AUDITOR - PowerPoint PPT Presentation

Loading...

PPT – AUDITOR PowerPoint presentation | free to download - id: 420797-ZjU4N



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

AUDITOR

Description:

Qu es la Auditor a de Redes? Identificar los conceptos b sicos requeridos para la pr ctica de auditor a de redes de voz y datos. La Auditor a Inform tica ... – PowerPoint PPT presentation

Number of Views:528
Avg rating:3.0/5.0
Slides: 147
Provided by: Luc182
Learn more at: http://18lupe.files.wordpress.com
Category:

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: AUDITOR


1
AUDITORIA DE REDES
Mtra. Lucero J. Govea
2
AUDITORIA DE REDES
  • Qué es la Auditoría de Redes?

Investigar
Revisar y Verificar
Evaluar
Recomendar
3
Qué se debe revisar?
Diseño de la Red
4
AUDITORIA DE REDES
Verificar Cableado
Qué se debe revisar?
5
Instalaciones Electricas
Qué se debe revisar?
6
Qué se debe revisar?
Tráfico de Red
7
Climatización de Servidores
Qué se debe revisar?
8
Procedimientos de Respaldos
Qué se debe revisar?
9
Licencias del Software
Qué se debe revisar?
10
Inventario de Equipos
Qué se debe revisar?
11
Unidad I
  • Identificar los conceptos básicos requeridos para
    la práctica de auditoría de redes de voz y datos.

Propósito
12
CONOCIMIENTOS DE LA UNIDAD DE APRENDIZAJE AUDITO
RÍA DE REDES UNIDAD DE COMPETENCIA I
13
CONCEPTO DE AUDITORÍA A LAS TECNOLOGÍAS DE LA
INFORMACIÓN
TIPOS DE AUDITORÍA
ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA
ESTÁNDARES, DIRECTRICES, PROCEDIMIENTOS Y GUÍAS
DE AUDITORÍA
CÓDIGO DE ÉTICA PROFESIONAL DEL AUDITOR
EL CONTROL INTERNO
14
RIESGOS DE AUDITORÍA Y MATERIALIDAD
DETECCIÓN DE FRAUDES
AUTOEVALUACIÓN DEL CONTROL
COBIT
ITIL
MARCO JURÍDICO NORMATIVO DE LA FUNCIÓN DE
AUDITORÍA
15

Presentación
  • La Auditoría Informática constituye una serie de
    exámenes que se realizan en un sistema
    informático de manera periódica o esporádica, con
    el propósito de analizar y evaluar la
    planificación, la eficacia, sus objetivos de
    control, la seguridad, economía y por supuesto la
    detección de irregularidades que se podrían
    manifestar en el procesamiento de la información.

16

Presentación
  • La Auditoría Informática comprende la revisión y
    la evaluación independiente y objetiva, del
    ambiente y del entorno informático de una
    organización. Comprende la evaluación de todas o
    algunas de sus áreas, los estándares y
    procedimientos en vigor, su calidad y el
    cumplimiento de ellos, de los objetivos fijados,
    de los contratos y las normas legales aplicables
    el grado de satisfacción de usuarios y
    directivos los controles existentes y un
    análisis de los riesgos.

17

Presentación
Presentación
  • El curso está centrado en el análisis de los
    aspectos teóricos, metodológicos y técnicos de
    los diversos temas que comprende la auditoría
    informática. El propósito fundamental es el de
    ofrecer a los estudiantes, métodos y
    procedimientos que apoyados en tecnologías de la
    información fortalezcan el aprendizaje
    significativo.

18

Presentación
  • Comprende la enseñanza aprendizaje de 5
    unidades didácticas que tendrán como diferentes
    recursos para lograr la construcción del
    conocimiento de los estudiantes.

19
Definiendo Auditoría
  • La palabra auditoría viene del latín
    auditorius, y de esta proviene auditor el que
    tiene la virtud de oír revisor de cuentas
    colegiado
  • El auditor tiene la virtud de oír y revisar
    cuentas, encaminado a un objetivo específico,
    evaluar la eficiencia y eficacia con que se está
    operando para que por medio de señalamientos , se
    tomen decisiones que permitan corregir los
    errores en caso de que existan o mejorar la forma
    de actuación.

20
Definiendo Auditoría
  • con frecuencia la palabra auditoría se ha
    empleado incorrectamente y se le ha considerado
    una evaluación cuyo único fín es detectar errores
    y señalar fallas, por eso la frase tan utilizada
    tiene auditoría como sinónimo de que antes de
    realizarse, ya se encontraron fallas y por lo
    tanto se está haciendo la auditoría.

21
Definiendo Auditoría
  • El concepto de auditoría es más amplio no solo
    detecta errores
  • es un examen crítico con la finalidad de evaluar
    la eficiencia y eficacia de una sección o un
    organismo,
  • Determinar cursos alternativos de acción para
    mejorar la organización y lograr los objetivos
    propuestos

22
CONCEPTO DE AUDITORÍA A LAS TECNOLOGÍAS DE LA
INFORMACIÓN
23
Concepto de Auditoríaa las tecnologías de la
Información
  • La Auditoria de TECNOLOGIAS DE INFORMACION
    (T.I.), como se le conoce actualmente, (Auditoria
    informática o Auditoria de sistemas en nuestro
    medio).
  • En algunos países altamente desarrollados es
    catalogada como una actividad de apoyo vital para
    el mantenimiento de la infraestructura crítica de
    una nación, tanto en el sector público como
    privado, en la medida en que la INFORMACION es
    considerada un activo tan o más importante que
    cualquier otro en una organización.

24
Concepto de Auditoríaa las tecnologías de la
Información
  • Existen, normas, técnicas y buenas practicas
    dedicadas a la evaluación y aseguramiento de la
    calidad, seguridad, razonabilidad, y
    disponibilidad de la INFORMACION tratada y
    almacenada a través de la computadora y equipos
    afines, así como de la eficiencia, eficacia y
    economía con que la administración de un ente
    están manejando dicha INFORMACION y todos los
    recursos físicos y humanos asociados para su
    adquisición, captura, procesamiento, transmisión,
    distribución, uso y almacenamiento.

25
Concepto de Auditoríaa las tecnologías de la
Información
  • Cuyo objetivo es una opinión o juicio, para lo
    cual se aplican técnicas de auditoria de general
    aceptación y conocimiento técnico específico.

26
Concepto de Auditoríaa las tecnologías de la
Información
  • apoyada por un conjunto de conocimientos acerca
    de la tecnología informática, de técnicas y
    procedimientos de auditoría y de conocimientos
    contables, para evaluar la calidad, fiabilidad y
    seguridad de un entorno informático dado, así
    como brindar seguridad razonable acerca de la
    utilidad de la información almacenada y procesada
    en ellos, con el fin de emitir un juicio al
    respecto.

27
Concepto de Auditoría
  • Finalmente, deberá expresar su opinión acerca del
    grado de eficiencia, eficacia y economía con que
    están siendo usados - administrados todos los
    recursos de tecnología informática a cargo de la
    administración, incluido el factor humano.

