Técnica de Evaluación de Riesgos
Técnica de Evaluación de Riesgos
Técnica de Evaluación de Riesgos
· Las opiniones de otros usuarios de la técnica y sus puntos de vista sobre su eficacia
en la tarea de mejorar la eficiencia y/o efectividad de sus auditorías.
El Auditor de SI debe tener en cuenta los siguientes tipos de riesgo, a fin de determinar
su nivel global:
· Riesgo inherente
· Riesgo de control
· Riesgo de detección
Riesgo inherente
Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los controles
generales de TI como los detallados.
En lo que respecta a los controles generales de TI, el Auditor Interno debe tener en
cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:
Al nivel de los controles detallados de TI, el Auditor Interno debe tener en cuenta, en el
nivel apropiado para el área de auditoría en cuestión:
Riesgo de Control
Es el riesgo por el que un error, que podría cometerse en un área de auditoría -y que
podría ser material, individualmente o en combinación con otros, no pueda ser evitado o
detectado y corregido oportunamente por el sistema de control interno. Por ejemplo, el
riesgo de control asociado a las revisiones manuales de registros computadorizados es
normalmente alto debido a que las actividades que requieren investigación a menudo se
pierden con facilidad por el volumen de información registrada. El riesgo de control
asociado a los procedimientos computarizados de validación de datos es normalmente
bajo puesto que los procesos se aplican con regularidad.
El Auditor Interno debe evaluar el riesgo de control como un riesgo alto a menos que
los controles internos pertinentes:
· Se identifiquen
· Se consideren eficaces
Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor Interno
no detectan un error que podría ser material, individualmente o en combinación con
otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de
la seguridad en un sistema de aplicación es normalmente alto, debido a que en el
transcurso de la auditoría, los registros de todo su período no se encuentran disponibles.
El riesgo de detección asociado con la identificación de la falta de planes de
recuperación ante desastres es normalmente bajo, dado que su existencia puede
verificarse con facilidad.
Documentación
· Proveer aseguramiento sobre la eficiencia con la cual los riesgos están siendo
gestionados.
Las TAACs son programas y datos de computadora que el auditor usa como parte de
los procedimientos de auditoría para procesar datos importantes para la auditoría
contenidos en los sistemas de información de una entidad. Los datos pueden ser datos
de transacciones, sobre los que el auditor desea realizar pruebas de controles o
procedimientos sustantivos, o pueden ser otros tipos de datos.
• Los programas de utilerías se usan por una entidad para desempeñar funciones
comunes de procesamiento de datos, tales como clasificación, creación e impresión de
archivos. Estos programas generalmente no están diseñados para propósitos de
auditoría.
• Los programas de administración del sistema son herramientas de productividad
mejorada que típicamente son parte de un ambiente sofisticado de sistemas operativos,
por ejemplo, software de recuperación de datos o software de comparación de códigos.
Incluyen:
Fotos instantáneas: Esta técnica implica tomar una foto de una transacción mientras
fluye por los sistemas de computadora. Esta técnica permite al auditor rastrear los datos
y evaluar los procesos de computadora aplicados a los datos.
Archivo de revisión de auditoría del control del sistema. Este implica incorporar
módulos de software de auditoría dentro de un sistema de aplicaciones para
proporcionar monitoreo continuo de las transacciones del sistema.
Ventajas:
En algunos casos, las laptops serán enlazadas a los sistemas de computadora central del
auditor. Ejemplos de estas técnicas incluyen:
· Efectividad y eficiencia
· Oportunidad.
Antes de usar TAACs el auditor considera los controles incorporados en el diseño de los
sistemas de computadora de la entidad a los que se aplicarían éstas para determinar
cómo deberían emplearse.
Conocimiento, pericia y experiencia del equipo de auditoría del ambiente de CIS
Efectividad y eficiencia
Los asuntos relacionados con la eficiencia que pueden ser considerados por el auditor
incluyen:
Ciertos datos, como detalles de transacciones, a menudo se conservan por sólo un corto
tiempo, y pueden no estar disponibles en forma legible por la máquina para cuando el
auditor lo requiere.
Cuando el tiempo disponible para desempeñar una auditoría sea limitado, el auditor
puede planear el uso de una TAAC, porque cumplirá con su requerimiento de tiempo
mejor que otros procedimientos posibles.
Utilización de TAACs
Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:
Los procedimientos específicos necesarios para controlar el uso de una TAAC dependen
de la aplicación particular. Al establecer el control, el auditor considera la necesidad de:
Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones de la
TAAC pueden incluir:
Documentación
a) Planeación
• Objetivos de la TAAC;
b) Ejecución
c) Evidencia de auditoría
• Conclusiones de auditoría.
d) Otros
• Además, puede ser útil documentar las sugerencias para usar la TAAC en años
futuros.