Video ERP SAP BO

Video Auditoria de sistemas de información

Cuadro comparativo normas internacionales

Mapa conceptual Margerit

Mapa conceptual ISO

Mapa conceptual control interno

Mapa conceptual Auditoría

Resumen COBIT

COBIT es un marco cuyo enfoque está inclinado hacia el gobierno de las tecnologías de la información. Este marco brinda buenas prácticas a través de un marco de dominios y procesos, con un enfoque pleno en el control. 

Ahora bien, dentro de los procesos que establece COBIT, podemos ver el proceso de planear y organizar, adquirir e implementar, entregar y dar soporte, y finalmente el de monitorear y evaluar.  De tal manera es importante resaltar que COBIT permite establecer un vínculo y una estrecha relación con los requerimientos del negocio, además organiza y sincroniza las actividades de TI en un modelo establecido generalmente aceptado.

Por otro lado este marco resalta la importancia de identificar los recursos de TI necesarios para ser utilizados, a partir de un amplio estudio de lo que se cuenta. 

El Marco COBIT está integrado por, los principios, la arquitectura, facilitadores, la guía de implementación y otras publicaciones futuras de interés. Así pues, dentro de los principios de COBIT, se resaltan: 

• Satisfacer las necesidades de los interesados 
• Cubrir la organización de principio a fin 
• Aplicar un único marco de trabajo integrado 
• Aproximación holística 
• Separar gestión de gobierno

 Además de ello COBIT posee 7 categorías, las cuales son:

• Los principios, las políticas y el marco de referencia son el vehículo para interpretar el comportamiento deseado en una guía práctica para la gestión del día a día. 
• Los procesos describen un conjunto organizado de prácticas y actividades para lograr ciertos objetivos y producir una serie de productos de apoyo a la consecución de metas relacionadas con las TI. 
• Las estructuras organizativas son las principales entidades de toma de decisiones en una empresa. 
• La cultura, la ética y el comportamiento de los individuos y de la empresa son muy a menudo subestimado como factor de éxito en las actividades de gobierno y de gestión. 
• La información es necesaria para mantener la organización funcionando bien la empresa, pero a nivel operativo, la información es muy a menudo la clave del producto de la propia empresa.

Dentro de los beneficios que otorga COBIT, es importante resaltar que le ayuda a la gerencia a tener una visión entendible de las TI, además ayuda a gestores, auditores y usuarios a entender  sus Sistemas de Información. Provee lineamientos avanzados en áreas de alto interés, como la arquitectura empresarial, gestión de activos.

Resumen COSO

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

Objetivos del Informe

• Promover operaciones metódicas, económicas, eficientes y eficaces, así como productos y servicios de la calidad esperada.

• Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión, errores, fraudes o irregularidades.

• Respetar las leyes y reglamentaciones, como también las directivas y estimular al mismo tiempo la adhesión de los integrantes de la organización a las políticas y objetivos de la misma.

• Obtener datos financieros y de gestión completos y confiables y presentados a través de informes oportunos.

El control interno está diseñado para proporcionar una seguridad razonable en cuanto a:

1.    Eficacia de las operaciones

2.    Eficiencia de las operaciones

3.    Fiabilidad de la información financiera

4.    Fiabilidad de la información operativa y de gestión

5.    Salvaguardia de los activos

6.    Cumplimiento de las leyes y normas aplicables, tanto internas como externas a la empresa.

Limitaciones del Control Interno

• Puede existir que el control interno frene el crecimiento empresarial.  Ya que el objetivo del control interno no es crecer sino que las actividades que la empresa realice sean las adecuadas y correctas.

• Con el control interno no se puede asegurar la efectividad en las operaciones empresariales cuando fueron definidos de forma.

COSO I

Ambiente de control: Este componente se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal.

Valoración del riesgo: Se refiere a la identificación y el análisis de los riesgos más relevantes que asume la empresa para el logro de sus objetivos.

Actividades de control: Actividades de control que realiza la gerencia y las demás dependencias de la empresa, para cumplir con las diferentes funciones.

Información comunicacional: Toda la información relevante que se produzca, debe ser identificada, capturada, procesada y comunicada a todo el personal de la organización, dentro de los tiempos establecidos.

Monitoreo: La gerencia de la organización debe llevar a cabo una permanente revisión y evaluación de todos los componentes y elementos que forman parte del sistema.

COSO II

COSO define ERM como:

Un proceso que lleva a cabo el consejo de administración, la dirección y otro personal de la entidad, que se aplica en la definición de estrategias y en toda la empresa, que está diseñado para identificar incidentes potenciales que pueden afectar a la entidad.

Componentes/Elementos de la ERM

La ERM tiene ocho componentes interrelacionados.

Entorno interno: Abarca el ambiente de una empresa y define la base para la manera en que el personal de una empresa considera y aborda los riesgos y el control.

Es la base de todos los demás componentes de la ERM y proporciona disciplina y estructura.

Definición de objetivos: los objetivos se definen en el nivel estratégico, estableciendo una base para las operaciones, la elaboración de informes y los objetivos de cumplimiento.

Identificación del incidente: la dirección identifica posibles incidentes que, si suceden, afectaran la entidad y determina si estos incidentes representan oportunidades o si podrían afectar negativamente la posibilidad de la entidad de implementar con éxito la estrategia y lograr los objetivos.

Evaluación de riesgos: permite a la entidad considerar el grado hasta el cual los incidentes potenciales tienen impacto sobre el logro de los objetivos.

Respuesta al riesgo: una vez evaluados los riesgos relevantes, la dirección determina como responderá. Las respuestas se clasifican en cuatro categorías: Evasión, reducción, gestión compartida y aceptación del riesgo

Actividades de control: son políticas y procedimientos que ayudan a garantizar que se lleven a cabo las respuestas al riesgo de la dirección.

Información y comunicación: la información relevante se identifica, captura y comunica en tiempo y forma, lo cual permite a los empleados llevar a cabo sus responsabilidades.

Supervisión: la ERM debe ser supervisada evaluando la presencia y el funcionamiento e sus componentes en el transcurso del tiempo.

MODELO COSO PARA LOS CONTROLES DE LA TECNOLOGÍA

Entorno de control

-        Imagen de la gerencia: TI y controles de seguridad considerados importantes

-        Política de tecnología general y política de seguridad de la información

-        Comité de gobierno corporativo sobre tecnología

-        Comité de normas y arquitectura de la tecnología

-        Representación total de todas las unidades de negocio

Evaluación de riesgos

-        Riesgos de TI incluidos en la evaluación de riesgo corporativo general

-        TI integrada en las evaluaciones de riesgos del negocio

-        Diferenciación de controles de TI para áreas/funciones de alto riesgo

-        Evaluación de auditoría interna de TI

-        Evaluación de aseguramiento de TI

Actividades de control

-        Junta revisora de la gestión del cambio

-        Comparación de iniciativas de tecnología para el plan y el rendimiento de la inversión

-        Documentación y aprobación de plantas de TI y arquitectura de sistemas

-        Cumplimiento de normas sobre seguridad física e información

-        Adhesión a la evaluación de riesgos de la continuidad del negocio

-        Cumplimiento de las normas sobre tecnología

Información y comunicación

-        Comunicaciones corporativas periódicas (intranet, correo electrónico, reuniones, boletines)

-        Concientización continua sobre mejores practicas en el área de tecnología

-        Encuesta de desempeño de TI

-        Capacitaciones de seguridad y TI

-        Resolución continua de problemas a través de mesas de ayuda

Supervisión

-        Mediciones mensuales del desempeño tecnológico

-        Análisis de desempeño de control y costos de la tecnología

-        Evaluaciones periódicas de la gestión de la tecnología

-        Auditoría interna de empresas de tecnología

-        Auditoría interna de áreas de alto riesgo

Guía de trabajo número 1

GUÍA DE TRABAJO NÚMERO 1

Es importante resaltar que el alcance de auditoría con el gobierno corporativo se deberá establecer  un “Acuerdo de los términos de los trabajos de auditoría” en el cual se establecen las responsabilidades del auditor para acordar los términos del trabajo de una auditoría con la administración de una entidad y, cuando sea apropiado, con los encargados del gobierno corporativo[1].

Dentro de lo anterior se incluye establecer la responsabilidad de las cuales descansa en la administración y, cuando sea apropiado, en los encargados del gobierno corporativo

Es importante resaltar que durante los últimos años se han establecido las responsabilidades del gobierno corporativo respecto del control interno, lo anterior con el fin de que los procesos y procedimientos dentro de la organización sean más eficientes y confiables.

Ahora bien, es importante resaltar que hablamos de una evaluación administrativa y una evaluación de auditoría, en donde la primera establece una evaluación del desempeño organizacional en donde ser revisa en qué grado se han alcanzado los objetivos, que casi siempre se identifican con los de la dirección. Además de esto, también se valora la capacidad y lo apropiado a la práctica administrativa. Siempre que se habla de una evaluación administrativa se hace necesario tener o hablar de una evaluación integral, es decir, que involucre los distintos procesos y propósitos que están presentes en la organización. Debido a esto, cada evaluación administrativa deberá realizarse de forma distinta dependiendo de la organización.

La evaluación de auditoría son los mecanismos que utiliza el auditor para la realización de su trabajo, los mismos planean revisar los procesos y procedimientos del negocio, con el fin que los mismos entreguen información confiable y verídica de las transacciones realizadas por el ente auditado.

Así las cosas teniendo en cuenta lo antes mencionado, es importante tener en cuenta que el hecho que exista una correcta evaluación administrativa, no exime a una compañía a no tener auditorias independientes, dado que se deberá establecer que los procesos se realicen de forma adecuada con el fin de mitigar riesgos, adicionalmente se deberá verificar la correcta evaluación administrativa, con el fin de cuidar la información ante terceros.

Dentro de las características del auditor encontramos; obtener una información precisa y completa sobre unas actividades específicas. Tiene que comunicarse con gente y concentrarse en actividades que pueden ser extrañas para él, lo anterior es también conocido como escepticismo profesional, y realizar juicios precisos sobre ello.

Adicionalmente un buen auditor debe caracterizarse por ser entre, otras cosas, diplomático, paciente, buen comunicador, buen juez, disciplinado, imparcial, trabajador, con mente abierta, honesto, analítico, curioso, interesado, con carácter resistente, profesional y entrenado.[2]

Ahora bien, se habla de metodología en la auditoria para definir el método o los pasos a seguir por parte del auditor para desarrollar su trabajo conforme a unos párametros establecidos con el fin de obtener conocimiento y poder llegar a un resultado, en ella se busca tener unas fases básicas secuenciales que permitan abarcar todo el marco del negocio de una organización y poder dar entendimiento pleno para posteriormente una vez realizadas las pruebas concluir sobre el trabajo de auditoría.

Adicionalmente, es importante tener en cuenta que el trabajo de auditoría debe contar con las siguientes características que son las elementales para poder desarrollarse, entre ellas encontramos las siguientes:

• Orientado al negocio

• Alineado con estándares y regulaciones.

• Basado en una revisión crítica y analítica de las tareas y actividades.

• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

De acuerdo con la NIA 500 se establece que evidencia es Evidencia de auditoría "es toda la información que usa el auditor para llegar a las conclusiones en las que se basa la opinión de auditoría, e incluye la información contenida en los registros contables subyacentes a los estados financieros.

La suficiencia en la determinación de la evidencia es lo que marca la calidad del trabajo y la correcta emisión de un juicio como resultado del trabajo de auditoría, lo anterior con el fin de mitigar el riesgo.

Se habla de razonabilidad del auditor porque el mismo realiza pruebas globales que le permitan probar la confiabilidad de los saldos, lo anterior significa que el auditor no revisa el 100% la documentación pero si un porcentaje suficiente que le permita confiar en que las cifras que ha auditado.

---

[1] NIA 210

[2] www.scribd.com