Contabilidad
Páginas: 9 (2118 palabras)
Publicado: 18 de agosto de 2010
Riesgo inherente
El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo la inexistencia de controles internos relacionados. Por ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es normalmente alto dado que los cambios en los datos o programas, oaun su divulgación, a través de las deficiencias en la seguridad del sistema operativo podrían tener como resultado una desventaja competitiva o información de gestión falsa. Por otro lado, el riesgo inherente asociado a la seguridad de una PC independiente es normalmente bajo, cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos de negocio.
El riesgo inherente para lamayoría de las áreas de auditoría de TI es normalmente alto dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de negocios y a un gran número de usuarios.
Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los controles generales de TI como los detallados. Ello no se aplica en los casos en que la tarea del Auditor Interno estérelacionada exclusivamente con controles generales.
En lo que respecta a los controles generales de TI, el Auditor Interno debe tener en cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:
• La integridad, experiencia y conocimiento de la Gerencia de TI.
• Los cambios en la Gerencia de TI.
• La presión ejercida sobre la Gerencia de TI, que puede predisponerla aocultar o distorsionar información (por ej., pérdida de datos en grandes proyectos críticos de negocios, actividades de hackers, etc.).
• La naturaleza del negocio y de los sistemas de la organización (por ej., la posibilidad de ejercer el comercio electrónico, la complejidad de los sistemas, la falta de sistemas integrados, etc.).
• Los factores que afectan el rendimiento de laorganización en general (por ej., cambios tecnológicos, disponibilidad del personal de TI, etc.).
• El grado de influencia de terceros en el control de los sistemas auditados (por ej., debido a la integración de la cadena de suministro, la tercerización de los procesos de TI, las alianzas estratégicas de negocio y el acceso directo de los clientes).
Al nivel de los controles detallados de TI, elAuditor Interno debe tener en cuenta, en el nivel apropiado para el área de auditoría en cuestión:
• Los hallazgos y fecha de auditorías anteriores en el área.
• La complejidad de los sistemas involucrados.
• El nivel de intervención manual requerida.
• La propensión a la pérdida o apropiación indebida de los bienes controlados por el sistema (por ej., inventario, nómina, etc.).• La probabilidad de que se produzcan picos de actividad en ciertos momentos del período de auditoría.
• Las actividades que no estén comprendidas en la rutina de procesamiento de SI (por ej., el uso de los utilitarios del sistema operativo para corregir datos, etc.).
• La integridad, experiencia y habilidades de la gerencia y el personal que participan en la aplicación de los controlesde TI.
Riesgo de Control
Es el riesgo por el que un error, que podría cometerse en un área de auditoría -y que podría ser material, individualmente o en combinación con otros-, no pueda ser evitado o detectado y corregido oportunamente por el sistema de control interno. Por ejemplo, el riesgo de control asociado a las revisiones manuales de registros computadorizados es normalmente alto debidoa que las actividades que requieren investigación a menudo se pierden con facilidad por el volumen de información registrada. El riesgo de control asociado a los procedimientos computarizados de validación de datos es normalmente bajo puesto que los procesos se aplican con regularidad.
El Auditor Interno debe evaluar el riesgo de control como un riesgo alto a menos que los controles internos...
El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo la inexistencia de controles internos relacionados. Por ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es normalmente alto dado que los cambios en los datos o programas, oaun su divulgación, a través de las deficiencias en la seguridad del sistema operativo podrían tener como resultado una desventaja competitiva o información de gestión falsa. Por otro lado, el riesgo inherente asociado a la seguridad de una PC independiente es normalmente bajo, cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos de negocio.
El riesgo inherente para lamayoría de las áreas de auditoría de TI es normalmente alto dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de negocios y a un gran número de usuarios.
Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los controles generales de TI como los detallados. Ello no se aplica en los casos en que la tarea del Auditor Interno estérelacionada exclusivamente con controles generales.
En lo que respecta a los controles generales de TI, el Auditor Interno debe tener en cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:
• La integridad, experiencia y conocimiento de la Gerencia de TI.
• Los cambios en la Gerencia de TI.
• La presión ejercida sobre la Gerencia de TI, que puede predisponerla aocultar o distorsionar información (por ej., pérdida de datos en grandes proyectos críticos de negocios, actividades de hackers, etc.).
• La naturaleza del negocio y de los sistemas de la organización (por ej., la posibilidad de ejercer el comercio electrónico, la complejidad de los sistemas, la falta de sistemas integrados, etc.).
• Los factores que afectan el rendimiento de laorganización en general (por ej., cambios tecnológicos, disponibilidad del personal de TI, etc.).
• El grado de influencia de terceros en el control de los sistemas auditados (por ej., debido a la integración de la cadena de suministro, la tercerización de los procesos de TI, las alianzas estratégicas de negocio y el acceso directo de los clientes).
Al nivel de los controles detallados de TI, elAuditor Interno debe tener en cuenta, en el nivel apropiado para el área de auditoría en cuestión:
• Los hallazgos y fecha de auditorías anteriores en el área.
• La complejidad de los sistemas involucrados.
• El nivel de intervención manual requerida.
• La propensión a la pérdida o apropiación indebida de los bienes controlados por el sistema (por ej., inventario, nómina, etc.).• La probabilidad de que se produzcan picos de actividad en ciertos momentos del período de auditoría.
• Las actividades que no estén comprendidas en la rutina de procesamiento de SI (por ej., el uso de los utilitarios del sistema operativo para corregir datos, etc.).
• La integridad, experiencia y habilidades de la gerencia y el personal que participan en la aplicación de los controlesde TI.
Riesgo de Control
Es el riesgo por el que un error, que podría cometerse en un área de auditoría -y que podría ser material, individualmente o en combinación con otros-, no pueda ser evitado o detectado y corregido oportunamente por el sistema de control interno. Por ejemplo, el riesgo de control asociado a las revisiones manuales de registros computadorizados es normalmente alto debidoa que las actividades que requieren investigación a menudo se pierden con facilidad por el volumen de información registrada. El riesgo de control asociado a los procedimientos computarizados de validación de datos es normalmente bajo puesto que los procesos se aplican con regularidad.
El Auditor Interno debe evaluar el riesgo de control como un riesgo alto a menos que los controles internos...
Leer documento completo
Regístrate para leer el documento completo.