Porqué es necesaria la auditoría de sistemas de información. Adopción del enfoque de riesgo. Integración de auditoría financiera y auditoría informática

Anuncio
17/02/2011
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
Integración de la Auditoría de Sistemas de Información en las Fiscalizaciones
Antonio Minguillón Roy
Sindicatura de Cuentas de la CV
Contenido
• ¿Por qué es necesaria la Auditoría de Sistemas de Información?
• Adopción del enfoque de riesgo
• Integración de la ASI‐Fiscalizaciones
• Planteamiento de la Sindicatura
• Experiencia (2007‐2010)
• Principales dificultades • Futuro IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
2
1
17/02/2011
¿Por qué es necesaria la Auditoría de Sistemas de Información?
… lo exigen las normas técnicas de auditoría
IV Foro Tecnológico de los OCEX
3
Valencia, 14‐15 de febrero de 2011
¿Por qué es necesaria la Auditoría de Sistemas de Información?
… es la única forma de reducir el riesgo de auditoría a un nivel aceptable.
+ e‐admin
+ riesgo TI ‐
+ ASI
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
4
2
17/02/2011
Adopción del enfoque de riesgo
• La ASI por sí misma puede ser un área de trabajo válida e independiente, encuadrable entre los objetivos generales de los OCEX.
Pero no es esto lo que nos ha movido en la Sindicatura.
• La principal motivación para desarrollar la ASI, ha sido reducir los riesgos de auditoría.
Para ello es absolutamente necesario integrar la metodología de AF y ASI, mediante la adopción del enfoque de riesgo.
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
5
Integración de la ASI en las Fiscalizaciones
Quiere decir entender cómo y por qué los AFs y los AIs
deben trabajar juntos
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
6
3
17/02/2011
Trabajar de forma integrada
Si no se introduce la metodología ASI de forma integrada con la AF
las fiscalizaciones serán, con seguridad, ineficientes y,
cada vez en mayor medida, ineficaces. Esta integración solo se puede conseguir adoptando un enfoque de auditoría basado en el análisis de los riesgos.
IV Foro Tecnológico de los OCEX
7
Valencia, 14‐15 de febrero de 2011
Adopción del enfoque de riesgo e integración de la ASI en las fiscalizaciones
Área de eficiencia
Universo TI
Información financiera
Riesgo de Manifestaciones Erróneas Significativas
IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011
8
4
17/02/2011
Niveles de riesgo
General Planteamiento plurianual del OCEX
Mapa anual entidades/áreas de riesgo
Específico
Entidad‐Cuentas anuales
RMES (saldos, transacciones, información)
Procesos de gestión/negocio
IV Foro Tecnológico de los OCEX
9
Valencia, 14‐15 de febrero de 2011
Estudio detallado de los sistemas de información
AF
AI
IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011
10
5
17/02/2011
Planteamiento a largo plazo • Permite abordar los problemas con la perspectiva necesaria.
• No es un proceso fácil.
• La inclusión de la ASI como objetivo estratégico permite introducir dos factores clave para el éxito de un proyecto de esta naturaleza: decisión política y liderazgo.
• Concienciación y formación.
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
11
Planteamiento de la Sindicatura
•
•
•
•
•
Definir para qué queremos la ASI
Especialización: la UASI
Colaboración externa: vital
Normas técnicas ASI: identificar y concretar
Desarrollo de metodología
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
12
6
17/02/2011
Experiencia (2007‐2010)
«Retorno los orígenes»
Mejora en la eficiencia
Mejora en la calidad
Mejora en el conocimiento de las entidades y procesos auditados
• Mejora de las relaciones con los fiscalizados
• Colaboración externa indispensable
•
•
•
•
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
13
Principales dificultades experimentadas al introducir la ASI
• Falta de conocimientos y formación
• Falta de experiencia en el entorno público (y poca en el privado)
• Ausencia de literatura técnica
• Elementos de trabajo «intangibles», no visibles
• Dificultad para definir objetivos concretos • Dificultad para definir el ámbito de colaboración concreto con los expertos externos (qué contratar)
IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011
14
7
17/02/2011
Futuro:
adaptación a un mundo digital
Las presentaciones en este Foro relacionadas con la e‐admin, y nuestra experiencia cotidiana en la fiscalizaciones, nos permiten concluir que SOLO SI introducimos en nuestras fiscalizaciones
la metodología ASI adaptada a los nuevos tiempos PODREMOS realizarlas con un grado aceptable de riesgo y de eficacia.
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
15
Futuro:
perspectivas en la Sindicatura
• Hemos pasado de 1 (2008) a 3 (2011) personas
• Vamos a continuar colaborando con expertos externos (en áreas/tecnologías nuevas)
• Se va a difundir progresivamente la metodología del enfoque de riesgo en las auditorías en entornos TI complejos:
Guías de fiscalización
• Aprovechamiento de herramientas como TeamRisk
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
16
8
17/02/2011
Futuro
NO HAY OTRO CAMINO:
Continuidad y profundización en la línea de trabajo iniciada en 2007
IV Foro Tecnológico de los OCEX
Valencia, 14‐15 de febrero de 2011
17
9
Descargar