28
Auditoría de Red
  • La globalización, la competencia y los
    avancestecnológicos están aumentando la
    importancia de las redes corporativas en todos
    los sectores empresariales.
  • Las empresas con mayor visión deben estar
    preparadas para una creciente dependencia de sus
    redes y, en consecuencia, para un crecimiento de
    red exponencial.Además, La infraestructura de
    las Tecnologías de la Información y de las
    Comunicaciones (TIC) se ha convertido en un
    activo empresarial estratégico y la red
    constituye su núcleo.

29
Concepto
CONCEPTO
Una Auditoria de Redes es, en esencia, unaserie
de mecanismos mediante los cuales sepone a
prueba una red informática, evaluandosu
desempeño y seguridad, a fin de lograr
unautilización más eficiente y segura de
lainformación. El primer paso para iniciar
unagestión responsable de la seguridad
esidentificar la estructura física
(hardware,topología) y lógica (software,
aplicaciones) delsistema (sea un equipo, red,
intranet, extranet),y hacerle una Análisis de
Vulnerabilidad, parasaber en qué grado de
exposición nosencontramos
  • Una Auditoria de Redes es, en esencia, una serie
    de mecanismos mediante los cuales se pone a
    prueba una red informática, evaluando su
    desempeño y seguridad, a fin de lograr una
    utilización más eficiente y segura de la
    información.

30
Concepto
  • El primer paso para iniciar unagestión
    responsable de la seguridad esidentificar la
    estructura física (hardware,topología) y lógica
    (software, aplicaciones) del sistema (sea un
    equipo, red, intranet, extranet), y hacerle una
    Análisis de Vulnerabilidad, para saber en qué
    grado de exposición nos encontramos.

31
Concepto
  • Así, hecha esta "radiografía" de la red,
    seprocede a localizar sus fallas máscríticas,
    para proponer una Estrategia deSaneamiento de
    los mismos un Plan deContención ante posibles
    incidentes y unSeguimiento Contínuo del
    desempeño delsistema.

32
TIPOS DE AUDITORÍA
33
Tipos de Auditoría
  • Auditoría Interna y Auditoría Externa
  • La auditoría interna es la realizada con recursos
    materiales y personas que pertenecen a la empresa
    auditada.
  • Los empleados que realizan esta tarea son
    remunerados económicamente. La auditoría interna
    existe por expresa decisión de la Empresa, o sea,
    que puede optar por su disolución en cualquier
    momento.

34
Auditoría externa
  • Realizada por personas afines a la empresa
    auditada es siempre remunerada.
  • Se presupone una mayor objetividad que en la
    Auditoría Interna, debido al mayor
    distanciamiento entre auditores y auditados.

35
Auditoría informática interna
  • La auditoría informática interna cuenta con
    algunas ventajas adicionales muy importantes
    respecto de la auditoría externa, las cuales no
    son tan perceptibles como en las auditorías
    convencionales.
  • La auditoría interna tiene la ventaja de que
    puede actuar periódicamente realizando Revisiones
    globales, como parte de su Plan Anual y de su
    actividad normal. Los auditados conocen estos
    planes y se habitúan a las Auditorías,
    especialmente cuando las consecuencias de las
    Recomendaciones habidas benefician su trabajo.

36
Auditoría informática interna
  • En una empresa, los responsables de Informática
    escuchan, orientan e informan sobre las
    posibilidades técnicas y los costeo de tal
    Sistema. Con voz, pero a menudo sin voto,
    Informática trata de satisfacer lo más
    adecuadamente posible aquellas necesidades. La
    empresa necesita controlar su Informática y ésta
    necesita que su propia gestión esté sometida a
    los mismos Procedimientos y estándares que el
    resto de aquella.
  • La conjunción de ambas necesidades cristaliza en
    la figura del auditor interno informático.

37
Auditoría informática interna
  • En cuanto a empresas se refiere, solamente las
    más grandes pueden poseer una Auditoría propia y
    permanente, mientras que el resto acuden a las
    auditorías externas. Puede ser que algún
    profesional informático sea trasladado desde su
    puesto de trabajo a la Auditoría Interna de la
    empresa cuando ésta existe. Finalmente, la propia
    Informática requiere de su propio grupo de
    Control Interno, con implantación física en su
    estructura, puesto que si se ubicase dentro de la
    estructura Informática ya no sería independiente.

38
Auditoría informática interna
  • Hoy, ya existen varias organizaciones
    Informáticas dentro de la misma empresa, y con
    diverso grado de autonomía, que son coordinadas
    por órganos corporativos de Sistemas de
    Información de las Empresas.

39
Auditoría informática interna
  • Una Empresa o Institución que posee auditoría
    interna puede y debe en ocasiones contratar
    servicios de auditoría externa. Las razones para
    hacerlo suelen ser
  • 1) Necesidad de auditar una materia de gran
    especialización, para la cual los servicios
    propios no están suficientemente capacitados.

40
Ausitoría informática interna
  • 2) Contrastar algún Informe interno con el que
    resulte del externo, en aquellos supuestos de
    emisión interna de graves recomendaciones que
    chocan con la opinión generalizada de la propia
    empresa.
  • 3) Servir como mecanismo protector de posibles
    auditorías informáticas externas decretadas por
    la misma empresa.

41
Auditoría informática interna
  • Aunque la auditoría interna sea independiente del
    Departamento de Sistemas, sigue siendo la misma
    empresa, por lo tanto, es necesario que se le
    realicen auditorías externas como para tener una
    visión desde afuera de la empresa.
  • La auditoría informática, tanto externa como
    interna, debe ser una actividad exenta de
    cualquier contenido o matiz "político" ajeno a la
    propia estrategia y política general de la
    empresa.
  • La función auditora puede actuar de oficio, por
    iniciativa del propio órgano, o a instancias de
    parte, esto es, por encargo de la dirección o
    cliente.

42
Tipos y clases de auditoría
  • Dentro de las áreas generales, se establecen las
    siguientes divisiones de Auditoría Informática
  • de Explotación,
  • de Sistemas,
  • de Comunicaciones y
  • de Desarrollo de Proyectos.
  • Estas son las Áreas Especificas de la Auditoría
    Informática más importantes.

43
Tipos y clases de auditoría
Cada Área Especifica puede ser auditada desde los
siguientes criterios generales Desde su propio
funcionamiento interno. Desde el apoyo que
recibe de la Dirección y, en sentido ascendente,
del grado de cumplimiento de las directrices de
ésta. Desde la perspectiva de los usuarios,
destinatarios reales de la informática. Desde
el punto de vista de la seguridad que ofrece la
Informática en general o la rama auditada.
44
Tipos y clases de auditoría entre otras
  • Financiera
  • Informática
  • Gestión
  • Cumplimiento

45
ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA
46
Organización de la función de auditoría
  • La función de auditoría informática paso de ser
    una función de ayuda al auditor financiero a ser
    una función que desarrolla un trabajo, y seguirá
    haciéndolo en el futuro.
  • En acuerdo con la importancia que tienen los
    sistemas informáticos y de información para las
    organizaciones. El auditor informático pasa a ser
    auditor y consultor y asesor en
  • seguridad,
  • control interno,
  • eficiencia y eficacia,
  • tecnología informática,
  • continuidad de operaciones,
  • gestión de riesgos.
  • Mas allá de los sistemas informáticos sino en el
    contexto empresarial.

