del papel de trabajo) o Papeles de terceros o Papeles elaborados por el cliente (es el que menos peso como evidencia tiene porque los papeles pueden ser ilegítimos) o Papeles recogidos por el auditor y su equipo Formalidades en la organización de papeles de trabajo (todo esto se deja guardado por casos de juicios y demás. Esos papeles de trabajo son propiedad del auditor) • Dejar copias de programas en el legajo • Poner la matriz de análisis de riesgo • Poner la matriz de prueba de controles • Poner los documentos, papeles, archivos propiamente mencionados • Poner una copia de los informes formulados en el legajo Formalidad en los documentos • Numeración de las paginas • Firmas o iniciales reconocibles (quien es el que firma) • Prolijidad y formalidad en su conservación (puede haber documentos con distintos formatos, pero tiene que tener prolijidad igualmente) (esta prolijidad busca que el que lo agarre sepa ver que se hizo, quien lo hizo y si está bien hecho) Medios de respaldo de los papeles de trabajo • Usando software específico de auditoria (adjunta documentos electronicos) • Sin usar software especifico • Quien lo hizo, quien lo autorizo, auditor a cargo, conclusión, etc. • Organización de directorios y subdirectorios para ordenar los papeles Tipos de legajo • Permanente (no cambia periódicamente) (organigrama, designación de responsabilidades,diagramas de red) • Transitorio (transacciones hechas en el periodo de esa auditoria) Contrato de tercerización (outsourcing) • Tienen que ser tareas que no pertenezcan al Core business (no voy a tercerizar lo más importante de la empresa) • Son contratos win-win, ganan ambas partes (uno consigue sacarse responsabilidades y el otro tiene una organización donde trabajar) --> el que terceriza tiene que buscar hacer funciones que la empresa que va a tercerizar no sepa hacer • Vamos a tener altos costos y riesgos por cambios de proveedor (el proveedor tiene acceso a datos críticos nuestros) • Se miden cada cierto tiempo (mensual) y esas métricas tienen que tender a la mejora continua • Al contratar un proveedor especializado, adquirimos cierta parte de aprendizaje de lo que hace el proveedor (el riesgo es que dependemos del proveedor para ampliar nuestra oferta, el proveedor nos va a tener que acompañar porque es quien tiene el conocimiento) Ventajas outsourcing • Experiencia del proveedor • SLA • Disponibilidad (no necesito comprar y configurar equipos y entrenar personal) • Infraestructura ya creada por el proveedor, no necesito hacer una propia Desventajas outsourcing • Compartir información • Menor control • Dependencia • Costos laborales latentes Contrato • Debe ser: o Escrito o Un objeto claramente definido (que servicios se van a brindar) o Duración (es prorrogable) o Responsabilidades y Obligaciones o Firma máximos responsables o Precio o Indicadores de cumplimiento (indicar quien, y cuando se controlan, consecuencias del no cumplimiento) o SLA Contenido del contrato • Alcance detallado del servicio • Medición del desempeño • Propiedad intelectual (en caso de que haya patentes de PI se deja claro quién es el titular) • Controles y auditorias (quien va a controlar y quien va a hacer auditorias) • Responsabilidades (quien va a responder a cada cosa) • Dependencias del servicio (que cosas necesito para dar el servicio) • Transición y continuidad del servicio (proceso para hacer la transición de ese servicio a un tercero) • Proceso de resolución de disputas • Cobertura de seguros (quien las contrata y quien las paga) • Honorarios (extras) • Limitaciones de responsabilidad • Renovación / término Riesgos • Riesgos por reclamos laborales de empleados del proveedor: o Bien definidos en el contrato o Registración formal de los trabajadores (que no estén en negro) o Verificar que no tengan la misma actividad (no contratar organizaciones que hagan tu misma actividad --> una empresa de camiones que contrate un camión para una zona específica) o Análisis técnico del perfil del contratista (si contrato una empresa que solo me hace tareas a mí y a nadie más puede haber problemas) o Verificar Ley de cumplimiento de trabajo articulo 30 Riesgos control: • El