Vista previa del material en texto
M. Sc. Miguel Cotaña Mier Lp, Septiembre de 2020 AUDITORIA INFORMÁTICA UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS PURAS Y NATURALES CARRERA DE INFORMÁTICA 1 2.2. Auditoria Remota – clases de auditoria 2 Mentalidad abierta al cambio…… 3 Manejo hábil de la tecnología y del entendimiento de procesos de negocio contribuye a que la labor de auditoría sea proactiva en estos tiempos. Enfrentar las nuevas circunstancias con creatividad. El uso de recursos tecnológicos, la aplicación de pruebas a distancia, la evaluación de nuevos riesgos, el trabajo desde casa….. implica tener una mentalidad abierta. 4 5 ¿Qué es la tecnología disruptiva o innovación disruptiva? Es aquella capaz de generar REVOLUCIÓN… 6 Fortalecer competencias, trabajo en equipo, nuevas metodologías de trabajo, análisis de datos, controles automatizados y cambios en procesos, logran disminuir costos y agregar valor a la auditoría. Es necesario implementar ciertas tecnologías para superar las brechas de la distancia, la logística y la oportunidad en la ejecución del trabajo. 7 ✓ Trámites públicos digitalizados; ✓ Derecho fundamental de acceso a redes digitales; ✓ Uso generalizado de teletrabajo; ✓ Derecho y control a la transparencia de la información; ✓ Privacidad en aplicativos que recolectan datos personales. …… Crisis, oportunidad para transformar 8 Auditoria Remota 9 ¿Es posible las auditorias remotas? ¿Es válido? 10 Una auditoria virtual es el lugar donde la organización desempeña trabajos en un entorno en línea (las transacciones se realiza en el hiper espacio) Una auditoria remota indica el uso de tecnologías que nos permite recopilar información (cuando los métodos cara a cara no son posibles de realizarlos); 11 auditoria virtual es la tendencia actual, para ejecutar actividades de control a distancia, desde cualquier lugar distinto de las instalaciones del auditado. Es un proceso sistemático, independiente, documentado y controlado para obtener a través de medios digitales (nube, e-mail, video- conferencia, video llamadas, etc), las evidencias objetivas de los resultados, desempeño, decisiones, documentos y otros, con el fin de evaluarlas de manera online y determinar el grado de cumplimiento. 12 Se lleva a cabo cuando un auditor externo audita los procesos, políticas, procedimientos y personal de la entidad en tiempo real a través de las TIC´s. Se puede entrevistar a los auditados a través de herramientas de videoconferencia, teniendo la posibilidad de revisar (utilizando las funciones de pantalla compartida) los documentos de forma remota mientras hace preguntas o precisiones. 13 ¡Razones para que las auditorias remotas sean aplicables! 14 15 16 Una auditoría remota es similar a una auditoría presencial. Sin embargo, el enfoque, las cargas y la ejecución de estas fases de auditoría difieren: Consideraciones para Auditoria Remota ✓ Comunicar con anticipación a los involucrados las tecnologías que serán utilizadas y el alcance de la auditoría; ✓ Verificar que todos tengan los equipamientos y recursos necesarios (webcam, headphones, internet estable); ✓ Instalar algún software de videoconferencia; ✓ Involucrar al personal de TI; ✓ Cerciorarse de que las personas sepan operar sistemas; ✓ Realizar encuestas mediante formularios en línea; ✓ Definir tiempo antes de la reunión, para ajustes de conexión; ✓ Dejar preestablecido lo que será hecho en caso que ocurra caída en la conexión. 17 Fase preliminar: 18 19 Planificación: Explicar el enfoque de auditoría remota a los participantes. cómo y cuándo se compartirá la información, qué tecnología se utilizará (desde cámaras a drones hasta soporte de telepresencia), qué autorizaciones se deben obtener por adelantado para recopilar videos y fotografías fijas, y qué áreas confidenciales o restringidas deben considerarse o evitarse. 20 Revisión documentos: Las revisiones remotas de documentos son similares a la revisión de documentos en la instalación. La entidad puede tardar mucho más tiempo en preparar y cargar documentos en una plataforma de uso compartido de archivos (SharePoint, unidades compartidas, etc.) que en proporcionar acceso a una gaveta o portafolio de archivos en sitio. Debemos estar abiertos a recibir y revisar la información en cualquier formato. El muestreo y entrevistas remotas es buena estrategia. 21 Reconociendo la entidad: Posiblemente sea lo más difícil de la auditoría remota. Un enfoque puede ser acceder en vivo a las instalaciones de la entidad. Sin embargo, puede existir limitaciones como no tener Wi-Fi en todas las áreas. Incluso las instalaciones que afirman tener Wi-Fi en todas las instalaciones a menudo no tienen buena cobertura de áreas remotas del sitio o intensidad de la señal deficiente, degradando la calidad del video en vivo. 22 Los temas de seguridad de la información, protección de datos, confidencialidad, veracidad y calidad de la evidencia objetiva recopilada son fundamentales que sean comunicados: ✓ Pedir permiso para captura de pantallas; ✓ Registrar datos y cargo de los entrevistados; ✓ Comunicar información retenida; ✓ Registrar pruebas y la forma en que se obtuvo; ✓ Coordinar momentos de interrupción de conectividad. 23 Entrevistas remotas: Se realizan de la misma manera que las entrevistas en persona y se pueden realizar programando videollamadas con personas clave utilizando plataformas. Planificar entrevistas cortas. Se debe preparar una lista de preguntas y puntos sobre qué información adicional se necesita, basada en la información de la revisión del documento. Tenga en cuenta que muchas personas pueden no estar cómodas comunicándose por video. Evitar ruidos. 24 Reunión de cierre: Es prácticamente la misma que la reunión de cierre de una auditoría presencial. Se sugiere programar la reunión de cierre de uno a dos días después de las entrevistas remotas. El informe debe indicar aquellos procesos que no pudieron ser auditados y/o deberán ser auditados en sitio 25 Es realizada por un auditor que trabaja en la empresa donde se realiza la misma. Por su lugar de origen: Auditoría Interna Debido a que el auditor pertenece a la empresa, casi siempre conoce integralmente sus actividades, operaciones y áreas; por tanto su revisión puede ser más profunda y con mayor conocimiento de las actividades, funciones y problemas de la institución. Su veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede haber cierta injerencia por parte de las autoridades de la institución sobre la forma de evaluar y emitir el informe. 26 ✓ Auditoria Interna (AI) utiliza TI en el nivel adecuado? ✓ Existe oportunidades de mejora de TI? ✓ Se prioriza el uso de TI en la AI? ✓ AI cuenta con una estrategia de TI? ✓ Utiliza tecnología para realizar evaluaciones de riesgo y el monitoreo de procesos? Uso de tecnología en Auditoria Interna 27 ✓ Utiliza tecnología para la documentación del trabajo? ✓ Utiliza Analytics / Minería de datos? ✓ El equipo cuenta con las habilidades y herramientas para enfrentar el crecimiento y sofisticación del uso de datos? 28 Las auditoria tradicionales llevan más tiempo del previsto: 1. Planificación inadecuada; 2. Poco uso de la tecnología; 3. Documentación en informes muy largos que no aportan; 4. Falta de entrenamiento del equipo; 5. Falta de supervisión oportuna. Necesidad de incorporar TI en las AI 29 ✓ Automatizar procesos de negocio; ✓ Mayor volumen y velocidad de las operaciones; ✓ Operaciones más complejas; ✓ Desmaterialización de documentos; ✓ Sofistificación de proceso y desarrollo de sistemas. … auditar sin tecnología, No es buena opción 30 Incorporar tecnología….. Agrega valor Reduce riesgos Crea Oportunidades de mejora Ahorro tiempo y costos Prevención de fraudes 31 Es realizada por auditores totalmente ajenos a la empresa, esto permite que el auditor externo utilice su conocimiento especializado en la aplicación de los métodos, técnicas y herramientascon las cuales hará la evaluación de las actividades y operaciones de la empresa que audita. Por su lugar de origen: Auditoría Externa 32 Al no tener ninguna dependencia de la empresa, el trabajo de los auditores es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada. El auditor al conocer poco la empresa, su evaluación puede estar limitada a la información que pueda recopilar. 33 34 Controles mínimos: Es empírico con controles simples y sin procedimientos escritos ni formales; Procedimientos empíricos: Existen documentos internos y métodos empíricos para detectar fallas o errores; Procedimientos técnicos: Se basan en estándares generalmente aceptados; Procedimientos de fiabilidad: Probabilidad de que un sistema funcionará como se espera en un periodo, dadas ciertas condiciones. AUDITORIA por su alcance VERTICAL 35 Seguridad física: Cuida y protege bienes de la organización; Seguridad de datos: Protege datos e información de la organización, garantiza su integridad y exactitud; Seguridad de procedimientos: garantiza que el personal se adhiere totalmente a las normas y procedimientos establecidos. AUDITORIA por su alcance HORIZONTAL 36 El control es una de las fases del proceso administrativo, le corresponde: ➢ Comparar los resultados obtenidos contra los resultados determinados en el proceso de planeación de la estrategia organizacional y de sus actividades tácticas y operativas con el fin de: ✓ Determinar el nivel de cumplimiento y; ✓ Ajustar los diferentes parámetros y características de los procesos mediante los cuales se busca el cumplimiento de los objetivos organizacionales. CONTROL: Base para el desarrollo de la Auditoria 37 Cualquier forma de control está basada en el uso de un lazo de retroalimentación (feedback) mediante el cual se compara la salida (output) del proceso o sistema controlado contra valores de referencia, de modo que al presentarse desviaciones, por exceso o por defecto, se produce una señal de “corrección” que debe ser alimentada al proceso para corregir las desviaciones observadas en la salida. CONCEPTO DE CONTROL 38 39 Han sido desarrollados para proveer una garantía razonable de que los objetivos del negocio serán alcanzados y que se previenen o detectarán y corregirán los casos de riesgo no deseados. Los controles internos tales como las políticas, procedimientos, prácticas y estructuras organizativas son desarrollados y/o diseñados. CONTROL INTERNO 40 Los objetivos del control interno son declaraciones del resultado deseado o del propósito a ser alcanzado implementando procedimientos de control en una actividad en particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de control. OBJETIVOS DEL CONTROL INTERNO 41 ✓ Auditoria de cumplimiento – un enfoque reactivo ✓ auditoria del Cumplimiento de un estándar ✓ Auditoría de Cumplimiento de una “mejor práctica” ✓ Auditoria del Cumplimiento de la opinión del auditor ✓ Auditoria del desarrollo de sistemas – un enfoque proactivo ✓ Aseguramiento interno – un enfoque coactivo ESQUEMAS METODOLÓGICOS TRADICIONALES 42 Auditoría financiera (contable).- La actividad del auditor consiste en revisar la correcta aplicación de los registros contables y operaciones financieras de las empresas; Auditoría administrativa.- Es la revisión sistemática y exhaustiva que se realiza a la actividad administrativa de una empresa, en cuanto a su organización, las relaciones entre sus integrantes y el cumplimiento de las funciones y actividades que regulan sus operaciones; CLASIFICACIÓN DE LAS AUDITORIAS 43 Auditoría operacional.- Es la revisión sistemática y exhaustiva, sistemática y especifica que se realiza a las actividades de una empresa, con el fin de evaluar su existencia, suficiencia, eficacia, eficiencia y el correcto desarrollo de sus operaciones; Auditoría integral.- Es la revisión exhaustiva, sistemática y global que realiza un equipo multidisciplinario de profesionales a todas las actividades y operaciones de una empresa, con el propósito de evaluarla de manera integral, todas sus áreas administrativas; 44 Auditoría gubernamental.- Es la revisión exhaustiva, sistemática y concreta que se realiza a todas las actividades y operaciones de una entidad gubernamental. Auditoría informática.- Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos, y demás componentes; 45 Auditoría fiscal.- Es realiza a los registros y operaciones contables de una empresa; Auditoría laboral.- Es realizada a las actividades, funciones y operaciones relacionadas con el factor humano de una empresa; Auditoría de proyecto de inversión.- Es la revisión y evaluación que se realizan a los planes, programas y ejecución de las inversiones de los recursos económicos de una institución pública o privada; 46 Auditoría a la caja chica o caja mayor (arqueos).- Es la revisión periódica del manejo del efectivo que se asigna a una persona o área de una empresa, de los comprobantes de ingresos y egresos generados por sus operaciones cotidianas; Auditoría al manejo de mercancías (inventarios).- Es la revisión física que se realiza a través del conteo de los bienes, productos y materias primas, intermedias o de consumo final de una empresa; 47 Auditoría ambiental.- Es la evaluación que se hace de la calidad del aire, la atmósfera, el ambiente, las aguas, ríos, lagos y océanos, así como la conservación de la flora y la fauna.; Auditoría de proyectos de inversión pública.- Auditoría de gestión.- Auditoría de la calidad.- Auditoría de TIC´s.- 48 La Gerencia de Tecnologías de Información y Comunicación de Impuestos, es la encargada de dirigir, coordinar y supervisar las actividades de análisis, diseño, desarrollo, control de calidad, implantación y mantenimiento de sistemas informáticos y procesar datos e información generados por los distintos procesos tributarios, garantizando la disponibilidad y seguridad de las bases de datos. ESTRUCTURA ORGANIZACIONAL 50 51 52 Las direcciones URL: https://www.iaf.nu/ https://committee.iso.org/home/tc176/iso-9001- auditing-practices-group.html Auditoria de procesos digitales: https://committee.iso.org/files/live/sites/tc176/files/docu ments/ISO%209001%20Auditing%20Practices%20Grou p%20docs/Auditing%20General/APG- Digital_Processes.pdf Auditoria remota: https://committee.iso.org/files/live/sites/tc176/files/docu ments/ISO%209001%20Auditing%20Practices%20Grou p%20docs/Auditing%20General/APG-Remote_Audits.pdf https://www.iaf.nu/ https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html https://committee.iso.org/files/live/sites/tc176/files/documents/ISO 9001 Auditing Practices Group docs/Auditing General/APG-Digital_Processes.pdf https://committee.iso.org/files/live/sites/tc176/files/documents/ISO 9001 Auditing Practices Group docs/Auditing General/APG-Remote_Audits.pdf