Guía de Ayuda y Referencia a las nuevas Normas Técnicas en la Auditoría de Cuentas en Entornos Informatizados
Tamaño: px
Comenzar la demostración a partir de la página:

Download "Guía de Ayuda y Referencia a las nuevas Normas Técnicas en la Auditoría de Cuentas en Entornos Informatizados"

Transcripción

1 Guía de Ayuda y Referencia a las nuevas Normas Técnicas en la Auditoría de Cuentas en Entornos Informatizados 1. POR QUÉ ISACA 1.1. Qué es ISACA ISACA es una asociación profesional sin ánimo de lucro que reúne en la actualidad en España a más de profesionales de la auditoría, seguridad y gobernanza de los sistemas de la información en sus diferentes facetas (auditores, responsables de seguridad de la información, gestores de riesgo, etc.) entorno a tres principales ubicaciones (Madrid, Barcelona y Valencia) y con una larga tradición (los capítulos de Madrid y Barcelona existen desde hace más de 12 años). ISACA se organiza localmente en base a una estructura de proximidad territorial que compone una organización global con presencia en los cinco continentes, a través de más de 200 capítulos territoriales y con más de asociados a nivel global, siendo la parte española una de las más grandes de Europa (concretamente, la cuarta). ISACA fue fundada en 1969 y desarrolla estándares internacionales de auditoría y control de los sistemas de información que ayudan a sus miembros a garantizar la confianza y el valor de los sistemas de información. Asimismo, certifica los avances y habilidades de los conocimientos de Tecnologías de la Información (en adelante TI) a través de la mundialmente respetada Certified Information Systems Auditor (Auditor Certificado en Sistemas de Información) (CISA). ISACA es generador de conocimiento en los marcos COSO, Basilea y SarbanesOxley, entre otros, y actualiza continuamente COBIT, que aporta a los profesionales y líderes empresariales de TI a cumplir con sus responsabilidades de administración y gestión, particularmente en las áreas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio. Los objetivos de la asociación se centran en la capacitación de los profesionales (existen cuatro certificaciones profesionales) y en el desarrollo de mejores prácticas y marcos de trabajo para facilitar el desempeño de sus funciones, asegurando que los materiales educativos dan soporte a las necesidades formativas de sus miembros y de los profesionales del sector. Para responder a estos requerimientos y dotar de programas de auditoría útiles, el área de formación de ISACA publica programas de auditoría y cuestionarios de control interno para que Página 1

2 sean utilizados por sus asociados. Estos materiales son desarrollados en publicaciones del Information Technology Governance Institute (ITGI), o facilitados por reconocidos profesionales en la materia Motivación El interés de ISACA en esta materia se fundamenta en su amplia trayectoria en el mundo de la auditoría de los sistemas de información y en la consideración de que los sistemas de información están absolutamente implicados en la obtención o emisión de la información financiera de las entidades. El sentimiento de nuestros asociados es que debemos poner al servicio del bien común nuestra visión, conocimientos, experiencias y mejores prácticas que venimos utilizando para contribuir a la mejora del escenario de la auditoría financiera. Desde el capítulo de ISACA Barcelona seguimos trabajando para dotar a los profesionales y a las empresas en general, de herramientas que aumenten la eficiencia de la seguridad, el buen gobierno de los sistemas de información y el control sobre los mismos, retornando criterios de solidez, sostenibilidad, trazabilidad y transparencia en la gestión como beneficio para el conjunto de la sociedad. En este sentido, la publicación y difusión conjunta de esta Guía con el Registro de Auditores de Sistemas de Información-Consejo General de Economistas (RASI-CGE), permite asegurar que los materiales educativos proporcionarán el soporte adecuado a las necesidades formativas de los profesionales de la auditoría, redundando en el desarrollo de mejores prácticas y marcos de trabajo que faciliten el desempeño de la profesión. Las ideas y mejoras propuestas en este documento responden al mejor ejercicio de responsabilidad que hemos sabido realizar y confiamos en que serán de utilidad. 2. Introducción En la actualidad, empresas y entidades utilizan, con carácter general, sistemas informáticos en el procesamiento, registro, almacenamiento, elaboración y presentación de su información financiera, además de, en muchos casos, en el propio ejercicio de su actividad. Este hecho afecta a los sistemas contables y de control interno de las entidades, por lo que el auditor debe tener presente tal circunstancia en el desarrollo de sus trabajos de auditoría de cuentas. La Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados, establece reglas y suministra una guía respecto a los procedimientos a seguir cuando se realice una auditoría en un entorno informatizado. Página 2