47
Organización de la función de auditoría
  • cómo se debe organizar la función de auditoría
    informática dentro de la empresa?
  • Históricamente la función de auditoría
    informática se considera dentro de la función de
    auditoría interna, pero debe ser independiente de
    los objetivos de la auditoría interna operativa y
    financiera.
  • Debe tener accesibilidad total a los sistemas
    informáticos y de información.
  • Debe estar bajo la dirección del director de
    auditoría interna, para evitar que otras
    dependencias cambien o disminuyan su imagen.

48
Organización de la función de auditoría
  • No debe depender del encargado de sistemas ni del
    departamento de organización, financiero o
    administrativo (debe ser independiente).
  • El departamento de auditoría informática debe
    tener una organzación interna basada en
  • Jefe del departamento
  • Gerente o supervisor de auditoría informática
  • Staff de auditores informáticos

49
Organización de la función de auditoría
  • El tamaño debe estar en función de los objetivos
    de la función, con especialistas en entorno
    informático en comunicaciones y o redes,
    responsable de gestión de riesgo operativo,
    responsable de la auditoría de sistemas y de ser
    posible un especialista para la elaboracíón de
    programas trabajos conjuntos con la auditoría
    financiera.

50
ESTÁNDARES, DIRECTRICES, PROCEDIMIENTOS Y GUÍAS
DE AUDITORÍA
51
Estándares
  • La Organización Internacional para la
    Estandarización, ISO por sus siglas en inglés
    (International Organization for Standardization),
    es una federación mundial que agrupa a
    representantes de cada uno de los organismos
    nacionales de estandarización (como lo es el IRAM
    en la Argentina), y que tiene como objeto
    desarrollar estándares internacionales que
    faciliten el comercio internacional.
  • Cuando las organizaciones tienen una forma
    objetiva de evaluar la calidad de los procesos de
    un proveedor, el riesgo de hacer negocios con
    dicho proveedor se reduce en gran medida, y si
    los estándares de calidad son los mismos para
    todo el mundo, el comercio entre empresas de
    diferentes países puede potenciarse en forma
    significativa y de hecho, así ha ocurrido .

52
Estándares
  • Durante las últimas décadas, organizaciones de
    todos los lugares del mundo se han estado
    preocupando cada vez más en satisfacer
    eficazmente las necesidades de sus clientes, pero
    las empresas no contaban, en general, con
    literatura sobre calidad que les indicara de qué
    forma, exactamente, podían alcanzar y mantener la
    calidad de sus productos y servicios.
  • De forma paralela, las tendencias crecientes del
    comercio entre naciones reforzaba la necesidad de
    contar con estándares universales de la calidad.
    Sin embargo, no existía una referencia
    estandarizada para que las organizaciones de todo
    el mundo pudieran demostrar sus prácticas de
    calidad o mejorar sus procesos de fabricación o
    de servicio.

53
Estándares
  • Teniendo como base diferentes antecedentes sobre
    normas de estandarización que se fueron
    desarrollando principalmente en Gran Bretaña, la
    ISO creó y publicó en 1987 sus primeros
    estándares de dirección de la calidad los
    estándares de calidad de la serie ISO 9000.
  • Con base en Ginebra, Suiza, esta organización ha
    sido desde entonces la encargada de desarrollar y
    publicar estándares voluntarios de calidad,
    facilitando así la coordinación y unificación de
    normas internacionales e incorporando la idea de
    que las prácticas pueden estandarizarse tanto
    para beneficiar a los productores como a los
    compradores de bienes y servicios.
    Particularmente, los estándares ISO 9000 han
    jugado y juegan un importante papel al promover
    un único estándar de calidad a nivel mundial.

54
Estándares
  • LA FAMILIA ISO
  • Las series de normas ISO relacionadas con la
    calidad constituyen lo que se denomina familia de
    normas, las que abarcan distintos aspectos
    relacionados con la calidad
  • ISO 9000 Sistemas de Gestión de Calidad
    Fundamentos, vocabulario, requisitos, elementos
    del sistema de calidad, calidad en diseño,
    fabricación, inspección, instalación, venta,
    servicio post venta, directrices para la mejora
    del desempeño.
  • ISO 10000 Guías para implementar Sistemas de
    Gestión de Calidad/ Reportes TécnicosGuía para
    planes de calidad, para la gestión de proyectos,
    para la documentación de los SGC, para la gestión
    de efectos económicos de la calidad, para
    aplicación de técnicas estadísticas en las Normas
    ISO 9000. Requisitos de aseguramiento de la
    calidad para equipamiento de medición,
    aseguramiento de la medición.
  • ISO 14000 Sistemas de Gestión Ambiental de las
    Organizaciones. Principios ambientales,
    etiquetado ambiental, ciclo de vida del producto,
    programas de revisión ambiental, auditorías.
  • ISO 19011 Directrices para la Auditoría de los
    SGC y/o Ambiental

55
  • I.1 Aplicación
  • La ISO 9001 2000 se puede aplicar en cualquier
    tipo de organización, ya sea con o sin fines de
    lucro, manufacturera o de servicios, grande,
    mediana o pequeña.
  • I.2 Qué se necesita para iniciar un proceso de
    Aseguramiento de la Calidad s/Normas ISO serie
    9001-2000?
  • Compromiso real y participación de los
    directivos Involucramiento de todos los
    empleados Comunicación Capacitación de todas
    las áreas de la organización Disponibilidad de
    recursos dedicados a la implementación del SGC
    (responsables, tiempos, dinero, espacios físicos
    para reuniones, etc.) Definición clara de
    responsabilidades

56
  • Realización de un diagnóstico de calidad
    Comprensión de los requerimientos de los
    clientes Fijación de políticas y objetivos de
    calidad Establecimiento de un plan de calidad
    Ordenamiento de la documentación existente
    Creación de la documentación del SGC s/ norma ISO
    (Manual de Calidad, procedimientos, instrucciones
    de trabajo) Puesta a punto o calibración de
    máquinas, equipos, etc. Diseño e implementación
    de mecanismos de mejora continua Definición,
    planificación e implementación de actividades de
    medición y seguimiento necesarias para asegurar
    el cumplimiento de las exigencias de la norma

57
Directrices
  • Una auditoría se realiza con base a un patrón o
    conjunto de directrices o buenas practicas
    sugeridas. Existen estándares orientados a servir
    como base para auditorías de informática. Uno de
    ellos es COBIT (Objetivos de Control de la
    Tecnologías de la Información), dentro de los
    objetivos definidos como parámetro, se encuentra
    el "Garantizar la Seguridad de los Sistemas".
    Adicional a este estándar podemos encontrar el
    standard ISO 27002, el cual se conforma como un
    código internacional de buenas prácticas de
    seguridad de la información, este puede
    constituirse como una directriz de auditoría
    apoyándose de otros estándares de seguridad de la
    información que definen los requisitos de
    auditoría y sistemas de gestión de seguridad,
    como lo es el estándar ISO 27001.

