auditoria remota - clases de auditoria

Vista previa del material en texto

M. Sc. Miguel Cotaña Mier Lp, Septiembre de 2020
AUDITORIA 
INFORMÁTICA
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS PURAS Y NATURALES
CARRERA DE INFORMÁTICA
1
2.2. Auditoria Remota – clases de auditoria
2
Mentalidad abierta al cambio……
3
Manejo hábil de la tecnología y del
entendimiento de procesos de negocio
contribuye a que la labor de auditoría sea
proactiva en estos tiempos.
Enfrentar las nuevas circunstancias con
creatividad. El uso de recursos tecnológicos,
la aplicación de pruebas a distancia, la
evaluación de nuevos riesgos, el trabajo
desde casa….. implica tener una mentalidad
abierta.
4
5
¿Qué es la tecnología disruptiva o 
innovación disruptiva?
Es aquella capaz
de generar
REVOLUCIÓN…
6
Fortalecer competencias, trabajo en equipo,
nuevas metodologías de trabajo, análisis de
datos, controles automatizados y cambios
en procesos, logran disminuir costos y
agregar valor a la auditoría.
Es necesario implementar ciertas
tecnologías para superar las brechas de la
distancia, la logística y la oportunidad en la
ejecución del trabajo.
7
✓ Trámites públicos digitalizados;
✓ Derecho fundamental de acceso a
redes digitales;
✓ Uso generalizado de teletrabajo;
✓ Derecho y control a la transparencia
de la información;
✓ Privacidad en aplicativos que
recolectan datos personales.
…… Crisis, oportunidad para transformar
8
Auditoria Remota
9
¿Es posible las auditorias remotas?
¿Es válido?
10
Una auditoria virtual es el lugar donde la
organización desempeña trabajos en un
entorno en línea (las transacciones se
realiza en el hiper espacio)
Una auditoria remota indica el uso de
tecnologías que nos permite recopilar
información (cuando los métodos cara a
cara no son posibles de realizarlos);
11
auditoria virtual es la tendencia actual, para
ejecutar actividades de control a distancia, desde
cualquier lugar distinto de las instalaciones del
auditado.
Es un proceso sistemático, independiente,
documentado y controlado para obtener a través
de medios digitales (nube, e-mail, video-
conferencia, video llamadas, etc), las evidencias
objetivas de los resultados, desempeño,
decisiones, documentos y otros, con el fin de
evaluarlas de manera online y determinar el
grado de cumplimiento.
12
Se lleva a cabo cuando un auditor externo audita
los procesos, políticas, procedimientos y personal
de la entidad en tiempo real a través de las
TIC´s. Se puede entrevistar a los auditados a
través de herramientas de videoconferencia,
teniendo la posibilidad de revisar (utilizando las
funciones de pantalla compartida) los
documentos de forma remota mientras hace
preguntas o precisiones.
13
¡Razones para que las auditorias
remotas sean aplicables!
14
15
16
Una auditoría remota es similar a una auditoría
presencial. Sin embargo, el enfoque, las cargas y
la ejecución de estas fases de auditoría difieren:
Consideraciones para Auditoria Remota
✓ Comunicar con anticipación a los involucrados las tecnologías
que serán utilizadas y el alcance de la auditoría;
✓ Verificar que todos tengan los equipamientos y recursos
necesarios (webcam, headphones, internet estable);
✓ Instalar algún software de videoconferencia;
✓ Involucrar al personal de TI;
✓ Cerciorarse de que las personas sepan operar sistemas;
✓ Realizar encuestas mediante formularios en línea;
✓ Definir tiempo antes de la reunión, para ajustes de conexión;
✓ Dejar preestablecido lo que será hecho en caso que ocurra
caída en la conexión.
17
Fase preliminar:
18
19
Planificación: Explicar el enfoque de auditoría
remota a los participantes. cómo y cuándo se
compartirá la información, qué tecnología se
utilizará (desde cámaras a drones hasta soporte
de telepresencia), qué autorizaciones se deben
obtener por adelantado para recopilar videos y
fotografías fijas, y qué áreas confidenciales o
restringidas deben considerarse o evitarse.
20
Revisión documentos: Las revisiones remotas
de documentos son similares a la revisión de
documentos en la instalación. La entidad puede
tardar mucho más tiempo en preparar y cargar
documentos en una plataforma de uso
compartido de archivos (SharePoint, unidades
compartidas, etc.) que en proporcionar acceso a
una gaveta o portafolio de archivos en sitio.
Debemos estar abiertos a recibir y revisar la
información en cualquier formato. El muestreo y
entrevistas remotas es buena estrategia.
21
Reconociendo la entidad: Posiblemente sea lo
más difícil de la auditoría remota. Un enfoque
puede ser acceder en vivo a las instalaciones de
la entidad. Sin embargo, puede existir
limitaciones como no tener Wi-Fi en todas las
áreas. Incluso las instalaciones que afirman tener
Wi-Fi en todas las instalaciones a menudo no
tienen buena cobertura de áreas remotas del sitio
o intensidad de la señal deficiente, degradando la
calidad del video en vivo.
22
Los temas de seguridad de la información,
protección de datos, confidencialidad, veracidad y
calidad de la evidencia objetiva recopilada son
fundamentales que sean comunicados:
✓ Pedir permiso para captura de pantallas;
✓ Registrar datos y cargo de los
entrevistados;
✓ Comunicar información retenida;
✓ Registrar pruebas y la forma en que se
obtuvo;
✓ Coordinar momentos de interrupción de
conectividad.
23
Entrevistas remotas: Se realizan de la misma
manera que las entrevistas en persona y se
pueden realizar programando videollamadas con
personas clave utilizando plataformas. Planificar
entrevistas cortas.
Se debe preparar una lista de preguntas y puntos
sobre qué información adicional se necesita,
basada en la información de la revisión del
documento. Tenga en cuenta que muchas
personas pueden no estar cómodas
comunicándose por video. Evitar ruidos.
24
Reunión de cierre: Es prácticamente la misma
que la reunión de cierre de una auditoría
presencial. Se sugiere programar la reunión de
cierre de uno a dos días después de las
entrevistas remotas. El informe debe indicar
aquellos procesos que no pudieron ser auditados
y/o deberán ser auditados en sitio
25
Es realizada por un auditor que trabaja en
la empresa donde se realiza la misma.
Por su lugar de origen: Auditoría Interna
Debido a que el auditor
pertenece a la empresa, casi
siempre conoce integralmente
sus actividades, operaciones y
áreas; por tanto su revisión
puede ser más profunda y con
mayor conocimiento de las
actividades, funciones y
problemas de la institución.
Su veracidad, alcance y
confiabilidad pueden ser
limitados, debido a que puede
haber cierta injerencia por
parte de las autoridades de la
institución sobre la forma de
evaluar y emitir el informe.
26
✓ Auditoria Interna (AI) utiliza TI en
el nivel adecuado?
✓ Existe oportunidades de mejora
de TI?
✓ Se prioriza el uso de TI en la AI?
✓ AI cuenta con una estrategia de TI?
✓ Utiliza tecnología para realizar
evaluaciones de riesgo y el
monitoreo de procesos?
Uso de tecnología en Auditoria Interna
27
✓ Utiliza tecnología para la documentación 
del trabajo?
✓ Utiliza Analytics / Minería de datos?
✓ El equipo cuenta con las habilidades y 
herramientas para enfrentar el 
crecimiento y sofisticación del uso de 
datos?
28
Las auditoria tradicionales llevan más
tiempo del previsto:
1. Planificación inadecuada;
2. Poco uso de la tecnología;
3. Documentación en informes muy
largos que no aportan;
4. Falta de entrenamiento del
equipo;
5. Falta de supervisión oportuna.
Necesidad de incorporar TI en las AI
29
✓ Automatizar procesos de negocio;
✓ Mayor volumen y velocidad de las operaciones;
✓ Operaciones más complejas;
✓ Desmaterialización de documentos;
✓ Sofistificación de proceso y desarrollo de sistemas.
… auditar sin tecnología, No es buena opción 
30
Incorporar tecnología…..
Agrega 
valor
Reduce 
riesgos
Crea 
Oportunidades 
de mejora
Ahorro 
tiempo 
y costos
Prevención 
de fraudes
31
Es realizada por auditores totalmente
ajenos a la empresa, esto permite que
el auditor externo utilice su
conocimiento especializado en la
aplicación de los métodos, técnicas y
herramientascon las cuales hará la
evaluación de las actividades y
operaciones de la empresa que audita.
Por su lugar de origen: Auditoría Externa
32
Al no tener ninguna
dependencia de la
empresa, el trabajo de
los auditores es
totalmente
independiente y libre
de cualquier injerencia
por parte de las
autoridades de la
empresa auditada.
El auditor al conocer
poco la empresa, su
evaluación puede estar
limitada a la información
que pueda recopilar.
33
34
Controles mínimos: Es empírico con
controles simples y sin procedimientos
escritos ni formales;
Procedimientos empíricos: Existen
documentos internos y métodos empíricos
para detectar fallas o errores;
Procedimientos técnicos: Se basan en
estándares generalmente aceptados;
Procedimientos de fiabilidad:
Probabilidad de que un sistema funcionará
como se espera en un periodo, dadas ciertas
condiciones.
AUDITORIA por su alcance VERTICAL
35
Seguridad física: Cuida y protege bienes
de la organización;
Seguridad de datos: Protege datos e
información de la organización, garantiza
su integridad y exactitud;
Seguridad de procedimientos:
garantiza que el personal se adhiere
totalmente a las normas y procedimientos
establecidos.
AUDITORIA por su alcance HORIZONTAL
36
El control es una de las fases del
proceso administrativo, le corresponde:
➢ Comparar los resultados obtenidos
contra los resultados determinados en
el proceso de planeación de la
estrategia organizacional y de sus
actividades tácticas y operativas con
el fin de:
✓ Determinar el nivel de cumplimiento y;
✓ Ajustar los diferentes parámetros y
características de los procesos mediante los
cuales se busca el cumplimiento de los
objetivos organizacionales.
CONTROL: Base para el desarrollo de la Auditoria
37
Cualquier forma de control está basada
en el uso de un lazo de
retroalimentación (feedback) mediante el
cual se compara la salida (output) del
proceso o sistema controlado contra
valores de referencia, de modo que al
presentarse desviaciones, por exceso o
por defecto, se produce una señal de
“corrección” que debe ser alimentada al
proceso para corregir las desviaciones
observadas en la salida.
CONCEPTO DE CONTROL
38
39
Han sido desarrollados para proveer
una garantía razonable de que los
objetivos del negocio serán alcanzados
y que se previenen o detectarán y
corregirán los casos de riesgo no
deseados.
Los controles internos tales como las
políticas, procedimientos, prácticas y
estructuras organizativas son
desarrollados y/o diseñados.
CONTROL INTERNO
40
Los objetivos del control interno son
declaraciones del resultado deseado o del
propósito a ser alcanzado implementando
procedimientos de control en una
actividad en particular.
En otras palabras, control es el medio por
el cual se alcanzan los objetivos de
control.
OBJETIVOS DEL CONTROL INTERNO
41
✓ Auditoria de cumplimiento – un
enfoque reactivo
✓ auditoria del Cumplimiento de un
estándar
✓ Auditoría de Cumplimiento de
una “mejor práctica”
✓ Auditoria del Cumplimiento de la
opinión del auditor
✓ Auditoria del desarrollo de
sistemas – un enfoque proactivo
✓ Aseguramiento interno – un
enfoque coactivo
ESQUEMAS METODOLÓGICOS TRADICIONALES
42
Auditoría financiera (contable).- La actividad
del auditor consiste en revisar la correcta aplicación
de los registros contables y operaciones financieras
de las empresas;
Auditoría administrativa.- Es la revisión
sistemática y exhaustiva que se realiza a la
actividad administrativa de una empresa, en cuanto
a su organización, las relaciones entre sus
integrantes y el cumplimiento de las funciones y
actividades que regulan sus operaciones;
CLASIFICACIÓN DE LAS AUDITORIAS
43
Auditoría operacional.- Es la revisión sistemática
y exhaustiva, sistemática y especifica que se realiza
a las actividades de una empresa, con el fin de
evaluar su existencia, suficiencia, eficacia, eficiencia
y el correcto desarrollo de sus operaciones;
Auditoría integral.- Es la revisión exhaustiva,
sistemática y global que realiza un equipo
multidisciplinario de profesionales a todas las
actividades y operaciones de una empresa, con el
propósito de evaluarla de manera integral, todas
sus áreas administrativas;
44
Auditoría gubernamental.- Es la revisión
exhaustiva, sistemática y concreta que se realiza a
todas las actividades y operaciones de una entidad
gubernamental.
Auditoría informática.- Es la revisión técnica,
especializada y exhaustiva que se realiza a los
sistemas computacionales, software e información
utilizados en una empresa, sean individuales,
compartidos o de redes, así como a sus
instalaciones, telecomunicaciones, mobiliario,
equipos periféricos, y demás componentes;
45
Auditoría fiscal.- Es realiza a los registros y
operaciones contables de una empresa;
Auditoría laboral.- Es realizada a las actividades,
funciones y operaciones relacionadas con el factor
humano de una empresa;
Auditoría de proyecto de inversión.- Es la
revisión y evaluación que se realizan a los planes,
programas y ejecución de las inversiones de los
recursos económicos de una institución pública o
privada;
46
Auditoría a la caja chica o caja mayor
(arqueos).- Es la revisión periódica del manejo del
efectivo que se asigna a una persona o área de una
empresa, de los comprobantes de ingresos y
egresos generados por sus operaciones cotidianas;
Auditoría al manejo de mercancías
(inventarios).- Es la revisión física que se realiza
a través del conteo de los bienes, productos y
materias primas, intermedias o de consumo final de
una empresa;
47
Auditoría ambiental.- Es la evaluación que se
hace de la calidad del aire, la atmósfera, el
ambiente, las aguas, ríos, lagos y océanos, así
como la conservación de la flora y la fauna.;
Auditoría de proyectos de inversión pública.-
Auditoría de gestión.-
Auditoría de la calidad.-
Auditoría de TIC´s.-
48
La Gerencia de Tecnologías de Información y
Comunicación de Impuestos, es la encargada de
dirigir, coordinar y supervisar las actividades de
análisis, diseño, desarrollo, control de calidad,
implantación y mantenimiento de sistemas
informáticos y procesar datos e información
generados por los distintos procesos tributarios,
garantizando la disponibilidad y seguridad de las
bases de datos.
ESTRUCTURA ORGANIZACIONAL
50
51
52
Las direcciones URL:
https://www.iaf.nu/
https://committee.iso.org/home/tc176/iso-9001-
auditing-practices-group.html
Auditoria de procesos digitales:
https://committee.iso.org/files/live/sites/tc176/files/docu
ments/ISO%209001%20Auditing%20Practices%20Grou
p%20docs/Auditing%20General/APG-
Digital_Processes.pdf
Auditoria remota:
https://committee.iso.org/files/live/sites/tc176/files/docu
ments/ISO%209001%20Auditing%20Practices%20Grou
p%20docs/Auditing%20General/APG-Remote_Audits.pdf
https://www.iaf.nu/
https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html
https://committee.iso.org/files/live/sites/tc176/files/documents/ISO 9001 Auditing Practices Group docs/Auditing General/APG-Digital_Processes.pdf
https://committee.iso.org/files/live/sites/tc176/files/documents/ISO 9001 Auditing Practices Group docs/Auditing General/APG-Remote_Audits.pdf