3 La aplicación de las nuevas normas técnicas (NIA adaptadas),si bien enfocadas a regular el marco general, lo que implica una mayor aplicación del juicio profesional del auditor de cuentas en su interpretación, supone que el auditor debe llevar a cabo un análisis del control interno en entornos informatizados. 3. Objetivos Esta Guía se refiere a la identificación de los riesgos y los principales objetivos del control interno en entornos informatizados, así como de los procedimientos de auditoría necesarios para revisar y evaluar el control interno en entidades que utilicen sistemas de información para el procesamiento, registro, almacenamiento, elaboración y presentación de su información financiera. Y todo ello llevado a cabo por un auditor de cuentas para la determinación del alcance, naturaleza y momento de realización de las pruebas a las que deberán concretarse los procedimientos de auditoría. 4. Alcance A estos efectos, siguiendo el contenido de la Norma Técnica de Auditoria vigente en el que se establece que el auditor debe tener el conocimiento suficiente de los sistemas informáticos, que le permita planificar, dirigir, supervisar y revisar el trabajo realizado y debe evaluar si es necesario disponer de conocimientos especializados, el alcance del estudio y evaluación dependerá de la importancia y complejidad de los sistemas informáticos implicados en el proceso de elaboración de información financiera, para ello, se ha considerado de interés dotar a los auditores financieros de herramientas que permitan evaluar el grado de complejidad de un entorno informatizado en un trabajo de auditoría, en que las aplicaciones informáticas estén implicadas en la elaboración de información financiera, ciñéndose el alcance de esta Guía a entidades con un grado de complejidad tecnológica Bajo. Los controles internos relativos a los procesos informáticos comprenden tanto los controles generales que afectan al entorno informatizado en su conjunto como los controles de aplicación, específicos de las distintas aplicaciones informáticas implicadas en la elaboración de información financiera con el fin de asegurar razonablemente que todas las transacciones son autorizadas, registradas y procesadas de forma completa, adecuada y oportuna. El alcance de esta Guía aborda únicamente los controles generales al objeto de asegurar razonablemente la consecución de los objetivos generales de control interno. Asimismo, las nuevas Normas Técnicas de Auditoría, de aplicación en las auditorías de cuentas anuales de ejercicios iniciados a partir del 1 de enero de 2014, exigen que el auditor obtenga un conocimiento del entorno de control de la entidad (ver apartado 5 a continuación). Esta Guía de Ayuda y Referencia a las nuevas normas técnicas en la Auditoría de Cuentas en Entornos Informatizados, pretende proporcionar sistematización y juicio a los trabajos de auditoría de cuentas, ayudando a identificar riesgos y sirviendo de modelo para la consecución de los Página 3

4 principales objetivos de control interno, redundando en el control de calidad interno de los auditores y sociedades de auditoría. 5. Impacto de las nuevas normas técnicas Tal como se indica en la NIA 315 adaptada el objetivo del auditor es identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones, mediante el conocimiento de la entidad y de su entorno, incluido su control interno, con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material. Para enfocar el trabajo a realizar es importante considerar la definición de control interno que se incluye en el glosario y en la norma, que es la siguiente: El proceso diseñado, implementado y mantenido por los responsables del gobierno de la entidad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable sobre la consecución de los objetivos de la entidad relativos a la fiabilidad de la información financiera, la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de las disposiciones legales y reglamentarias aplicables. El término "controles" se refiere a cualquier aspecto relativo a uno o más componentes del control interno. En el requerimiento relacionado con el conocimiento de la entidad y su entorno, en el que se incluye el control interno, la norma divide éste en cinco componentes, lo que proporciona un marco útil para que el auditor considere entre otros, el modo en que el sistema de información, incluidos los procesos de negocio relacionados, relevantes para la información financiera, pueden afectar a la auditoría. Reproducimos a continuación las definiciones de estos componentes que se incluyen en la Guía de aplicación y otras anotaciones explicativas de la NIA 315 adaptada: 1. El entorno de control incluye las funciones de gobierno y de dirección, así como las actitudes, grado de percepción y acciones de los responsables del gobierno de la entidad y de la dirección en relación con el control interno de la entidad y su importancia para ella. El entorno de control establece el tono de una organización, influyendo en la conciencia de control de sus miembros. 2. El proceso de valoración del riesgo por la entidad constituye la base con la que la dirección determina el modo en que los riesgos han de gestionarse. Si dicho proceso es adecuado a las circunstancias, incluida la naturaleza, dimensión y complejidad de la entidad, facilita al auditor la identificación de los riesgos de incorrección material. La consideración de que el proceso de valoración del riesgo por la entidad sea adecuado a las circunstancias es una cuestión de juicio. Página 4