58
Procedimientos
  • Al conjunto de técnicas de investigación
    aplicables a un grupo de hechos o circunstancias
    que nos sirven para fundamentar la opinión del
    auditor dentro de una auditoría, se les dan el
    nombre de procedimientos de auditoría en
    informática.
  • La combinación de dos o más procedimientos,
    derivan en programas de auditoría, y al conjunto
    de programas de auditoría se le denomina plan de
    auditoría, el cual servirá al auditor para llevar
    una estrategia y organización de la propia
    auditoría.
  • El auditor no puede obtener el conocimiento que
    necesita para sustentar su opinión en una sola
    prueba, es necesario examinar los hechos,
    mediante varias técnicas de aplicación simultánea.

59
Procedimientos
  • Análisis de datos.
  • Dentro de este trabajo, desarrollaremos diversos
    tipos de técnicas y procedimientos de auditoría,
    de los cuales destacan el análisis de datos, ya
    que para las organizaciones el conjunto de datos
    o información son de tal importancia que es
    necesario verificarlos y comprobarlos, así
    también tiene la misma importancia para el
    auditar ya que debe de utilizar diversas técnicas
    para el análisis de datos, basados en
    bib-solis-2002, las cuales se describen a
    continuación.

60
Procedimientos
  • En General los procedimientos de auditoría
    permiten
  • Obtener conocimientos del control interno.
  • Analizar las características del control interno.
  • Verificar los resultados de control interno.
  • Fundamentar conclusiones de la auditoría.
  • Por esta razón el auditor deberá aplicar su
    experiencia y decidir cuál técnica o
    procedimiento de auditoría serán los mas
    indicados par obtener su opinión.

61
Procedimientos
  • Comparación de programas
  • esta técnica se emplea para efectuar una
    comparación de código (fuente, objeto o comandos
    de proceso) entre la versión de un programa en
    ejecución y la versión de un programa piloto que
    ha sido modificado en forma indebida, para
    encontrar diferencias.
  • Mapeo y rastreo de programas
  • esta técnica emplea un software especializado que
    permite analizar los programas en ejecución,
    indicando el número de veces que cada línea de
    código es procesada y las de las variables de
    memoria que estuvieron presentes.

62
Procedimientos
  • Análisis de código de programas
  • Se emplea para analizar los programas de una
    aplicación. El análisis puede efectuarse en forma
    manual (en cuyo caso sólo se podría analizar el
    código ejecutable).
  • Datos de prueba
  • Se emplea para verificar que los procedimientos
    de control incluidos los programas de una
    aplicación funcionen correctamente. Los datos de
    prueba consisten en la preparación de una serie
    de transacciones que contienen tanto datos
    correctos como datos erróneos predeterminados.

63
Procedimientos
  • Datos de prueba integrados
  • Técnica muy similar a la anterior, con la
    diferencia de que en ésta se debe crear una
    entidad, falsa dentro de los sistemas de
    información.
  • Análisis de bitácoras
  • Existen varios tipos de bitácoras que pueden ser
    analizadas por el auditor, ya sea en forma manual
    o por medio de programas especializados, tales
    como bitácoras de fallas del equipo, bitácoras de
    accesos no autorizados, bitácoras de uso de
    recursos, bitácoras de procesos ejecutados.

64
Procedimientos
  • Simulación paralela
  • Técnica muy utilizada que consiste en desarrollar
    programas o módulos que simulen a los programas
    de un sistema en producción. El objetivo es
    procesar los dos programas o módulos de forma
    paralela e identificar diferencias entre los
    resultados de ambos.

65
Procedimientos
  • Monitoreo.
  • Dentro de las organizaciones todos los procesos
    necesitan ser evaluados a través del tiempo para
    verificar su calidad en cuanto a las necesidades
    de control, integridad y confidencialidad, este
    es precisamente el ámbito de esta técnica, a
    continuación se muestran los procesos de
    monitoreo

66
Procedimientos
  • M1 Monitoreo del proceso.
  • M2 Evaluar lo adecuado del control Interno.
  • M3 Obtención de aseguramiento independiente.
  • M4 Proveer auditoría independiente.

67
Procedimientos
  • M1 Monitoreo del proceso
  • Asegura el logro de los objetivos para los
    procesos de TI, lo cual se logra definiendo por
    parte de la gerencia reportes e indicadores de
    desempeño y la implementación de sistemas de
    soporte así como la atención regular a los
    reportes emitidos.
  • Para ello la gerencia podrá definir indicadores
    claves de desempeño y factores críticos de éxito
    y compararlos con los niveles propuestos para
    evaluar el desempeño de los procesos de la
    organización.

68
Procedimientos
  • M2 Evaluar lo adecuado del control Interno
  • Asegura el logro de los objetivos de control
    interno establecidos para los procesos de TI,
    para ello se debe monitorear la efectividad de
    los controles internos a través de actividades
    administrativas, de supervisión, comparaciones,
    acciones rutinarias, evaluar su efectividad y
    emitir reportes en forma regular

69
  • M3 Obtención de aseguramiento independiente
  • Incrementa los niveles de confianza entre la
    organización, clientes y proveedores, este
    proceso se lleva a cabo a intervalos regulares de
    tiempo.
  • Para ello la gerencia deberá obtener una
    certificación o acreditación independiente de
    seguridad y control interno antes de implementar
    nuevos servicios de tecnología de información que
    resulten críticos, así como para trabajar con
    nuevos proveedores de servicios de tecnología de
    información, luego la gerencia deberá adoptar
    como trabajo rutinario tanto hacer evaluaciones
    periódicas sobre la efectividad de los servicios
    de tecnología de información, de los proveedores
    de estos servicios así como también asegurarse el
    cumplimiento de los compromisos contractuales de
    los servicios de tecnología de información y de
    los proveedores de dichos servicios.

70
Procedimientos
  • M4 Proveer auditoría independiente.
  • Incrementa los niveles de confianza de
    recomendaciones basadas en mejores prácticas de
    su implementación, lo que se logra con el uso de
    auditorías independientes desarrolladas a
    intervalos regulares de tiempo.
  • Para ello la gerencia deberá establecer los
    estatutos para la función de auditoría,
    destacando en este documento la responsabilidad,
    autoridad y obligaciones de la auditoría.

71
  • El auditor deberá ser independiente del auditado,
    esto significa que los auditores no deberán estar
    relacionados con la sección o departamento que
    esté siendo auditado y en lo posible deberá ser
    independiente de la propia empresa, esta
    auditoría deberá respetar la ética y los
    estándares profesionales, seleccionando para ello
    auditores que sean técnicamente competentes, es
    decir que cuenten con habilidades y conocimientos
    que aseguren tareas efectivas y eficientes de
    auditoría informática.
  • La función de la auditoría informática deberá
    proporcionar un reporte que muestre los
    objetivos, período de cobertura, naturaleza y
    trabajo de auditoría realizado, así como también
    la organización, conclusión y recomendaciones
    relacionadas con el trabajo de auditoría
    informática llevado a cabo.

