14-Evidencias Virturales Final INFOCONT

EVIDENCIAS VIRTUALES PARA AUDITORIA EN AMBIENTE DE

SISTEMAS COMPUTACIONALES

CPA OSCAR NOE LOPEZ CORDON, Ms C

[email protected]

AGENDA

• Auditoria Informática

• Evidencia

• Evidencias de auditoria

• Tipos de evidencia

• Fuentes de evidencia

• Clasificación de la evidencia

• Evidencia virtual, digital o computacional

• Riesgos

• Conclusiones

Auditoria Informática

• Es el proceso de recoger, agrupar y evaluarevidencias para determinar si un sistemainformatizado salvaguarda los activos, mantiene laintegridad de los datos, lleva a cabo eficazmente losfines de la organización y utiliza eficientemente losrecursos.

Sus principales objetivos son

• El control de la función informática,

• El análisis de la eficiencia de los sistemasinformáticos que comporta,

• La verificación del cumplimiento de la normativageneral de la empresa en este ámbito y

• La revisión de la eficaz gestión de los recursosmateriales y humanos informáticos.

Objetivos de la Auditoria Informática

Objetivos de la Auditoria

InformáticaLa Auditoria Informática sustenta y confirma la

consecución de los objetivos tradicionales deauditoria:

1. Objetivos de protección de activos e integridad dedatos

2. Objetivos de gestión que abarcan, no solamentelos de protección de activos, sino también los deeficacia y eficiencia.

Funciones del Auditor Informático

� Participar en las revisiones durante y después deldiseño, realización, implantación y explotación deaplicaciones informáticas, así como en las fasesanálogas de realización de cambios importantes.

� Revisar y juzgar los controles implantados en lossistemas informáticos para verificar su adecuación alas órdenes e instrucciones de la dirección, requisitoslegales, protección de confidencialidad y coberturaante errores y fraudes.

� Revisar y juzgar el nivel de eficacia, utilidad,fiabilidad y seguridad de los equipos e información.

EvidenciaDefinición –RAE-

Evidencia de Auditoria

• “La evidencia de auditoría es

la información que obtiene el

auditor para extraer

conclusiones en las cuales

sustenta su opinión”

-NIA 500

DOCUMENTACIÓN

¨ El auditor deberá documentar losasuntos que son importantes paraapoyar la opinión de auditoria y darevidencia de que la auditoria se llevó acabo de acuerdo con las normasinternacionales.. ¨

- NIA 230

Son el soporte fundamental para la auditoría, en los cualesse va anotando los hechos, acontecimientos y fenómenosobservados durante la revisión.

Se utilizan para transcribir y concentrar resultados deentrevistas, cuestionarios, pruebas, encuestas,investigaciones, observaciones y opiniones del personalauditado.

Su contenido puede variar de un auditor a otro, y de un tipode auditoría a otra, ya que en cada trabajo existenprocedimientos, técnicas y métodos de evaluaciónespeciales que harán diferente la recolección de losdocumentos.

PAPELES DE TRABAJO

PAPELES DE TRABAJORegularmente incluyen:

• Información referente a la estructura de laentidad

• Extracto o copias de documentos legalesimportantes

• Información concerniente a la industria en tornoeconómico

• Programas de auditoria

• Evidencia de la comprensión de los sistemas decontabilidad y control interno

• Evidencia de las evaluaciones del riesgoinherente y de control

PAPELES DE TRABAJO

• Consideraciones de la auditoria interna

• Análisis de transacciones y balances

• Análisis de tendencias e indicadores

• Evidencia de supervisión del trabajo de losauxiliares

• Copias de comunicaciones de otros auditores oexpertos

• Copias de cartas sobre asuntos de auditoriadiscutidos con la entidad

• Cartas de representación recibidas de la entidad

• Copias de los estados financieros y dictamen delauditor

EVIDENCIA DE AUDITORÍA

La responsabilidad del auditor es diseñar yrealizar los procedimientos de auditorianecesarios para realizar la auditoria deestados financieros.

«El auditor deberá obtener evidenciasuficiente y apropiada de auditoría parapoder extraer conclusiones razonables sobrelas cuales basar su opinión de la auditoría».

NIA 500

NIA 500SUFICIENCIA Y COMPETENCIA

DE LA EVIDENCIA

• La suficiencia es la medida de lacantidad de evidencia de auditoría;

• La competencia es la medida de lacalidad de evidencia de auditoría.

Clasificación de la Evidencia

• Evidencia física

• Evidencia documental

• Evidencia testimonial

• Evidencia analítica

• Evidencia informática


• Evidencia física:

Se obtiene mediante inspección y observación directade las actividades, bienes o sucesos.

Esta evidencia puede presentarse en forma dedocumentos, fotografías, gráficos, cuadros, mapas omuestras materiales.


• Evidencia documental:

Puede ser de carácter física o electrónica.

Pueden ser externas o internas a la organización.

Las evidencias externas abarcan, entre otras, cartas,facturas de proveedores, contratos, auditoríasexternas y otros informes o dictámenes yconfirmaciones de terceros.

Las evidencias internas tienen su origen en laorganización, incluye, entre otros, registros contables,correspondencias enviadas, descripciones de puestosde trabajo, planes, presupuestos, informes internos,políticas y procedimientos internos.


• Evidencia testimonial:

Se obtiene de otras personas en forma dedeclaraciones hechas en el curso de investigaciones oentrevistas.


• Evidencia analítica:

Surge del análisis y verificación de los datos.

El análisis puede realizarse sobre cálculos, indicadoresde rendimiento y tendencias reportadas en losinformes financieros o de otro tipo de la organizaciónu otras fuentes que pueden ser utilizadas.

También pueden efectuarse comparaciones connormas obligatorias o niveles propios del sector alque pertenece la organización.


• Evidencia informática:

Puede encontrarse en

• Datos

• Sistemas de aplicaciones

• Instalaciones y soportes

• Tecnologías y

• Personal informático.

Fuentes de EVIDENCIA

La evidencia de auditoría comprenderá:

• Documentos fuente

• Registros contables subyacentes a losestados financieros e

• Información corroborativa de otrasfuentes

OBTENCIÓN DE EVIDENCIA

La evidencia de auditoría se obtiene deuna mezcla apropiada de:

• Pruebas de control y

• Procedimientos sustantivos.

CONFIABILIDAD DE LA EVIDENCIANIA 500

• La confiabilidad de la evidencia de auditoría esinfluenciada por su fuente

• La evidencia de auditoría de fuentesexternas es más confiable que lagenerada internamente.

• La evidencia de auditoría generadainternamente es más confiable cuandolos sistemas de contabilidad y decontrol interno relacionados sonefectivos.

• La confiabilidad de la evidencia de auditoría esinfluenciada por su fuente• La evidencia de auditoría obtenida directamente

por el auditor es más confiable que la obtenida dela entidad.

• La evidencia de auditoría en forma de documentosy representaciones escritas es más confiable que lasrepresentaciones orales.

• La evidencia de auditoria provista en documentosoriginales es mas confiable que la provista porfotocopias.

CONFIABILIDAD DE LA EVIDENCIANIA 500

CRITERIOS DEL AUDITOR PARA ESTABLECER EVIDENCIA

• La evaluación del riesgo de auditoria

• La naturaleza de los sistemas de contabilidad ycontrol interno

• La importancia relativa de la partida que examina

• La experiencia en auditorias previas

• Los resultados de los procedimientos de auditoria

• La confiabilidad de la información disponible

PROCEDIMIENTOS DE OBTENCIÓN DE EVIDENCIA -NIA 500

• Inspección,

• Observación,

• Investigación y confirmación,

• Procedimientos de cómputo y

• Analíticos.

EVIDENCIA DE AUDITORIA

• EVIDENCIA VIRTUAL• EVIDENCIA DIGITAL

• EVIDENCIA COMPUTACIONAL• EVIDENCIA ELECTRONICA• EVIDENCIA INFORMATICA

EVIDENCIA VIRTUAL

CP Alcedo Ramírez indica «Se define comoun sinónimo de prueba de auditoria la cualno reside en términos tradicionales, sinoestá contenida en medios magnéticos oelectrónicos, pero que puedepotencialmente convertirse en undocumento tradicional».

EVIDENCIAS DIGITALES

Según Ricardo Noreña, socio responsable de Forensicde Ernst & Young.

«Hoy en día, cada vez es más habitual la presentaciónde evidencias digitales en los juzgados: emails, webs,documentos en formato digital como: contratos,presupuestos, propuestas, planes de negocio, lacontabilidad de una empresa almacenada en unaaplicación informática y un largo etcétera».

Evidencia Digital• Casey define la evidencia digital como “cualquierdato que puede establecer que un crimen se ha

ejecutado o puede proporcionar una enlace entre

un crimen y su víctima o un crimen y su autor”.

• “Cualquier información, que sujeta a una

intervención humana u otra semejante, ha sido

extraída de un medio informático”

Es toda información que se extrae de un medio

electrónico, la cual debe cumplir con ciertas

exigencias para su autentificación, debido a que

este tipo de documentación digital no deja rastro

alguno de ser copiado y en el intervalo puede

modificarse.

Evidencia Digital

Evidencia Digital• La evidencia de Digital es muy difícil de eliminar.

• Aún cuando un registro es borrado del disco durodel computador, y éste ha sido formateado, esposible recuperarlo.

• Cuando los individuos involucrados en un crimentratan de destruir la evidencia, existen copias quepermanecen en otros sitios.

Características -Evidencia Computacional• Volátil

• Anónima

• Duplicable

• Contaminable

• Modificable

• Eliminable

Es frágil y una copia de un documento almacenado en unarchivo es idéntica al original.

Potencial de realizar copias no autorizadas de archivos, sindejar rastro de que se realizó una copia.

Clasificación de la Evidencia DigitalCano clasifica la evidencia digital en 3 categorías:

• Registros generados por la computadora.- Son aquellos que

resultan del uso de la PC, los cuales son inalterables por el

usuario y pueden ser usados como prueba.

• Registros almacenados por o en computadores.- Son todos

aquellos archivos creados por el usuario y almacenado en la

PC. En este tipo de registro, es importante poder demostrar la

identidad del creador, y probar lo afirmado en dicha evidencia

misma es verídico.

• Registros híbridos.- Están formados por los registros

generados y los almacenados por la PC.

VISIBLE

• Documentos

• Bases de datos y registros

contables

• Correos electrónicos

• Fotos digitales

• Archivos y carpetas

eliminadas

INVISIBLE

• Registro de usuarios del

sistema y contraseñas

• Logs

• Actividad realizada en

Internet

• Ubicación geográfica de una

computadora

• Impresiones realizadas

• Archivos eliminados

• Remanentes de archivos

• Medios removibles

conectados

• Trafico de red

Clasificación de la Evidencia Digital

Donde obtener de evidencias electrónicas

• Medios de almacenamiento digitales utilizados enordenadores tales como discos duros, discos flexibles,discos ópticos y magneto ópticos, dispositivos de datoscon funciones similares.

• Teléfonos móviles, asistentes digitales personales(PDA), dispositivos electrónicos personales (PED),tarjetas de memoria

• Sistemas de navegación móvil

• Cámaras digitales y de video

• Ordenadores de uso generalizado conectados a redes

• Redes basadas en protocolos TCP / IP y otros.

• Dispositivos con funciones similares a las anteriores

• Documentos de Office: Word, Excel.

• Servicios de mensajería : E-mails, SMSs, etc

• Imágenes digitales: fotos, videos, etc

• Bases de datos

• Ficheros de registro de actividad: LOGS

• Evidencias de host: memoria, conexiones de

red, procesos, usuarios conectados,

configuraciones de red, discos, etc.

Donde obtener de evidencias electrónicas

Evidencia de auditoría en formato electrónico

Es importante que el auditor considere estascircunstancias en la planificación y ejecuciónde su trabajo de auditoría, a efectos de poderevaluar la suficiencia y adecuación de laevidencia que obtendrá en la ejecución de suauditoría y si ésta le permitirá alcanzar unabase objetiva de juicio.

• El riesgo de que la información que soporta lossaldos y transacciones sea destruida o alterada.

• Que dicha destrucción o alteración no seadetectada.

• El riesgo se incrementa cuando dichainformación se inicia, autoriza, procesa yalmacena únicamente en formato electrónico yno existen controles adecuados y efectivos alrespecto.

Riesgos

Por ello el auditor debe considerar:• Si el diseño, implementación y operatividad de

los controles existentes sobre la seguridad de lainformación son adecuados para prevenircambios no autorizados a los sistemas yregistros contables,

• Los sistemas que proporcionan datos relevantesrelacionados con la información financieraobjeto de su revisión.

Qué debe considerar ?

Al considerar la integridad de la evidencia enformato electrónico el auditor puede realizarpruebas de cumplimiento sobre controlesautomáticos tales como pruebas de integridad deregistro, firmas electrónicas y control deversiones.

Dependiendo de la evaluación de estos controles,el auditor puede considerar la realización deprocedimientos de auditoría adicionales.


En el caso de entidades que utilicen sistemas de “comercioelectrónico” o de “procesamiento de imágenes” para elescaneado de documentos y su posterior almacenamiento yconsulta), los documentos originales, tales como órdenes decompra, documentos de entrega, facturas y similares,pueden existir únicamente en formato electrónico o haberseeliminado una vez han sido escaneados.


En cualquier proceso de confirmación elauditor debe considerar y evaluar el riesgo deque las respuestas obtenidas puedan habersido alteradas, independientemente delformato y medio de recepción de dichasrespuestas.

Riesgos

El apartado 33 de la Norma Técnica de Auditoría sobreConfirmaciones de terceros del ICJCE establece que “el

auditor considerará si existen indicios de falta de fiabilidad

de las respuestas recibidas, teniendo en cuenta la

autenticidad de las respuestas y realizando los

procedimientos que le despejen las dudas que tuviera,

pudiendo incluso optar por la conversación telefónica con el

propio tercero, especialmente en los casos de confirmación

mediante fax o correo electrónico”.


Un factor importante para mitigar el riesgo sobrela falta de fiabilidad de las confirmaciones enformato electrónico son los controles existentespara minimizar los riesgos de intercepción,alteración o fraude en las mismas.Si el auditor ha decidido utilizar un proceso deconfirmación electrónica para obtener evidenciade auditoría, es especialmente importante que eldiseño del proceso de confirmación considereadecuadamente los riesgos que ellos implica.


Debe considerar entre otros, los siguientes riesgos:• Los riesgos relativos a la adecuación de la fuente de larespuesta (La respuesta procede del tercero con el que seha realizado la transacción).• Los riesgos relativos a la adecuada autorización de lapersona que responde (La persona que responde tiene elconocimiento de los datos y transacciones objeto deconfirmación y los niveles de autorización suficientespara responder en nombre de la entidad a la que se la hasolicitado).• Los riesgos relativos a la integridad de la transmisión dela respuesta (La respuesta se ha transmitido en suintegridad).

Riesgos en las Confirmaciones

En el caso en que el auditor tenga dudas acerca de lafiabilidad de una confirmación electrónica, ha deplantearse si verificar la fuente y el contenido de dichaconfirmación, mediante los procedimientos que considereoportunos, a modo de ejemplo, se podría contactardirectamente con el supuesto emisor de la misma u optarpor la conversación telefónica con el propio tercero.

El auditor podría, considerar solicitar al tercero el envíode la confirmación también por correo tradicional.


El auditor podría considerar la utilización de otrastécnicas para verificar la identidad del emisor deinformación en formato electrónico y su autorizaciónpara confirmar la información solicitada.

Por ejemplo, el uso de firmas digitales electrónicas,encriptación de datos u otros procedimientos destinadosa incrementar la fiabilidad en cuanto a la autenticidad delas comunicaciones, sitios o portales web, puedeproporcionar un mayor grado de seguridad y fiabilidad aun proceso de confirmación electrónica.


Conclusiones

• Los ordenadores, el software, los dispositivos dealmacenamiento y con ello, los sistemas informáticos hanevolucionado notablemente y lo seguirán haciendo.

• La forma de hacer negocios y de documentar las operacionesque soportan dichos negocios ha cambiado.

• La auditoria a lo largo del tiempo ha evolucionado en lamedida que el comercio lo ha hecho, adaptándose a dichoscambios y sirviendo de soporte a los administradores,inversionistas y demás interesados en la informaciónfinanciera.

• La auditoria es una profesión bien organizada, basada enprincipios Éticos y con normativa que ha permitido que apesar de toda la evolución ocurrida sigamos siendo unaprofesión muy bien reconocida y valorada.

• El auditor debe disponer de evidenciascontundentes que respalden el informe deauditoría.

• Previo a emitir un informe, el auditor debe ser muyprofesional y responsable a la hora de valorar loshechos y las evidencias que será la base para latoma de decisiones.

• En la auditoría no se puede cometer el error deinformar un hecho irregular que no existe, u omitirinformar un hecho irregular que si existe, situaciónque se evita si el trabajo de auditoría se basa enevidencias claras, contundentes y pertinentes.

Conclusiones

Conclusiones

• Como respuesta a la evolución de los negocios y de los sistemasinformáticos ha surgido la auditoria en sistemas computaciones, enla que el empleo de controles manuales e informáticos.

• La auditoria financiera sigue manteniendo sus principios basicosbasados en la obtencion de evidencia suficiente y competentecomo base para emitir nuestra opinion.

• Al ser realizadas las operaciones en un sistema informatico, lasformas de obtener evidencias han cambiado, ya que se requiere laobtencion de evidencias digitales.

• Los CPA’s debemos estar preparados para enfrentar dichoscambios, haciendo parte importante en nuestra formaciónprofesional el conocimiento y manejo de los sistemas informáticos,las normas internacionales de auditoria y los metodos de obtenerlas evidencias digitales.

CPA-Oscar Noé López Cordón, MsC

@López Cordón & Asociados

Móvil (+502) 5401-4747

[email protected]

14-Evidencias Virturales Final INFOCONT

Documents

Transcript of 14-Evidencias Virturales Final INFOCONT