5 3. El sistema de información financiera relevante para los objetivos de la información financiera, que incluye el sistema contable, comprende los procedimientos y registros diseñados y establecidos para: iniciar, registrar y procesar las transacciones de la entidad (así como los hechos y condiciones) e informar sobre ellas, así como para rendir cuentas sobre los activos, pasivos y patrimonio neto correspondientes; resolver el procesamiento incorrecto de transacciones, por ejemplo, ficheros de espera automatizados y procedimientos aplicados para reclasificar oportunamente las partidas pendientes de aplicación; procesar y dar cuenta de elusiones del sistema o evitación de los controles; transferir información desde los sistemas de procesamiento de las transacciones al libro mayor; capturar información relevante para la información financiera sobre los hechos y las condiciones distintos de las transacciones, tales como la depreciación y la amortización de activos, así como los cambios en la recuperabilidad de las cuentas a cobrar; y asegurar que se recoge, registra, procesa, resume e incluye adecuadamente en los estados financieros la información que el marco de información financiera aplicable requiere que se revele. La comunicación por la entidad de las funciones y responsabilidades y de las cuestiones significativas relacionadas con la información financiera implica proporcionar conocimiento de las funciones y responsabilidades individuales del control interno sobre la información financiera. 4. Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se siguen las directrices de la dirección. Las actividades de control, tanto en los sistemas de las Tecnologías de la Información, en adelante TI, como manuales, tienen varios objetivos y se aplican a diferentes niveles organizativos y funcionales. 5. El seguimiento de los controles resulta relevante para el auditor para conocer el modo en que la entidad inicia medidas correctoras de las deficiencias en sus controles. Señalar que la guía de aplicación y otras anotaciones explicativas de las NIA adaptadas, incluye apartados específicos analizando las características de los elementos manuales y automatizados del control interno que sean relevantes para la valoración del riesgo por el auditor así como explicaciones de los riesgos derivados de las TI, ya que su utilización afecta al modo en que se implementan las actividades de control. En este sentido se señala que desde el punto de vista del auditor, los controles sobre los sistemas de las TI son eficaces cuando mantienen la integridad de la información y la seguridad de los datos que procesan dichos sistemas, e incluyen controles generales de las TI y controles de aplicaciones eficaces. Continúa la guía señalando en este apartado que: Página 5

6 Los controles generales de las TI son políticas y procedimientos vinculados a muchas aplicaciones y favorecen un funcionamiento eficaz de los controles de las aplicaciones. Son aplicables en entornos con unidades centrales, redes de trabajo y de usuarios finales. Los controles generales de las TI que mantienen la integridad de la información y la seguridad de los datos generalmente incluyen controles sobre lo siguiente: Centros de datos y operaciones de redes. Adquisición, reposición y mantenimiento de software de sistemas. Cambios en los programas. Seguridad de accesos. Adquisición, desarrollo y mantenimiento de aplicaciones. (...) Por su parte, el objetivo de la NIA 330 adaptada es obtener evidencia de auditoría suficiente y adecuada con respecto a los riesgos valorados de incorrección material mediante el diseño e implementación de respuestas adecuadas a dichos riesgos, evidencia que puede basarse en pruebas de controles, sustantivas o una combinación de ambas. La norma requiere al auditor que diseñe e implemente respuestas globales como respuesta a los riesgos valorados de incorrección material en los estados financieros así como procedimientos de auditoría, cuya naturaleza, momento de realización y extensión estén basados en los riesgos valorados de incorrección material en las afirmaciones y respondan a dichos riesgos. Aunque existen más referencias al control interno y su importancia en la valoración del riesgo de incorrección material, consideramos que los párrafos señalados son lo suficientemente ilustrativos para demostrar que las NIA adaptadas, atendiendo a la realidad actual, en la que la inmensa mayoría de entidades auditadas utilizan sistemas de información para la emisión de sus estados financieros, incorporan en su normativa las principales características y como impactan las TI en las auditorías de cuentas. 6. Evaluación del riesgo El auditor para obtener conocimiento de los riesgos de negocio potenciales de la entidad que puedan dar lugar a un riesgo de incorrección material en los estados financieros debería ver, entre otros aspectos, el grado de compatibilidad (alineación) entre los sistemas y los procesos de TI y su correcta identificación, así como determinar si su evaluación permite reducir el alcance del trabajo en el área, al tiempo que se maximiza la eficiencia y efectividad de los procedimientos aplicados. Adicionalmente, las NIA adaptadas refuerzan o explicitan más que las normas técnicas actuales la necesidad de conocer el control interno, entendido en un sentido amplio, para poder evaluar los Página 6