control no es de nadie, no hay un sector definido • Falta de especialización • Desconocimiento de que tienen que controlar y como • Creencia de que los costos del control superan al costo de los riesgos • Resistencia de los contratistas a ser controlados • Presión de la línea interna para que no se controle • Falta de control por oposición (el área beneficiada por la tercerización no tiene un control por oposición sobre la tarea de ese proveedor) Acuerdo de nivel de servicio • Las partes acuerdan el nivel esperado de servicio • Lo acuerdan mediante métricas • Deben tender a la mejora continua del servicio • Si no se cumple hay penalidades Categorías de las métricas • Volumen de trabajo (por ej. mantenimiento de cierta cantidad de PCs) • Calidad de trabajo o Cumplimiento estándares o Calidad técnica o Ratio de defectos o Disponibilidad de servicios o Ratio de defectos • Nivel de respuesta o Tiempo de implementación o Tiempo de respuesta y atención (contratar un call center) o Backlog de pendientes • Eficiencia o Costo por unidad de trabajo o Utilización de personal o Ratio de retrabajos Auditorias de los servicios • Prestar atención a: o Gestión configuración o Gestión cambios o Planeamiento de la capacidad o Continuidad del servicio o Gestión incidentes y problemas o Acuerdo nivel de servicio o Seguridad datos e información (que maneja el proveedor) 22/9 Estructura Organizativa Funcional (organigrama) • Junta funciones similares (ventas, produccion) • Establece responsabilidades • Determina jerarquías y alcance de control Riesgos • Deben segregarse funciones o División de tareas o Debe tener clara misión y función por puesto • Debe haber oposición de intereses o Te permite determinar las responsabilidades de los pasos propios y anteriores o Quien controla vs. Quien esta controlando o Las tareas deben tener distintos niveles de aprobación y control (dividido en distintas áreas) Oposición de intereses • Responsabilidad pasos previos y siguientes • Detectar quien realiza tareas ajenas a su incumbencia (por ej. quedaron mal los perfiles) Funciones incompatibles: aquellas que permiten a una persona la posibilidad de perpetrar y ocultar errores o irregularidades Funciones incompatibles • Quien tiene la custodia no debe tener la disposición (posibilidad de venta) ni registración • Hoy hay muchas funciones que se asignan de manera automática siguiendo ciertas reglas lógicas, la decisión no pasa por un humano (es también un tipo de control) • A veces por la magnitud de la organización no es fácil realizar una adecuada separación de funciones (PYMES) Medidas para mitigar riesgos en funciones incompatibles • Mayores tareas de supervisión • Aumento de los controles programados • Creación de pistas de auditoria (control de cambios, formularios de cambios en registros maestros) En sistemas, la produccion y el desarrollo se tienen que separar porque si no el utilizador del programa tendría el conocimiento técnico para manipular el código Personas de operaciones • No deben tener funciones de disposición y custodia • No debe tener acceso a las registraciones contables (podría dar de baja artículos que se dañaron/rompieron) • No debe realizar conciliaciones en los registros (la misma razón que la anterior) Dependencia depto. de sistemas • Asegurar existencia de autoridad, actitud crítica e independencia respecto de las áreas usuarias (necesitas tener el poder de decidir qué hacer y cuando, no depender de un área que te gestione todo) • Debe tener un nivel organizacional que no genere dependencia de las áreas usuarias (en el organigrama tiene que estar a la misma altura que las otras áreas) Riesgos Base de datos de HR (nadie tiene acceso) A la base de facturación, uno de ventas puede hacerle consultas sobre clientes morosos, pero no puede editar esos datos, solo leerlos • Falta de independencia en las decisiones y acciones consecuentes • Incorrecta gestión de las prioridades en la prestación de servicios (si depende de un área le va a dar más bola a las actividades de esa área) Acciones a realizar para evaluar la independencia del departamento de sistemas • Revisar el emplazamiento organizativo y evaluar su independencia frente a deptos. Usuarios • Conocer la percepción sobre el grado de independencia y atención del depto. De sistemas Comité de sistemas --> lugar formalizado donde se reúnen los directivos de los sistemas de la organización con el depto. De sistemas y se debate hacia dónde va la organización y que necesita cada área. Se debate la fijación de las prioridades dentro de la organización. Ayuda a controlar el nivel de independencia absoluta del área de sistemas (no dejar que hagan cualquier boludez a su conveniencia) Comité • Pocos miembros • Presido por el director con más conocimiento de la organización • Las áreas usuarias debentener representación de sus directores • El responsable de auditoria interna deberia formar parte del comité En el comité se deberia evaluar: • Normativa interna para conocer las funciones que deberia cumplir y si en la práctica se realiza • Consultar a miembros del comité para conocer y sin están ok con el rol que tienen y si sus puntos de vista están tenidos en cuenta Plan estratégico de sistemas • Lo debe elaborar e implementar el área de sistemas de información • Debe considerar, evaluar y priorizar los requerimientos de todas las áreas • Alineado con el plan estratégico y presupuesto de la organización • Debe considerar la evolución tecnológica • Debe ser aprobado por la dirección de la organización • Debe mantenerse actualizado • Debe elaborarse un presupuesto asociado • Se debe controlar de forma periódica Al evaluar el plan estratégico se debe: • Ver si se prestó atención y hay sincronización con el plan estratégico de la organización • Se tuvo en cuenta los cambios y sus impactos • Los plazos son realistas • Las tareas tienen sus recursos asignados Al evaluar el plan operativo anual: • Su existencia y su calidad • Alineación con el plan estratégico de sistemas • Si antes se recopilaron necesidades de los usuarios • Si los plazos son realistas Paper Organización área de sistemas Organización funcional • el principio fundamental es la división del trabajo • se facilita la supervisión porque cada director es experto en una porción de la organización • el director general coordina las actividades de los directores de cada área Características org. Funcional • Autoridad sustentada en el conocimiento (la autoridad hacia subordinados es parcial porque puede tener más conocimiento que el jefe en alguna materia) • Línea directa de comunicación (mayor velocidad entre niveles) • Descentralización de las decisiones (hay niveles más bajos que toman decisiones) • Especialización en las áreas Principios estructura funcional • Incrementar la especialización de las tareas o Busca optimizar la utilización de recursos humanos. Designar tareas específicas a cada área o Se adquiere conocimiento más rápido (tareas más repetitivas) o Facilita la selección de empleados (se sabe exacto que se necesita) o Nuevos puestos resultan de la división de tareas o Facilita control • Miembros dispuestos en una jerarquía de autoridad o Mayor eficiencia administrativa (porque se conserva la unidad de mando) • El alcance de control debe reducirse (menos gente a cargo de cada director) o Limitar número de empleados que informen a cada director o Habrá menos niveles por lo que tiene que pasar un problema por lo que se resolverá mas rápido Ventajas org funcional • Máxima especialización • Mejor supervisión técnica • Comunicación más rápida • Formalización (comportamiento previsible) Desventajas • Subordinación múltiple (como se delimitan las responsabilidades) • Tendencia a la competencia entre los especialistas (para imponer enfoques) • Tensión y conflictos • Confusión en los objetivos • Difícil llegar a decisiones rápidas en medidas urgentes • Difícil determinar responsabilidades • Difícil cuando se tienen productos variados Evolución de la organización funcional • Achatamiento de la estructura: poseen menos niveles de Managment y empleados de niveles inferiores y cuentan con mayores grados de libertad y capacidad para la toma de decisiones • Empresa extendida: limites cada vez más flexibles y extensos (integración con clientes, proveedores, etc.) • Tamanos de las organizaciones: reducir tareas que no son del core business (tercerizar) • Alineacion de IT con la estrategia global: se busca coordinar todos los planes y estrategias • Ya no se depende de la sabiduría de un top manager: competencia y calidad de todos los empleados. Hay que empujar la comunicación entre áreas • Información en manos de los empleados de la línea: facilitar intervención en la toma de decisiones (genera mayor involucramiento y compromiso) • Mayor control: mayor número de empleados a cargo Segregación de funciones • Reducir el riesgo accidental o deliberado del mal uso de los recursos • Cada grupo conoce su función • Ninguna persona debe tener control sobre una transacción de inicio a fin o Separar funciones que requieren connivencia para realizar un fraude o Diseñar controles de actividades para que dos o más personas deban estar involucradas • Gerentes de la cumbre (buscan mejorar desempeño) • Gerente de proyecto (intermediario entre org y cliente) • Gerente funcional (organizar tareas, asesoría técnica) • Vicepresidente proyectos (resolver conflictos de prioridades, establecer procedimientos de planeación y elaboración presupuestos, recopilación de datos) Oposición de interés • Se debe asignar a distintas personas las actividades de autorización, registro, revisión de transacciones y hechos económicos en una org. • Cada uno debe asegurarse que las intervenciones anteriores hayan seguido las pautas y creiterios (es un tipo de control implicito) • Busca disminuir las posibilidades de cometer actos ilícitos • Para que el control sea eficaz, debe estar complementado con buenos procedimientos administrativos (información adecuada para controlar operaciones) • Un sistema de control puede no garantizar detección de errores o fraudes (se equivocan varias personas a la vez o se ponen de acuerdo) • Contabilidad (separar funciones de emisión, custodia y registración de cheques) Área de sistemas en estructuras funcionales • Desaparece el área de graboverificacion (recibía comprobantes en papel que e grababan en archivos magnéticos para procesarse) • Se reducen las tareas del área de operación (se delegan actividades al usuario) (operación pasa a ser un área de mantenimiento y mesa de ayuda) • Nuevas funciones en el área de desarrollo (nuevos proyectos requieren especialistas en desarrollo y análisis) • Funciones de sistemas en áreas descentralizadas (se descentralizaron los sistemas a las distintas áreas por lo que debe haber especialistas en esas áreas) • Funciones de la biblioteca comienzan a robotizarse Relación del área de sistemas con otras áreas • Debe existir una buena práctica para generar un plan estratégico de sistemas (alineado con el plan general) • El área de sistemas debe ser independiente, tener autoridad y estar separada de las funciones usuario • Debe garantizar soluciones efectivas por lo que debe comprender las necesidades • Debe haber un comité que maneje las actividades de manera homogénea • Descripción documentada de los puestos de trabajo • Adecuada separación de funciones que forme control por oposición (delimitar desarrollo y mantenimiento, operación y procesamiento de datos, seguridad y soporte tecnico) 28/09 Evidencias en auditoria (es en la fase de ejecución) Evidencia es la certeza clara y manifiesta que no se puede dudar. Prueba determinante de un proceso Normas que tratan: NIAS, SAS, ISACA Finalidades buscadas con la evidencia • Fundamentar una aseveración • Efectuar recomendaciones • Concluir el informe Maneras de obtener evidencias • Por su modo de obtención o Naturales (por los sentidos) o Creadas (acciones que generan documentos de respaldo) --> creados por el auditor para la auditoria. Previo a la auditoria esa documentación no existía o Racionales (interpretación de hechos) • Por su manera de presentarse o Física/virtual o Oral o De análisis (relaciones, revisiones, controles y evaluaciones) • Por la fuente que las provee (que tan robusta es en cuanto a documentación) o Interna (registraciones y documentaciones del ente auditado) o Externa (documentos externos al ente auditado) Mientras más interna, más robusta es (porque te permite corroborar la operatoria
Compartir