72
Procedimientos
  • Análisis de bitácoras.
  • Hoy en día los sistemas de cómputo se encuentran
    expuestos a distintas amenazas, las
    vulnerabilidades de los sistemas aumentan, al
    mismo tiempo que se hacen más complejos, el
    número de ataques también aumenta, por lo
    anterior las organizaciones deben reconocer la
    importancia y utilidad de la información
    contenida en las bitácoras de los sistemas de
    computo así como mostrar algunas herramientas que
    ayuden a automatizar el proceso de análisis de
    las mismas.

73
Procedimientos
  • El crecimiento de Internet enfatiza esta
    problemática, los sistemas de cómputo generan una
    gran cantidad de información, conocidas como
    bitácoras o archivos logs, que pueden ser de gran
    ayuda ante un incidente de seguridad, así como
    para el auditor.
  • Una bitácora puede registrar mucha información
    acerca de eventos relacionados con el sistema que
    la genera los cuales pueden ser
  • Fecha y hora.
  • Direcciones IP origen y destino.
  • Dirección IP que genera la bitácora.
  • Usuarios.
  • Errores.

74
Procedimientos
  • La importancia de las bitácoras es la de
    recuperar información ante incidentes de
    seguridad, detección de comportamiento inusual,
    información para resolver problemas, evidencia
    legal, es de gran ayuda en las tareas de cómputo
    forense.
  • Las Herramientas de análisis de bitácoras mas
    conocidas son las siguientes
  • Para UNIX, Logcheck, SWATCH.
  • Para Windows, LogAgent

75
Procedimientos
  • Las bitácoras contienen información crítica es
    por ello que deben ser analizadas, ya que están
    teniendo mucha relevancia, como evidencia en
    aspectos legales.
  • El uso de herramientas automatizadas es de mucha
    utilidad para el análisis de bitácoras, es
    importante registrar todas las bitácoras
    necesarias de todos los sistemas de cómputo para
    mantener un control de las mismas.

76
Procedimientos
  • Técnicas de auditoría asistida por computadora
  • La utilización de equipos de computación en las
    organizaciones, ha tenido una repercusión
    importante en el trabajo del auditor, no sólo en
    lo que se refiere a los sistemas de información,
    sino también al uso de las computadoras en la
    auditoría.
  • Al llevar a cabo auditorías donde existen
    sistemas computarizados, el auditor se enfrenta a
    muchos problemas de muy diversa condición, uno de
    ellos, es la revisión de los procedimientos
    administrativos de control interno establecidos
    en la empresa que es auditada.

77
Procedimientos
  • La utilización de paquetes de programas
    generalizados de auditoría ayuda en gran medida a
    la realización de pruebas de auditoría, a la
    elaboración de evidencias plasmadas en los
    papeles de trabajo.
  • Según bib-zavaro-martinez las técnicas de
    auditoría Asistidas por Computadora (CAAT) son la
    utilización de determinados paquetes de programas
    que actúan sobre los datos, llevando a cabo con
    más frecuencia los trabajos siguientes

78
Procedimientos
  • Selección e impresión de muestras de auditorías
    sobre bases estadísticas o no estadísticas, a lo
    que agregamos, sobre la base de los conocimientos
    adquiridos por los auditores.
  • Manipulación de la información al calcular
    subtotales, sumar y clasificar la información,
    volver a ordenar en serie la información, etc.

79
Procedimientos
  • Consecuentemente, se hace indispensable el empleo
    de las CAAT que permiten al auditor, evaluar las
    múltiples aplicaciones específicas del sistema
    que emplea la unidad auditada, el examinar un
    diverso número de operaciones específicas del
    sistema, facilitar la búsqueda de evidencias,
    reducir al mínimo el riesgo de la auditoría para
    que los resultados expresen la realidad objetiva
    de las deficiencias, así como de las violaciones
    detectadas y elevar notablemente la eficiencia en
    el trabajo.

80
Procedimientos
  • Teniendo en cuenta que se hacía imprescindible
    auditar sistemas informáticos así como diseñar
    programas auditores, se deben incorporar
    especialistas informáticos, formando equipos
    multidisciplinarios capaces de incursionar en las
    auditorías informáticas y comerciales,
    independientemente de las contables, donde los
    auditores que cumplen la función de jefes de
    equipo, están en la obligación de documentarse
    sobre todos los temas auditados.

81
Procedimientos
  • De esta forma los auditores adquieren más
    conocimientos de los diferentes temas, pudiendo
    incluso, sin especialistas de las restantes
    materias realizar análisis de esos temas, aunque
    en ocasiones es necesario que el auditor se
    asesore con expertos, tales como, ingenieros
    industriales, abogados, especialistas de recursos
    humanos o de normalización del trabajo para
    obtener evidencia que le permita reunir elementos
    de juicio suficientes.

82
  • Examen de registros de acuerdo con los criterios
    especificados.
  • Búsqueda de alguna información en particular, la
    cual cumpla ciertos criterios, que se encuentra
    dentro de las bases de datos del sistema que se
    audita.

83
Procedimientos
  • Benchmarking
  • Las empresas u organizaciones deben buscar formas
    o fórmulas que las dirijan hacia una mayor
    calidad, para poder ser competitivos, una de
    estas herramientas o fórmulas es el Benchmarking.
  • Existen varios autores que han estudiado el tema,
    y de igual manera existen una gran cantidad de
    definiciones de lo que es benchmarking, a
    continuación se presentan algunas definiciones.

84
Procedimientos
  • Benchmarking es el proceso continuo de medir
    productos, servicios y prácticas contra los
    competidores o aquellas compañías reconocidas
    como líderes en la industria (1)?

(1) bib-imcp Normas y procedimientos de
auditoría. Instituto Mexicano de Contadores
Públicos (IMCP).
85
Procedimientos
  • Esta definición presenta aspectos importantes
    tales como el concepto de continuidad, ya que
    benchmarking no sólo es un proceso que se hace
    una vez y se olvida, sino que es un proceso
    continuo y constante.
  • Según la definición anterior podemos deducir que
    se puede aplicar benchmarking a todas las facetas
    de las organizaciones, y finalmente la definición
    implica que el benchmarking se debe dirigir hacia
    aquellas organizaciones y funciones de negocios
    dentro de las organizaciones que son reconocidas
    como las mejores.

86
Procedimientos
  • Entre otras definiciones tenemos la extraída del
    libro Benchmarking de Bengt, la cual es
    benchmarking es un proceso sistemático y
    continúo para comparar nuestra propia eficiencia
    en términos de productividad, calidad y prácticas
    con aquellas compañías y organizaciones que
    representan la excelencia.
  • Como vemos en esta definición se vuelve a
    mencionar el hecho de que benchmarking es un
    proceso continuo, también se presenta el término
    de comparación y por ende remarca la importancia
    de la medición dentro del benchmark.

87
Procedimientos
  • Estos autores se centran, a parte de la
    operaciones del negocio, en la calidad y en la
    productividad de las mismas, considerando el
    valor que tienen dichas acciones en contra de los
    costos de su realización lo cual representa la
    calidad, y la relación entre los bienes
    producidos y los recursos utilizados para su
    producción, lo cual se refiere a la
    productividad.
  • Por lo que podemos ver existen varias
    definiciones sobre lo que es benchmarking, y
    aunque difieren en algunos aspectos también se
    puede notar que concuerdan o presentan una serie
    de elementos comunes.

88
Procedimientos
  • Para empezar en la mayoría de ellas se resalta el
    hecho de que benchmarking es un proceso continuo
    que al aplicarla en nuestra empresa resuelva los
    problemas de la misma, sino que es un proceso que
    se aplicará una y otra vez ya que dicho proceso
    está en búsqueda constante de las mejores
    prácticas de la industria, y como sabemos la
    industria está en un cambio constante y para
    adaptarse a dicho cambio desarrolla nuevas
    practicas, por lo que no se puede asegurar que
    las mejores prácticas de hoy lo serán también de
    mañana.

89
Procedimientos
  • También se vio en las diferentes definiciones que
    este proceso no sólo es aplicable a las
    operaciones de producción, sino que puede
    aplicarse a todas la fases de las organizaciones,
    por lo que benchmarking es una herramienta que
    nos ayuda a mejorar todos los aspectos y
    operaciones del negocio, hasta el punto de ser
    los mejores en la industria, observando aspectos
    tales como la calidad y la productividad en el
    negocio.

90
  • De igual manera podemos concluir que es de suma
    importancia como una nueva forma de administrar
    ya que cambia la práctica de compararse sólo
    internamente a comparar nuestras operaciones en
    base a estándares impuestos externamente por las
    organizaciones conocidas como las de excelencia
    dentro de la industria.
  • 2http//Monografias.com/Trabajos4.html

91
Guías
  • Una guía de auditoría es un manual escrito que
    contiene directrices específicas o instrucciones
    para llevar a cabo una auditoría. Estas guías
    están generalmente específicas de negocio
    industrias o sectores, tales como las compañías
    de seguros, corredurías y compañías de
    financiamiento. Guías de auditoría pueden basarse
    en los principios de marco de contabilidad
    nacionales o reglamentaciones gubernamentales
    relativas a industrias específicas del negocio o
    sectores.Auditores utilicen dichas guías para
    evaluar la financiera o las operaciones de
    negocios de una empresa y determinan si cualquier
    violaciones o debilidades importantes existen en
    información interna o externa de la empresa.

92
  • Una guía de auditoría puede desarrollarse para
    cada tipo de auditoría llevada a cabo por una
    firma de contabilidad pública u otra
    organización. Tipos más comunes de las auditorías
    incluyen financiera, cumplimiento de normas, o
    las auditorías operacionales. La Guía de
    auditoría puede utilizarse por auditores internos
    empleados directamente por la empresa o por
    auditores públicos que realizan auditorías
    externas. Guías de auditoría interna y auditoría
    externa usualmente difieren en su ámbito de
    aplicación para la evaluación de la información
    de la empresa. Las auditorías internas suelen ser
    menos formal y destinados a uso de gestión sólo.
    Una guía de auditoría externa a menudo se utiliza
    para evaluar la información de la empresa de
    despacho a los interesados de negocios externos.

93
  • Una guía de auditoría interna normalmente
    comprueba la implementación de las empresas de
    controles internos para proteger su información
    financiera y de negocios. Controles internos
    podrán limitar el número de funciones de un
    individuo puede completar en la empresa,
    restringir el acceso a información confidencial
    de la empresa o del cliente, garantizar que la
    compañía cumple requisitos para las designaciones
    profesionales, o reunión específica
    gubernamentales y legales. Los directores de
    contabilidad a menudo son responsables de
    desarrollar a la Guía de auditoría interna y
    asegurar que la guía cubre todas las funciones
    importantes del negocio de la empresa.

94
Planeación de la Auditoria Informática
  • Se debe recopilar información para obtener una
    visión general del área a auditar por medio de
  • observaciones,
  • entrevistas preliminares y
  • solicitudes de documentos.
  • La finalidad es definir el objetivo y alcance del
    estudio, así como el programa detallado de la
    investigación.
  • La planeación de la auditoría debe señalar en
    forma detallada el alcance y dirección esperados
    y debe comprender un plan de trabajo para que, en
    caso de que existan cambios o condiciones
    inesperadas que ocasionen modificaciones al plan
    general, sean justificadas por escrito.

95
  • Se debe hacer una investigación preliminar
    solicitando y revisando la información de cada
    una de las áreas de la organización.
  • Para poder analizar y dimensionar la estructura
    por auditar se debe solicitar
  • 1- A nivel Organización Total
  • Objetivos a corto y largo plazo
  • Manual de la Organización
  • Antecedentes o historia del Organismo
  • Políticas generales

96
  • 2. A nivel Área informática
  • Objetivos a corto y largo plazo
  • Manual de organización del área que incluya
    puestos, niveles jerárquicos y tramos de mando.
  • Manual de políticas, reglamentos internos y
    lineamientos generales.
  • Número de personas y puestos en el área
  • Procedimientos administrativos en el área.
  • Presupuestos y costos del área.

97
  • 3. Recursos materiales y técnicos
  • Solicitar documentos sobre los equipos, número
    (de los equipos por instalados, por instalar y
    programados), localización y características.
  • Fechas de instalación de los equipos y planes de
    instalación.
  • Contratos vigentes de compra, renta y servicio de
    mantenimiento.
  • Contrato de seguros
  • Convenios que se mantienen con otras
    instalaciones
  • Configuración de los equipos, capacidades
    actuales y máximas.
  • Planes de expansión
  • Ubicación general de los equipos
  • Políticas de operación
  • Políticas de uso o de equipos

98
  • 4- Sistemas
  • Manual de formularios.
  • Manual de procedimientos de los sistemas
  • Descripción genérica
  • Diagrama de entrada, archivo y salida.
  • Salidas impresas
  • Fecha de instalación de los sistemas
  • Proyectos de instalación de nuevos sistemas.

99
  • Como resultado de los trabajos preliminares se
    debe explicitar
  • objetivo
  • alcance
  • limitaciones y colaboración necesarias
  • grado de responsabilidad
  • Informes que se entregaran

100
Fases de la Auditoría Informática
  • TOMA DE CONTACTO
  • PLANIFICACION DE LA OPERACION
  • DESARROLLO DE LA AUDITORIA
  • FASE DE DIAGNOSTICO
  • PRESENTACION DE LAS CONCLUSIONES
  • FORMULACION DEL PLAN DE MEJORAS

101
  • Toma de Contacto En esta etapa se deberán
    establecer
  • - Definitivamente el objetivo de la AI
  • - Las áreas a cubrir
  • - Personas de la Organización que habrán de
    colaborar y en que momentos de la auditoria
  • - Plan de trabajo
  • - tareas
  • - calendario
  • - resultados parciales
  • - presupuesto
  • - equipo auditor necesario

102
  • Planificación de la Operación
  • Desarrollo de la Auditoria Informática
  • Es el momento de ejecutar las tareas que se
    enunciaron en la fase anterior. Es esta una fase
    de observación, de recolección de datos,
    situaciones, deficiencias, en resumen un período
    en el que

103
  • se efectuarán las entrevistas previstas en la
    fase de planificación.
  • se completarán todos los cuestionarios que
    presente el auditor
  • se observarán las situaciones deficientes, no
    solo las aparentes, sino las que hasta ahora no
    hayan sido detectadas, para lo que se podrá
    llegar a simular situaciones límites.
  • se observarán los procedimientos, tanto los
    informáticos como los de usuarios.
  • se ejecutarán por lo tanto, todas las previsiones
    efectuadas en la etapa anterior con el objeto de
    llegar a la siguiente etapa en condiciones de
    diagnosticar la situación encontrada.

104
Fase de Diagnóstico
  • Cuando ya se hayan efectuado todas los estudios y
    revisiones, se debe elaborar el diagnóstico. Como
    resultados de esta etapa han de quedar claramente
    definidos los puntos débiles, y por contrapunto
    los fuertes, los riesgos eventuales, y en primera
    instancia los posibles tipos de solución o
    mejoras de los problemas planteados.
  • Estas conclusiones se discutirán con las personas
    afectadas por lo que serán suficientemente
    argumentadas y probadas.

105
  • Es un momento delicado en el trato con las áreas,
    los auditores deben presentar estas conclusiones
    como un plan de mejoras en beneficio de todos, en
    lugar de una reprobación de los afectados, salvo
    en el caso de que esto sea estrictamente
    necesario.

106
  • Presentación de las Conclusiones
  • Formulación del Plan de Mejoras
  • Llegados a este último punto, la dirección conoce
    ya las deficiencias que el equipo auditor ha
    observado en su departamento informático, éstas
    han sido discutidas. Mas no basta con quedarse
    ahí, ahora es cuando los auditores han de
    demostrar su experiencia en situaciones
    anteriores lo suficientemente contrastadas y
    exitosas y ser capaces de adjuntar, al informe de
    auditoría, el plan de mejoras que permitirá
    solventar las deficiencias encontradas.

107
  • El plan de mejoras abarcará todas las
    recomendaciones derivadas de las deficiencias
    detectadas en la realización de la auditoria.
    Para ello se tendrán en cuenta los recursos
    disponibles, o al menos potencialmente
    disponibles, por parte de la Empresa objeto de la
    Auditoria.

108
  • Entre las primeras se incluirán aquellas mejoras
    puntuales y de fácil realización como son las
    mejoras en plazo, calidad, planificación o
    formación. Las medidas de mediano plazo
    necesitaran de uno a dos años para poderse
    concretar. Aquí pues caben mejoras más profundas
    y con mayor necesidad de recursos, como la
    optimización de programas, o de la documentación,
    e incluso de algunos aspectos de diseño de los
    sistemas.

109
  • Para finalizar, las consideraciones a largo
    plazo, pueden llevar cambios sustanciales en las
    políticas, medios o incluso estructuras del
    servicio de informática. Estas mejoras pueden
    pasar por la reconsideración de los sistemas en
    uso o de los medios, humanos y materiales, con
    que se cuenta, llegando si es preciso a una seria
    reconsideración del plan informático.

110
ALGUNAS RECOMENDACIONES A TENER EN CUENTA
  • 1- No hacer juicios sin la suficiente
    fundamentación
  • 2- Cuidar los aspectos de imagen, presentación y
    protocolo
  • 3- No adelantar resultados parciales que pueden
    distorsionar el resultado final
  • 4- Las entrevistas iniciales son un aspecto muy a
    cuidar. Hay que prepararlas muy bien para que
    surtan el efecto que de ellas se espera.

111
  • 5- En todo momento, por cordiales que resulten
    las relaciones con los auditados, no perder de
    vista el papel de consultores experimentados que
    han de tener los auditores informáticos.
  • 6- Exponer la idea que los resultados de la
    auditoria no harán más que intentar mejorar, a
    todos los efectos, el servicio de informática con
    el beneficio que ello supondría para todos los
    implicados en el área.
  • 7- Exponer la idea que al final de la auditoria
    no se trata de castigar a nadie. El objetivo
    fundamental es el de encontrar deficiencias y
    corregirlas.

112
  • 8- Estudiar hechos y no opiniones. (no se toman
    en cuenta rumores ni información sin fundamento)
  • 9- Investigar las causas, no los efectos.
  • 10- Atender razones, no excusas.
  • 11- Criticar objetivamente y a fondo todos los
    informes y los datos recabados.

113
CÓDIGO DE ETICA PROFESIONAL DEL AUDITOR
Elaborar resumen capítulo 7 Piattini
114
EL CONTROL INTERNO
115
  • El control interno informático controla
    diariamente que todas las actividades de sistemas
    de información sean realizadas cumpliendo los
    procedimientos, estándares y no normas fijados
    por la Dirección de la organización y/o a la
    dirección de informática así como los
    requerimientos legales.

116
  • Misión del control interno informático
  • Asegurarse de que las medidas que se obtienen de
    los mecanismos implantados por cada responsable
    sean correctas y válida.
  • Suele ser un órgano staff, dotado de las personas
    y medios materiales proporcionados para tareas
    encomendadas.

117
  • Objetivos
  • Controlar que todas las actividades que se
    realicen cumplan con normas y procedimientos,
    evaluar sus beneficios y asegurarse de
    cumplimiento de normas legales.
  • Asesorar sobre el conocimientos de las normas

118
  • Debido a que cada día es mas frecuente el uso de
    redes en las instituciones, las cuales que van
    desde simples redes internas y redes locales
    (LANs), hasta las redes metropolitanas (MANs) o
    las redes instaladas a escala mundial (WANs). El
    establecimientos para estos controles para la
    seguridad en sistemas de redes y sistemas
    multiusuario de una empresa es de vital
    importancia. Razón por la cual se debe tomar
    medidas muy especificas para la protección,
    resguardo y uso de programas, archivos e
    información compartida de la empresa.

119
  • Respecto a la seguridad en redes, existe un
    sinnúmero de medidas preventivas y correctivas,
    las cuales constantemente se incrementan en el
    mundo de los sistemas.
  • Debido a la características de los propios
    sistemas computacionales , a las formas de sus
    instalaciones , el numero de terminales y a sus
    tipos de conexión , es necesario adaptarse a los
    constantes cambios tecnológicos que buscan
    garantizar la seguridad en el funcionamiento de
    las propias redes, de sus programas de uso
    colectivo, de su archivos de información y de su
    demás características.

120
  • La seguridad en las redes es muy eficiente y con
    una profundidad digna de señalarse debido a que
    constantemente se establecen y actualizan sus
    controles, los cuales van desde restricción de
    las accesos para usuarios, hasta el uso de
    palabras claves para el ingreso a los programas y
    archivos de la empresa , así como el monitoreo de
    actividades, rutinas de auditoria para
    identificar comportamientos, con el propósito de
    salvaguardar la información y los programas de
    estos sistemas.

121
  • Lo mismo ocurre respecto a los planes y programas
    de contingencias diseñados para la salvaguarda de
    la información, de los programas y de los mismos
    sistemas de red establecidos en la empresa.

122
CONTROLES
  • ORGANIZACIÓN
  • Registro de los intercambios
  • Custodia de activos que no sean los del propio
    departamento
  • Corrección de errores que no provengan de los
    originados por el propio dpto.
  • En cuanto a la organización dentro del mismo
    departamento , las siguiente funciones deben
    estar segregadas
  • programación del sistema operativo
  • análisis , programación y mantenimiento
  • operación
  • ingreso de datos
  • control de datos de entrada / salida
  • archivos de programas y datos.

123
  • DESARROLLO Y MANTENIMIENTO DE SISTEMAS
  • Las tecnicas de mantenimiento y programación
    operativos del sistema deben estar normalizados y
    documentados.
  • OPERACIÓN Y PROCEDIMIENTOS
  • Deben existir controles que aseguren el
    procesamiento exacto y oportuno de la información
    contable.
  • instrucciones por escrito sobre procedimiento
    para para preparar datos para su ingreso y
    procesamiento
  • La función de control debe ser efectuada por un
    grupo específico e independiente.
  • Instrucciones por escrito sobre la operación de
    los equipos.
  • Solamente operadores de computador deben procesar
    los SIST OP.

124
  • CONTROLES DE EQUIPOS Y PROGRAMAS DEL SISTEMA
  • Debe efectuarse un control de los equipos
  • programación del mantenimiento preventivo y
    periódico
  • registro de fallas de equipos
  • Los cambios del sist. Op. Y la programación.
  • CONTROLES DE ACCESO
  • El acceso al PED debe estar restringido en todo
    momento. También debe controlarse
  • el acceso los equipos debe estar restringido a
    aquellos autorizados
  • el acceso de documentación solo aquellos
    autorizados
  • el acceso a los archivos de datos y programas
    solo limitado a operadores

125
  • El funcionamiento adecuado de los protocolos de
    red
  • El funcionamiento corrector de direcciones ya
    sean por un nivel o jerárquicas.
  • El manejo de los tamaños de paquetes que se
    manejan en la red, según su máximo.
  • El control de errores para la entrega confiable y
    en orden o sin orden de la información que se
    trasmite en la red.
  • Control de flujo y de velocidad de trasmisión de
    los datos de la red.
  • Control de congestión del manejo de la
    información, trasmisión y protocolo de la red.
  • Administración y control de la problemática de
    seguridad de la red, la información, los
    usuarios, los sistemas computacionales y de las
    instalaciones físicas.
  • Contabilidad de los tiempos de uso del sistema,
    ya sea por conexión de las terminales, por
    paquetes, por byte, por proceso o por cualqu

126
  • Análisis del funcionamiento de los mecanismos de
    control de acceso a las instalaciones,
    información y software institucional.
  • Análisis de prevención de accesos múltiples, sin
    permisos, dolosos y de todas aquellas acciones
    para ingresar al sistema sin la autorización
    correspondiente.
  • Análisis del procesamiento de información en los
    sistemas de red.
  • Análisis de la administración y el control de la
    asignación de los niveles de acceso, privilegios
    y contraseña para los usuarios para ingresar al
    sistema de la información.
  • Análisis del monitoreo de las actividades de los
    usuarios.
  • Análisis de las medidas correctivas y preventivas
    para evitar la piratería de información,
    software, activos informáticos y consumibles del
    área de sistemas.

127
RIESGOS DE AUDITORÍA Y MATERIALIDAD
128
Análisis de riesgos y materialidad
  • El Riesgo en auditoría representa la posibilidad
    de que el auditor exprese una opinión errada en
    su informe debido a que los estados financieros
    o la información suministrada a él estén
    afectados por una distorsión material o normativa.

129
Análisis de riesgos y materialidad
  • En auditoría se conocen tres tipos de riesgo
    Inherente, de Control y de Detección. El riesgo
    inherente es la posibilidad de que existan
    errores significativos en la información
    auditada, al margen de la efectividad del control
    interno relacionado son errores que no se pueden
    prever. El riesgo de control está relacionado con
    la posibilidad de que los controles internos
    imperantes no preveen o detecten fallas que se
    están dando en sus sistemas y que se pueden
    remediar con controles internos más efectivos. El
    riesgo de detección están relacionados con el
    trabajo del auditor, y es que éste en la
    utilización de los procedimientos de auditoría,
    no detecte errores en la información que
    lesuministran. El riesgo de auditoria se
    encuentra así RA RI x RC x RD

130
Clasificación de los riesgos
  • Esta clasificación de los riesgos en auditoría
    puede tener sus variantes por ejemplo, en Taylor
    y Glezze se mencionan el riesgo alfa(riesgo del
    rechazo indebido) y el riesgo beta(riesgo de la
    aceptación indebida)?
  • La SAS No 39. Menciona el Riesgo Ultimo como una
    combinación de dos riesgos el que se cometan
    errores de importancia en el proceso contable y
    el de que estos errores no sean detectados por el
    auditor. Se describe también como el riesgo de
    que en el saldo de una cuenta, exista un error
    monetario mayor que el que se pueda
    tolerar(Materialidad) y que el auditor no pueda
    detectarlo.

131
La materialidad
  • La Materialidad es el error monetario máximo que
    puede existir en el saldo de una cuenta sin dar
    lugar a que los estados financieros estén
    sustancialmente deformados. A la materialidad
    también se le conoce como Importancia Relativa.

132
DETECCIÓN DE FRAUDES
133
Fraude
  • Definición.- Podemos afirmar que es un engaño
    hacia un tercero, abuso de confianza, dolo,
    simulación, etc. El término "fraude" se refiere
    al acto intencional de la Administración,
    personal o terceros, que da como resultado una
    representación equivocada de los estados
    financieros, pudiendo implicar
  • Manipulación, falsificación o alteración de
    registros o documentos.
  • Malversación de activos
  • Supresión u omisión de los efectos de
    ciertas transacciones en los registros o
    documentos.
  • Registro de transacciones sin sustancia o
    respaldo
  • Mala aplicación de políticas contables.

134
Tipos de fraude
  • Se considera que hay dos tipos de fraudes el
    primero de ellos se realiza con la intención
    financiera clara de malversación de activos de la
    empresa.
  • El segundo tipo de fraude, es la presentación de
    información financiera fraudulenta como acto
    intencionado encaminado a alterar las cuentas
    anuales.
  • Los
About PowerShow.com