7 riesgos de incorrección material y después diseñar unas respuestas adecuadas a éstos y por tanto, resulta fundamental, que el auditor obtenga una seguridad razonable sobre la fiabilidad de la información financiera, su eficacia y la eficiencia de las operaciones. Por ello, obtener conocimiento de cómo operan los controles automatizados relevantes se vuelve imprescindible y adquiere un nivel de importancia, si cabe, superior al de los controles manuales Controles automatizados Cabe matizar, como indican las propias NIA adaptadas, la existencia de dos categorías de controles automatizados, los de carácter general y los de aplicación. Los primeros, se circunscriben en el modo en que la entidad ha dado respuesta a los riesgos derivados de TI y afectan directamente a la fiabilidad de la información financiera, mientras que los de aplicación se ciñen en mayor medida en la eficacia y eficiencia de las operaciones. Resulta sustancial destacar que los controles generales no operan de forma inconexa a los controles de aplicación, siendo esenciales para dotar de fiabilidad a estos últimos, y proporcionan al entorno de control, una base adecuada para los controles de aplicación y para los demás componentes de control interno. Es decir, carece de sentido confiar en controles de aplicación si no se tiene la seguridad del correcto funcionamiento de los generales. Esto supone, como también apuntan las NIA adaptadas, que el auditor debería contemplar el diseño de pruebas sobre un conjunto de controles generales de sistemas de información en tres áreas esenciales; seguridad, desarrollo y explotación que periódicamente probará. El número y la granularidad del conjunto de controles generales de TI a aplicar sobre cada una de las áreas esenciales variarán en función de la complejidad tecnológica de la entidad, observando un mayor nivel de detalle cuanto mayor sea la complejidad tecnológica Grado de Complejidad de TI Resulta necesario destacar cómo la complejidad de TI de la entidad incide directamente en los riesgos de incorrección material de los estados financieros y en este sentido, el auditor no debe omitir este componente de riesgo de la entidad. La complejidad de TI, relaciona los controles generales automatizados con el entorno de control y proporcionan una base adecuada para los demás componentes del control interno. A estos efectos, la puesta en práctica de las NIA, en una entidad que utilice sistemas de información para proporcionar información financiera; es decir, en prácticamente la totalidad de los encargos de auditoría, requiere que para obtener un conocimiento completo y adecuado del control interno de la entidad, el auditor, en primer lugar, evalúe el grado de complejidad de TI. Página 7

8 7. La Guía de Ayuda y Referencia 7.1. Descripción La Guía de Ayuda y Referencia a las nuevas Normas Técnicas en la Auditoría de Cuentas en Entornos Informatizados consta de dos partes. La primera consta de dos documentos en Excel que hacen referencia al Grado de Complejidad de las Tecnologías de la Información de la entidad auditada y proporciona mediante la respuesta tabulada a las 24 preguntas de su cuestionario, el grado de complejidad tecnológica de una entidad que emplee sistemas de información para la obtención o emisión de información financiera, estableciendo tres niveles de complejidad: Bajo, Medio y Alto. Este cuestionario de Selección de Grado de Complejidad de TI está pensado para ser una herramienta objetiva que aporte al auditor una base adecuada para obtener conocimiento general sobre las TI de cada cliente, permitiendo al mismo tiempo, valorar si es necesario disponer de conocimientos de TI especializados y en qué medida. La segunda parte Guía de controles generales de sistemas de información recoge las pruebas de diseño y las pruebas de eficacia a aplicar sobre los controles generales de la entidad auditada que permita al auditor que desempeñe un encargo de auditoría de cuentas en una entidad con un sistema de información con un grado de complejidad Bajo, comprobar si los controles generales de TI son efectivos y en caso de que lo estime oportuno realizar las correspondientes pruebas de controles. A su vez, los controles generales se aplican a los tres dominios contemplados en las NIA adaptadas: Seguridad Lógica y Física Procesos de cambio en aplicaciones, adquisiciones y nuevos desarrollos Explotación de sistemas Estos dominios incorporan controles alineados con las NIA adaptadas y tratan la forma en que impactan los sistemas de información en el control interno de la entidad. Cada uno de los controles ha sido desarrollado para obtener evidencia de auditoría suficiente y adecuada e incluyen el riesgo de control, la prueba de diseño, su efectividad operativa y una guía de aplicación de los controles Grado de Complejidad de las Tecnologías de la Información en la entidad auditada El grado de complejidad de TI en la entidad auditada se detalla en el documento Excel disponible en el siguiente enlace, Papel de trabajo del grado de complejidad de TI y resulta importante para su compresión ver la Hoja Grado complejidad TI del mismo. El cuestionario Selección grado, proporciona mediante la respuesta tabulada de sus 24 preguntas el nivel de complejidad tecnológica de una entidad que utilice sistemas de información en la obtención o emisión de información financiera. Permite evaluar al auditor de cuentas el grado Página 8

