Post on 11-Apr-2016
description
transcript
EVIDENCIAS VIRTUALES PARA AUDITORIA EN AMBIENTE DE
SISTEMAS COMPUTACIONALES
CPA OSCAR NOE LOPEZ CORDON, Ms C
oscarnoe@lopezcordon.com.gt
AGENDA
• Auditoria Informática
• Evidencia
• Evidencias de auditoria
• Tipos de evidencia
• Fuentes de evidencia
• Clasificación de la evidencia
• Evidencia virtual, digital o computacional
• Riesgos
• Conclusiones
Auditoria Informática
• Es el proceso de recoger, agrupar y evaluarevidencias para determinar si un sistemainformatizado salvaguarda los activos, mantiene laintegridad de los datos, lleva a cabo eficazmente losfines de la organización y utiliza eficientemente losrecursos.
Sus principales objetivos son
• El control de la función informática,
• El análisis de la eficiencia de los sistemasinformáticos que comporta,
• La verificación del cumplimiento de la normativageneral de la empresa en este ámbito y
• La revisión de la eficaz gestión de los recursosmateriales y humanos informáticos.
Objetivos de la Auditoria Informática
Objetivos de la Auditoria
InformáticaLa Auditoria Informática sustenta y confirma la
consecución de los objetivos tradicionales deauditoria:
1. Objetivos de protección de activos e integridad dedatos
2. Objetivos de gestión que abarcan, no solamentelos de protección de activos, sino también los deeficacia y eficiencia.
Funciones del Auditor Informático
� Participar en las revisiones durante y después deldiseño, realización, implantación y explotación deaplicaciones informáticas, así como en las fasesanálogas de realización de cambios importantes.
� Revisar y juzgar los controles implantados en lossistemas informáticos para verificar su adecuación alas órdenes e instrucciones de la dirección, requisitoslegales, protección de confidencialidad y coberturaante errores y fraudes.
� Revisar y juzgar el nivel de eficacia, utilidad,fiabilidad y seguridad de los equipos e información.
EvidenciaDefinición –RAE-
Evidencia de Auditoria
• “La evidencia de auditoría es
la información que obtiene el
auditor para extraer
conclusiones en las cuales
sustenta su opinión”
-NIA 500
DOCUMENTACIÓN
¨ El auditor deberá documentar losasuntos que son importantes paraapoyar la opinión de auditoria y darevidencia de que la auditoria se llevó acabo de acuerdo con las normasinternacionales.. ¨
- NIA 230
Son el soporte fundamental para la auditoría, en los cualesse va anotando los hechos, acontecimientos y fenómenosobservados durante la revisión.
Se utilizan para transcribir y concentrar resultados deentrevistas, cuestionarios, pruebas, encuestas,investigaciones, observaciones y opiniones del personalauditado.
Su contenido puede variar de un auditor a otro, y de un tipode auditoría a otra, ya que en cada trabajo existenprocedimientos, técnicas y métodos de evaluaciónespeciales que harán diferente la recolección de losdocumentos.
PAPELES DE TRABAJO
PAPELES DE TRABAJORegularmente incluyen:
• Información referente a la estructura de laentidad
• Extracto o copias de documentos legalesimportantes
• Información concerniente a la industria en tornoeconómico
• Programas de auditoria
• Evidencia de la comprensión de los sistemas decontabilidad y control interno
• Evidencia de las evaluaciones del riesgoinherente y de control
PAPELES DE TRABAJO
• Consideraciones de la auditoria interna
• Análisis de transacciones y balances
• Análisis de tendencias e indicadores
• Evidencia de supervisión del trabajo de losauxiliares
• Copias de comunicaciones de otros auditores oexpertos
• Copias de cartas sobre asuntos de auditoriadiscutidos con la entidad
• Cartas de representación recibidas de la entidad
• Copias de los estados financieros y dictamen delauditor
EVIDENCIA DE AUDITORÍA
La responsabilidad del auditor es diseñar yrealizar los procedimientos de auditorianecesarios para realizar la auditoria deestados financieros.
«El auditor deberá obtener evidenciasuficiente y apropiada de auditoría parapoder extraer conclusiones razonables sobrelas cuales basar su opinión de la auditoría».
NIA 500
NIA 500SUFICIENCIA Y COMPETENCIA
DE LA EVIDENCIA
• La suficiencia es la medida de lacantidad de evidencia de auditoría;
• La competencia es la medida de lacalidad de evidencia de auditoría.
Clasificación de la Evidencia
• Evidencia física
• Evidencia documental
• Evidencia testimonial
• Evidencia analítica
• Evidencia informática
Clasificación de la Evidencia
• Evidencia física:
Se obtiene mediante inspección y observación directade las actividades, bienes o sucesos.
Esta evidencia puede presentarse en forma dedocumentos, fotografías, gráficos, cuadros, mapas omuestras materiales.
Clasificación de la Evidencia
• Evidencia documental:
Puede ser de carácter física o electrónica.
Pueden ser externas o internas a la organización.
Las evidencias externas abarcan, entre otras, cartas,facturas de proveedores, contratos, auditoríasexternas y otros informes o dictámenes yconfirmaciones de terceros.
Las evidencias internas tienen su origen en laorganización, incluye, entre otros, registros contables,correspondencias enviadas, descripciones de puestosde trabajo, planes, presupuestos, informes internos,políticas y procedimientos internos.
Clasificación de la Evidencia
• Evidencia testimonial:
Se obtiene de otras personas en forma dedeclaraciones hechas en el curso de investigaciones oentrevistas.
Clasificación de la Evidencia
• Evidencia analítica:
Surge del análisis y verificación de los datos.
El análisis puede realizarse sobre cálculos, indicadoresde rendimiento y tendencias reportadas en losinformes financieros o de otro tipo de la organizaciónu otras fuentes que pueden ser utilizadas.
También pueden efectuarse comparaciones connormas obligatorias o niveles propios del sector alque pertenece la organización.
Clasificación de la Evidencia
• Evidencia informática:
Puede encontrarse en
• Datos
• Sistemas de aplicaciones
• Instalaciones y soportes
• Tecnologías y
• Personal informático.
Fuentes de EVIDENCIA
La evidencia de auditoría comprenderá:
• Documentos fuente
• Registros contables subyacentes a losestados financieros e
• Información corroborativa de otrasfuentes
OBTENCIÓN DE EVIDENCIA
La evidencia de auditoría se obtiene deuna mezcla apropiada de:
• Pruebas de control y
• Procedimientos sustantivos.
CONFIABILIDAD DE LA EVIDENCIANIA 500
• La confiabilidad de la evidencia de auditoría esinfluenciada por su fuente
• La evidencia de auditoría de fuentesexternas es más confiable que lagenerada internamente.
• La evidencia de auditoría generadainternamente es más confiable cuandolos sistemas de contabilidad y decontrol interno relacionados sonefectivos.
• La confiabilidad de la evidencia de auditoría esinfluenciada por su fuente• La evidencia de auditoría obtenida directamente
por el auditor es más confiable que la obtenida dela entidad.
• La evidencia de auditoría en forma de documentosy representaciones escritas es más confiable que lasrepresentaciones orales.
• La evidencia de auditoria provista en documentosoriginales es mas confiable que la provista porfotocopias.
CONFIABILIDAD DE LA EVIDENCIANIA 500
CRITERIOS DEL AUDITOR PARA ESTABLECER EVIDENCIA
• La evaluación del riesgo de auditoria
• La naturaleza de los sistemas de contabilidad ycontrol interno
• La importancia relativa de la partida que examina
• La experiencia en auditorias previas
• Los resultados de los procedimientos de auditoria
• La confiabilidad de la información disponible
PROCEDIMIENTOS DE OBTENCIÓN DE EVIDENCIA -NIA 500
• Inspección,
• Observación,
• Investigación y confirmación,
• Procedimientos de cómputo y
• Analíticos.
EVIDENCIA DE AUDITORIA
• EVIDENCIA VIRTUAL• EVIDENCIA DIGITAL
• EVIDENCIA COMPUTACIONAL• EVIDENCIA ELECTRONICA• EVIDENCIA INFORMATICA
EVIDENCIA VIRTUAL
CP Alcedo Ramírez indica «Se define comoun sinónimo de prueba de auditoria la cualno reside en términos tradicionales, sinoestá contenida en medios magnéticos oelectrónicos, pero que puedepotencialmente convertirse en undocumento tradicional».
EVIDENCIAS DIGITALES
Según Ricardo Noreña, socio responsable de Forensicde Ernst & Young.
«Hoy en día, cada vez es más habitual la presentaciónde evidencias digitales en los juzgados: emails, webs,documentos en formato digital como: contratos,presupuestos, propuestas, planes de negocio, lacontabilidad de una empresa almacenada en unaaplicación informática y un largo etcétera».
Evidencia Digital• Casey define la evidencia digital como “cualquierdato que puede establecer que un crimen se ha
ejecutado o puede proporcionar una enlace entre
un crimen y su víctima o un crimen y su autor”.
• “Cualquier información, que sujeta a una
intervención humana u otra semejante, ha sido
extraída de un medio informático”
Es toda información que se extrae de un medio
electrónico, la cual debe cumplir con ciertas
exigencias para su autentificación, debido a que
este tipo de documentación digital no deja rastro
alguno de ser copiado y en el intervalo puede
modificarse.
Evidencia Digital
Evidencia Digital• La evidencia de Digital es muy difícil de eliminar.
• Aún cuando un registro es borrado del disco durodel computador, y éste ha sido formateado, esposible recuperarlo.
• Cuando los individuos involucrados en un crimentratan de destruir la evidencia, existen copias quepermanecen en otros sitios.
Características -Evidencia Computacional• Volátil
• Anónima
• Duplicable
• Contaminable
• Modificable
• Eliminable
Es frágil y una copia de un documento almacenado en unarchivo es idéntica al original.
Potencial de realizar copias no autorizadas de archivos, sindejar rastro de que se realizó una copia.
Clasificación de la Evidencia DigitalCano clasifica la evidencia digital en 3 categorías:
• Registros generados por la computadora.- Son aquellos que
resultan del uso de la PC, los cuales son inalterables por el
usuario y pueden ser usados como prueba.
• Registros almacenados por o en computadores.- Son todos
aquellos archivos creados por el usuario y almacenado en la
PC. En este tipo de registro, es importante poder demostrar la
identidad del creador, y probar lo afirmado en dicha evidencia
misma es verídico.
• Registros híbridos.- Están formados por los registros
generados y los almacenados por la PC.
VISIBLE
• Documentos
• Bases de datos y registros
contables
• Correos electrónicos
• Fotos digitales
• Archivos y carpetas
eliminadas
INVISIBLE
• Registro de usuarios del
sistema y contraseñas
• Logs
• Actividad realizada en
Internet
• Ubicación geográfica de una
computadora
• Impresiones realizadas
• Archivos eliminados
• Remanentes de archivos
• Medios removibles
conectados
• Trafico de red
Clasificación de la Evidencia Digital
Donde obtener de evidencias electrónicas
• Medios de almacenamiento digitales utilizados enordenadores tales como discos duros, discos flexibles,discos ópticos y magneto ópticos, dispositivos de datoscon funciones similares.
• Teléfonos móviles, asistentes digitales personales(PDA), dispositivos electrónicos personales (PED),tarjetas de memoria
• Sistemas de navegación móvil
• Cámaras digitales y de video
• Ordenadores de uso generalizado conectados a redes
• Redes basadas en protocolos TCP / IP y otros.
• Dispositivos con funciones similares a las anteriores
• Documentos de Office: Word, Excel.
• Servicios de mensajería : E-mails, SMSs, etc
• Imágenes digitales: fotos, videos, etc
• Bases de datos
• Ficheros de registro de actividad: LOGS
• Evidencias de host: memoria, conexiones de
red, procesos, usuarios conectados,
configuraciones de red, discos, etc.
Donde obtener de evidencias electrónicas
Evidencia de auditoría en formato electrónico
Es importante que el auditor considere estascircunstancias en la planificación y ejecuciónde su trabajo de auditoría, a efectos de poderevaluar la suficiencia y adecuación de laevidencia que obtendrá en la ejecución de suauditoría y si ésta le permitirá alcanzar unabase objetiva de juicio.
• El riesgo de que la información que soporta lossaldos y transacciones sea destruida o alterada.
• Que dicha destrucción o alteración no seadetectada.
• El riesgo se incrementa cuando dichainformación se inicia, autoriza, procesa yalmacena únicamente en formato electrónico yno existen controles adecuados y efectivos alrespecto.
Riesgos
Por ello el auditor debe considerar:• Si el diseño, implementación y operatividad de
los controles existentes sobre la seguridad de lainformación son adecuados para prevenircambios no autorizados a los sistemas yregistros contables,
• Los sistemas que proporcionan datos relevantesrelacionados con la información financieraobjeto de su revisión.
Qué debe considerar ?
Al considerar la integridad de la evidencia enformato electrónico el auditor puede realizarpruebas de cumplimiento sobre controlesautomáticos tales como pruebas de integridad deregistro, firmas electrónicas y control deversiones.
Dependiendo de la evaluación de estos controles,el auditor puede considerar la realización deprocedimientos de auditoría adicionales.
Qué debe considerar ?
En el caso de entidades que utilicen sistemas de “comercioelectrónico” o de “procesamiento de imágenes” para elescaneado de documentos y su posterior almacenamiento yconsulta), los documentos originales, tales como órdenes decompra, documentos de entrega, facturas y similares,pueden existir únicamente en formato electrónico o haberseeliminado una vez han sido escaneados.
Qué debe considerar ?
En cualquier proceso de confirmación elauditor debe considerar y evaluar el riesgo deque las respuestas obtenidas puedan habersido alteradas, independientemente delformato y medio de recepción de dichasrespuestas.
Riesgos
El apartado 33 de la Norma Técnica de Auditoría sobreConfirmaciones de terceros del ICJCE establece que “el
auditor considerará si existen indicios de falta de fiabilidad
de las respuestas recibidas, teniendo en cuenta la
autenticidad de las respuestas y realizando los
procedimientos que le despejen las dudas que tuviera,
pudiendo incluso optar por la conversación telefónica con el
propio tercero, especialmente en los casos de confirmación
mediante fax o correo electrónico”.
Evidencia de auditoría en formato electrónico
Un factor importante para mitigar el riesgo sobrela falta de fiabilidad de las confirmaciones enformato electrónico son los controles existentespara minimizar los riesgos de intercepción,alteración o fraude en las mismas.Si el auditor ha decidido utilizar un proceso deconfirmación electrónica para obtener evidenciade auditoría, es especialmente importante que eldiseño del proceso de confirmación considereadecuadamente los riesgos que ellos implica.
Evidencia de auditoría en formato electrónico
Debe considerar entre otros, los siguientes riesgos:• Los riesgos relativos a la adecuación de la fuente de larespuesta (La respuesta procede del tercero con el que seha realizado la transacción).• Los riesgos relativos a la adecuada autorización de lapersona que responde (La persona que responde tiene elconocimiento de los datos y transacciones objeto deconfirmación y los niveles de autorización suficientespara responder en nombre de la entidad a la que se la hasolicitado).• Los riesgos relativos a la integridad de la transmisión dela respuesta (La respuesta se ha transmitido en suintegridad).
Riesgos en las Confirmaciones
En el caso en que el auditor tenga dudas acerca de lafiabilidad de una confirmación electrónica, ha deplantearse si verificar la fuente y el contenido de dichaconfirmación, mediante los procedimientos que considereoportunos, a modo de ejemplo, se podría contactardirectamente con el supuesto emisor de la misma u optarpor la conversación telefónica con el propio tercero.
El auditor podría, considerar solicitar al tercero el envíode la confirmación también por correo tradicional.
Evidencia de auditoría en formato electrónico
El auditor podría considerar la utilización de otrastécnicas para verificar la identidad del emisor deinformación en formato electrónico y su autorizaciónpara confirmar la información solicitada.
Por ejemplo, el uso de firmas digitales electrónicas,encriptación de datos u otros procedimientos destinadosa incrementar la fiabilidad en cuanto a la autenticidad delas comunicaciones, sitios o portales web, puedeproporcionar un mayor grado de seguridad y fiabilidad aun proceso de confirmación electrónica.
Evidencia de auditoría en formato electrónico
Conclusiones
• Los ordenadores, el software, los dispositivos dealmacenamiento y con ello, los sistemas informáticos hanevolucionado notablemente y lo seguirán haciendo.
• La forma de hacer negocios y de documentar las operacionesque soportan dichos negocios ha cambiado.
• La auditoria a lo largo del tiempo ha evolucionado en lamedida que el comercio lo ha hecho, adaptándose a dichoscambios y sirviendo de soporte a los administradores,inversionistas y demás interesados en la informaciónfinanciera.
• La auditoria es una profesión bien organizada, basada enprincipios Éticos y con normativa que ha permitido que apesar de toda la evolución ocurrida sigamos siendo unaprofesión muy bien reconocida y valorada.
• El auditor debe disponer de evidenciascontundentes que respalden el informe deauditoría.
• Previo a emitir un informe, el auditor debe ser muyprofesional y responsable a la hora de valorar loshechos y las evidencias que será la base para latoma de decisiones.
• En la auditoría no se puede cometer el error deinformar un hecho irregular que no existe, u omitirinformar un hecho irregular que si existe, situaciónque se evita si el trabajo de auditoría se basa enevidencias claras, contundentes y pertinentes.
Conclusiones
Conclusiones
• Como respuesta a la evolución de los negocios y de los sistemasinformáticos ha surgido la auditoria en sistemas computaciones, enla que el empleo de controles manuales e informáticos.
• La auditoria financiera sigue manteniendo sus principios basicosbasados en la obtencion de evidencia suficiente y competentecomo base para emitir nuestra opinion.
• Al ser realizadas las operaciones en un sistema informatico, lasformas de obtener evidencias han cambiado, ya que se requiere laobtencion de evidencias digitales.
• Los CPA’s debemos estar preparados para enfrentar dichoscambios, haciendo parte importante en nuestra formaciónprofesional el conocimiento y manejo de los sistemas informáticos,las normas internacionales de auditoria y los metodos de obtenerlas evidencias digitales.
CPA-Oscar Noé López Cordón, MsC
@López Cordón & Asociados
Móvil (+502) 5401-4747
oscarnoe@lopezcordon.com.gt