9 de complejidad TI de esa entidad y evaluar, por tanto, si es necesario disponer de conocimientos especializados y en qué medida Controles Generales de TI El documento Excel que permite comprobar al auditor de cuentas si los controles generales de TI son efectivos y en caso de que lo estime oportuno realizar las correspondientes pruebas de controles se encuentra disponible en el siguiente enlace Papel de trabajo de Controles Generales Los controles generales se aplican a los tres dominios contemplados en las NIA adaptadas Dominio 1 Seguridad Lógica y Física Consta de 9 controles, cada uno de ellos incorpora sus pruebas de diseño, sus pruebas de efectividad operativa, una guía de aplicación de los controles y el riesgo del control Dominio 2 Procesos de cambio en aplicaciones, adquisiciones y nuevos desarrollos Considera los procesos de cambio en las aplicaciones sean estas realizadas mediante su mantenimiento o bien mediante adquisiciones o nuevos desarrollos, desde la misma entidad o a través de proveedores de servicios externos. Consta de 11 controles con sus pruebas de diseño, efectividad operativa, una guía de aplicaciónde los controles y el riesgo del control Dominio 3 Explotación de sistemas Consta de 11 controles con las pruebas de diseño, efectividad operativa, la guía de aplicación de los controles y el riesgo del control 7.4. Beneficios La incorporación de la Guía de Ayuda y Referencia a las nuevas Normas Técnicas en la Auditoría de Cuentas en Entornos Informatizados proporciona al auditor de cuentas: Conocimiento del control interno de la entidad auditada Familiarizarse con el entorno y el lenguaje de las TI Incrementa la formación técnica relativa al control interno de una auditoría de cuentas que se realiza en un entorno informatizado Proporciona una guía de evaluación de los entornos informatizados basada en las nuevas Normas Técnicas en la Auditoría de Cuentas en Entornos Informatizados Página 9

10 8. Agradecimientos Para concluir, agradecer el trabajo desinteresado de los miembros del Comité Redactor: Joaquim Altafaja Diví, CISA, CISM, CGEIT Yazomary García, Comité Técnico del REA+REGA-CGE Ignacio Guimarans Rivas, CISA, CISM Rosa Puigvert, Directora Técnica del CCJCC Marcos Sánchez Sotes, CISA, CISM, CRISC ErmengolSanmartí Giménez, CISA, CDPP Albert Santisteve Prim, CISA, CGEIT, CRISC Enric Vilá García, ROAC, CISA A todos ellos nuestro más sincero agradecimiento sin su participación esta Guía no hubiese visto la luz. A Carlos Puig de Travy, Presidente del REA+REGA y del RASI que ponía presión cuando el Comité se relajaba en exceso. A Sara Argüello, Secretaria Técnica del RASI por estar siempre ahí. Y a las corporaciones de derecho público representativas de quienes realizan la actividad de auditoría de cuentas por su inestimable colaboración y apoyo. Esperamos que esta guía sea de utilidad a los auditores de cuentas en su reto de adaptación a las nuevas Normas Técnicas de Auditoría de Cuentas cuando el trabajo de auditoría se desarrolle en una entidad que cuente con un sistema de información para la obtención o emisión de su información financiera. Página 10

Documentos relacionados
2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback