Auditori a 2

7/25/2019 Auditori a 2

http://slidepdf.com/reader/full/auditori-a-2 1/134

















Identificar los conceptos básicosrequeridos para la práctica deauditoría de redes de voz y

datos.



CONCEPTO DE AUDITORÍA A LASTECNOLOGÍAS DE LA INFORMACIÓN

TIPOS DE AUDITORÍA

ORGANIZACIÓN DE LA FUNCIÓN DEAUDITORÍA

ESTÁNDARES, DIRECTRICES,PROCEDIMIENTOS Y GUÍAS DE AUDITORÍA

CÓDIGO DE ÉTICA PROFESIONAL DELAUDITOR

EL CONTROL INTERNO



COBIT

DETECCIÓN DE FRAUDES

AUTOEVALUACIÓN DEL CONTROL

RIESGOS DE AUDITORÍA YMATERIALIDAD

ITIL

MARCO JURÍDICO NORMATIVO DE LAFUNCIÓN DE AUDITORÍA



La Auditoría Informática constituye unaserie de exámenes que se realizan en unsistema informático de manera periódica oesporádica, con el propósito de analizar yevaluar la planificación, la eficacia, sus

objetivos de control, la seuridad,economía y por supuesto la detección deirreularidades que se podrían manifestaren el procesamiento de la información.



La Auditoría Informática comprende la revisión yla evaluación independiente y objetiva, del

ambiente y del entorno informático de unaoranización. !omprende la evaluación de todaso alunas de sus áreas, los estándares yprocedimientos en vior, su calidad y el

cumplimiento de ellos, de los objetivos fijados, delos contratos y las normas leales aplicables" elrado de satisfacción de usuarios y directivos" loscontroles existentes y un análisis de los riesos.



#l curso está centrado en el análisis de losaspectos teóricos, metodolóicos y t$cnicos de

los diversos temas que comprende la auditoríainformática. #l propósito fundamental es el deofrecer a los estudiantes, m$todos yprocedimientos que apoyados en tecnoloías

de la información fortalezcan el aprendizajesinificativo.



!omprende la ense%anza & aprendizaje de 'unidades didácticas que tendrán comodiferentes recursos para lorar laconstrucción del conocimiento de losestudiantes.



Definien! A"i#!$%&

La palabra auditoría viene del latín “auditorius”, y deesta proviene auditor el que tiene la virtud de oír"(revisor de cuentas coleiado)

#l auditor tiene la virtud de oír y revisar cuentas,encaminado a un objetivo específico, evaluar laeficiencia y eficacia con que se está operando para

que por medio de se%alamientos , se tomendecisiones que permitan correir los errores en casode que existan o mejorar la forma de actuación.



Definien! A"i#!$%&

con frecuencia la palabra auditoría se *aempleado incorrectamente y se le *a

considerado una evaluación cuyo +nico fín esdetectar errores y se%alar fallas, por eso lafrase tan utilizada (tiene auditoría) comosinónimo de que antes de realizarse, ya se

encontraron fallas y por lo tanto se está*aciendo la auditoría.



Definien! A"i#!$%&

#l concepto de auditoría es más amplio" nosolo detecta errores

es un examen crítico con la finalidad deevaluar la eficiencia y eficacia de unasección o un oranismo,

-eterminar cursos alternativos de acciónpara mejorar la oranización y lorar losobjetivos propuestos



CONCEPTO DEAUDITORÍA A LAS

TECNOLOGÍAS DE LAINFORMACIÓN



La Auditoria de #!/0L01IA2 -# I/3045A!I0/ 6.I.7, como se le conoce actualmente, 6Auditoria informática o

Auditoria de sistemas en nuestro medio7.

#n alunos países altamente desarrollados es cataloadacomo una actividad de apoyo vital para el mantenimiento de

la infraestructura crítica de una nación, tanto en el sectorp+blico como privado, en la medida en que laINFORMACION es considerada un activo tan o másimportante que cualquier otro en una oranización.

C!n'e(#! e A"i#!$%&& )&* #e'n!)!+%&* e )& Inf!$&'i-n

http://es.wikipedia.org/wiki/Tecnologias_de_la_Informacion

http://es.wikipedia.org/wiki/Tecnologias_de_la_Informacion



C!n'e(#! e A"i#!$%&& )&* #e'n!)!+%&* e )& Inf!$&'i-n

#xisten, normas, t$cnicas y buenas practicasdedicadas a la evaluación y aseuramiento de lacalidad, seuridad, razonabilidad, y disponibilidadde la INFORMACION tratada y almacenada atrav$s de la computadora y equipos afines, asícomo de la eficiencia, eficacia y economía con quela administración de un ente están manejando dic*a

INFORMACION y todos los recursos físicos y*umanos asociados para su adquisición, captura,procesamiento, transmisión, distribución, uso yalmacenamiento.



C!n'e(#! e A"i#!$%&& )&* #e'n!)!+%&* e )& Inf!$&'i-n

!uyo objetivo es una opinión o juicio,para lo cual se aplican t$cnicas deauditoria de eneral aceptación yconocimiento t$cnico específico.



C!n'e(#! e A"i#!$%&& )&* #e'n!)!+%&* e )& Inf!$&'i-n

apoyada por un conjunto de conocimientosacerca de la tecnoloía informática, de

t$cnicas y procedimientos de auditoría yde conocimientos contables, paraevaluar la calidad, fiabilidad y seuridadde un entorno informático dado, asícomo brindar seuridad razonableacerca de la utilidad de la informaciónalmacenada y procesada en ellos, con elfin de emitir un juicio al respecto.



C!n'e(#! e A"i#!$%&

3inalmente, deberá expresar su opiniónacerca del rado de eficiencia, eficacia y

economía con que están siendo usados8 administrados todos los recursos detecnoloía informática a caro de laadministración, incluido el factor

*umano.



Auditoría de 4ed

La lobalización, la competencia y los avancestecnolóicos están aumentando la importancia de lasredes corporativas en todos los sectores empresariales.

Las empresas con mayor visión deben estar preparadaspara una creciente dependencia de sus redes y, enconsecuencia, para un crecimiento de red exponencial.

Además, La infraestructura de las ecnoloías de laInformación y de las !omunicaciones 6I!7 se *aconvertido en un activo empresarial estrat$ico y la redconstituye su n+cleo.



!oncepto

9na Auditoria de 4edes es, en esencia,una serie de mecanismos mediante los

cuales se pone a prueba una redinformática, evaluando su desempe%o yseuridad, a fin de lorar una utilizaciónmás eficiente y seura de la información.



!oncepto

#l primer paso para iniciar unaestión responsable de la seuridad esidentificar la estructura física 6*ard:are,topoloía7 y lóica 6soft:are, aplicaciones7del sistema 6sea un equipo, red, intranet,extranet7, y *acerle una Análisis de;ulnerabilidad, para saber en qu$ radode exposición nos encontramos.





TIPOS DE AUDITORÍA



ipos de Auditoría

A"i#!$%& In#e$n& . A"i#!$%& E/#e$n&0

La auditoría interna es la realizada con recursosmateriales y personas que pertenecen a la empresaauditada.

Los empleados que realizan esta tarea sonremunerados económicamente. La auditoría internaexiste por expresa decisión de la #mpresa, o sea, quepuede optar por su disolución en cualquier momento.



Auditoría externa

4ealizada por personas afines a la empresaauditada" es siempre remunerada.

2e presupone una mayor objetividad que en la Auditoría Interna, debido al mayordistanciamiento entre auditores y auditados.



Auditoría informática interna

La auditoría informática interna cuenta con alunasventajas adicionales muy importantes respecto de laauditoría externa, las cuales no son tan perceptibles

como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puedeactuar periódicamente realizando 4evisioneslobales, como parte de su =lan Anual y de su

actividad normal. Los auditados conocen estosplanes y se *abit+an a las Auditorías, especialmentecuando las consecuencias de las 4ecomendaciones*abidas benefician su trabajo.




#n una empresa, los responsables de Informáticaescuc*an, orientan e informan sobre las posibilidadest$cnicas y los costeo de tal 2istema. !on voz, pero a

menudo sin voto, Informática trata de satisfacer lo másadecuadamente posible aquellas necesidades. Laempresa necesita controlar su Informática y $stanecesita que su propia estión est$ sometida a losmismos =rocedimientos y estándares que el resto de

aquella.La conjunción de ambas necesidades cristaliza en lafiura del auditor interno informático.




#n cuanto a empresas se refiere, solamente las másrandes pueden poseer una Auditoría propia y

permanente, mientras que el resto acuden a las auditoríasexternas. =uede ser que al+n profesional informático seatrasladado desde su puesto de trabajo a la AuditoríaInterna de la empresa cuando $sta existe. 3inalmente, lapropia Informática requiere de su propio rupo de !ontrolInterno, con implantación física en su estructura, puestoque si se ubicase dentro de la estructura Informática yano sería independiente.




>oy, ya existen varias oranizacionesInformáticas dentro de la misma

empresa, y con diverso rado deautonomía, que son coordinadas poróranos corporativos de 2istemas deInformación de las #mpresas.




9na #mpresa o Institución que posee auditoría internapuede y debe en ocasiones contratar servicios deauditoría externa. Las razones para *acerlo suelen ser

?7 /ecesidad de auditar una materia de ranespecialización, para la cual los servicios propios noestán suficientemente capacitados.



Ausitoría informática interna

@7 !ontrastar al+n Informe interno con el queresulte del externo, en aquellos supuestos de

emisión interna de raves recomendacionesque c*ocan con la opinión eneralizada de lapropia empresa.

7 2ervir como mecanismo protector deposibles auditorías informáticas externasdecretadas por la misma empresa.




Aunque la auditoría interna sea independiente del -epartamento de2istemas, siue siendo la misma empresa, por lo tanto, es necesarioque se le realicen auditorías externas como para tener una visióndesde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser unaactividad exenta de cualquier contenido o matiz <político< ajeno a lapropia estrateia y política eneral de la empresa.

La función auditora puede actuar de oficio, por iniciativa del propioórano, o a instancias de parte, esto es, por encaro de la direccióno cliente.



ipos y clases de auditoría

-entro de las áreas enerales, seestablecen las siuientes divisiones de

Auditoría Informática de #xplotación,de 2istemas,de !omunicaciones y

de -esarrollo de =royectos.#stas son las Breas #specificas de la

Auditoría Informática más importantes.




!ada Brea #specifica puede ser auditadadesde los siuientes criterios enerales

-esde su propio funcionamiento interno.

-esde el apoyo que recibe de la -ireccióny, en sentido ascendente, del rado decumplimiento de las directrices de $sta.

-esde la perspectiva de los usuarios,destinatarios reales de la informática.

-esde el punto de vista de la seuridad queofrece la Informática en eneral o la ramaauditada.




entre otras3inanciera Informática

1estión!umplimiento



041A/ICA!ID/ -# LA39/!ID/ -# A9-I04EA



0ranización de la función deauditoría

La función de auditoría informática paso de ser una función de ayuda alauditor financiero a ser una función que desarrolla un trabajo, y seuirá*aci$ndolo en el futuro.

#n acuerdo con la importancia que tienen los sistemas informáticos y deinformación para las oranizaciones. #l auditor informático pasa a serauditor y consultor y asesor enseuridad,control interno,eficiencia y eficacia,tecnoloía informática,continuidad de operaciones,estión de riesos.

5as allá de los sistemas informáticos sino en el contexto empresarial.




Fcómo se debe oranizar la función de auditoría informática dentrode la empresaG

>istóricamente la función de auditoría informática se consideradentro de la función de auditoría interna, pero debe serindependiente de los objetivos de la auditoría interna operativa yfinanciera.

-ebe tener accesibilidad total a los sistemas informáticos y de

información.

-ebe estar bajo la dirección del director de auditoría interna, paraevitar que otras dependencias cambien o disminuyan su imaen.




/o debe depender del encarado de sistemas nidel departamento de oranización, financiero o

administrativo 6debe ser independiente7.#l departamento de auditoría informática debetener una oranzación interna basada en

Hefe del departamento

1erente o supervisor de auditoría informática

2taff de auditores informáticos




#l tama%o debe estar en función de losobjetivos de la función, con especialistas

en entorno informático en comunicacionesy o redes, responsable de estión derieso operativo, responsable de laauditoría de sistemas y de ser posible un

especialista para la elaboracíón deproramas trabajos conjuntos con laauditoría financiera.



#2B/-A4#2,

-I4#!4I!#2,=40!#-I5I#/02 19EA2-# A9-I04EA



#stándares

La 0ranización Internacional para la #standarización, I20 por sussilas en inl$s 6International 0ranization for 2tandardization7, esuna federación mundial que arupa a representantes de cada unode los oranismos nacionales de estandarización 6como lo es elI4A5 en la Arentina7, y que tiene como objeto desarrollarestándares internacionales que faciliten el comercio internacional.

!uando las oranizaciones tienen una forma objetiva de evaluar lacalidad de los procesos de un proveedor, el rieso de *acerneocios con dic*o proveedor se reduce en ran medida, y si losestándares de calidad son los mismos para todo el mundo, el

comercio entre empresas de diferentes países puede potenciarseen forma sinificativa & y de *ec*o, así *a ocurrido &.



#stándares

-urante las +ltimas d$cadas, oranizaciones de todoslos luares del mundo se *an estado preocupando cadavez más en satisfacer eficazmente las necesidades desus clientes, pero las empresas no contaban, en eneral,

con literatura sobre calidad que les indicara de qu$forma, exactamente, podían alcanzar y mantener lacalidad de sus productos y servicios.

-e forma paralela, las tendencias crecientes delcomercio entre naciones reforzaba la necesidad decontar con estándares universales de la calidad. 2inembaro, no existía una referencia estandarizada paraque las oranizaciones de todo el mundo pudierandemostrar sus prácticas de calidad o mejorar susprocesos de fabricación o de servicio.



#stándares

eniendo como base diferentes antecedentes sobre normas deestandarización que se fueron desarrollando principalmente en1ran Jreta%a, la I20 creó y publicó en ?KM sus primerosestándares de dirección de la calidad los estándares decalidad de la serie I20 KNNN.

!on base en 1inebra, 2uiza, esta oranización *a sido desdeentonces la encarada de desarrollar y publicar estándaresvoluntarios de calidad, facilitando así la coordinación yunificación de normas internacionales e incorporando la ideade que las prácticas pueden estandarizarse tanto parabeneficiar a los productores como a los compradores de bienesy servicios. =articularmente, los estándares I20 KNNN *an

juado y juean un importante papel al promover un +nicoestándar de calidad a nivel mundial.



#stándares LA FAMILIA ISO

Las series de normas I20 relacionadas con la calidad constituyen lo que sedenomina familia de normas, las que abarcan distintos aspectos relacionados conla calidad

ISO 12220 2istemas de 1estión de !alidad3undamentos, vocabulario, requisitos, elementos del sistema de calidad, calidaden dise%o, fabricación, inspección, instalación, venta, servicio post venta,directrices para la mejora del desempe%o.

ISO 322220 1uías para implementar 2istemas de 1estión de !alidadO 4eportes$cnicos1uía para planes de calidad, para la estión de proyectos, para la documentaciónde los 21!, para la estión de efectos económicos de la calidad, para aplicaciónde t$cnicas estadísticas en las /ormas I20 KNNN. 4equisitos de aseuramientode la calidad para equipamiento de medición, aseuramiento de la medición.

ISO 342220 2istemas de 1estión Ambiental de las 0ranizaciones.=rincipios ambientales, etiquetado ambiental, ciclo de vida del producto,proramas de revisión ambiental, auditorías.

ISO 312330 Di$e'#$i'e* (&$& )& A"i#!$%& e )!* SGC .5! A6ien#&)



I73 A()i'&'i-n La I20 KNN? & @NNN se puede aplicar en cualquier tipo de

oranización, ya sea con o sin fines de lucro, manufacturerao de servicios, rande, mediana o peque%a.

I78 9:"; *e ne'e*i#& (&$& ini'i&$ "n ($!'e*! eA*e+"$&ien#! e )& C&)i& *5N!$&* ISO *e$ie 1223<8222=

P !ompromiso real y participación de los directivosP Involucramiento de todos los empleadosP !omunicaciónP !apacitación de todas las áreas de la oranizaciónP -isponibilidad de recursos dedicados a la implementación

del 21! 6responsables, tiempos, dinero, espacios físicospara reuniones, etc.7P -efinición clara de responsabilidades



P 4ealización de un dianóstico de calidad

P !omprensión de los requerimientos de los clientesP 3ijación de políticas y objetivos de calidadP #stablecimiento de un plan de calidadP 0rdenamiento de la documentación existenteP !reación de la documentación del 21! sO norma I2065anual de !alidad, procedimientos, instrucciones de

trabajo7P =uesta a punto o calibración de máquinas, equipos, etc.P -ise%o e implementación de mecanismos de mejoracontinuaP -efinición, planificación e implementación deactividades de medición y seuimiento necesarias para

aseurar el cumplimiento de las exiencias de la norma



-irectrices

9na auditoría se realiza con base a un patrón o conjunto dedirectrices o buenas practicas sueridas. #xisten estándaresorientados a servir como base para auditorías de informática. 9node ellos es !0JI 60bjetivos de !ontrol de la ecnoloías de laInformación7, dentro de los objetivos definidos como parámetro, se

encuentra el <1arantizar la 2euridad de los 2istemas<. Adicionala este estándar podemos encontrar el standard I20 @MNN@, el cualse conforma como un códio internacional de buenas prácticas deseuridad de la información, este puede constituirse como unadirectriz de auditoría apoyándose de otros estándares deseuridad de la información que definen los requisitos de auditoría

y sistemas de estión de seuridad, como lo es el estándarI20 @MNN?.

http://es.wikipedia.org/wiki/COBIT

http://es.wikipedia.org/wiki/ISO_27002




http://es.wikipedia.org/wiki/COBIT



=rocedimientos

Al conjunto de t$cnicas de investiación aplicables a un rupo de*ec*os o circunstancias que nos sirven para fundamentar la opinióndel auditor dentro de una auditoría, se les dan el nombre deprocedimientos de auditoría en informática.

La combinación de dos o más procedimientos, derivan en proramasde auditoría, y al conjunto de proramas de auditoría se le denominaplan de auditoría, el cual servirá al auditor para llevar una estrateia yoranización de la propia auditoría.

#l auditor no puede obtener el conocimiento que necesita parasustentar su opinión en una sola prueba, es necesario examinar los*ec*os, mediante varias t$cnicas de aplicación simultánea.



=rocedimientos

An>)i*i* e &#!*7 -entro de este trabajo, desarrollaremos

diversos tipos de t$cnicas y procedimientos de

auditoría, de los cuales destacan el análisis dedatos, ya que para las oranizaciones elconjunto de datos o información son de talimportancia que es necesario verificarlos ycomprobarlos, así tambi$n tiene la misma

importancia para el auditar ya que debe deutilizar diversas t$cnicas para el análisis dedatos, basados en Qbib8solis8@NN@R, las cualesse describen a continuación.

http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch07.html




=rocedimientos

#n 1eneral los procedimientos de auditoría permiten0btener conocimientos del control interno. Analizar las características del control interno.;erificar los resultados de control interno.3undamentar conclusiones de la auditoría.=or esta razón el auditor deberá aplicar su experiencia

y decidir cuál t$cnica o procedimiento de auditoría seránlos mas indicados par obtener su opinión.



=rocedimientos

!omparación de proramas esta t$cnica se emplea para efectuar una

comparación de códio 6fuente, objeto o comandosde proceso7 entre la versión de un prorama en

ejecución y la versión de un prorama piloto que*a sido modificado en forma indebida, paraencontrar diferencias.

5apeo y rastreo de proramas esta t$cnica emplea un soft:are especializado que

permite analizar los proramas en ejecución,indicando el n+mero de veces que cada línea decódio es procesada y las de las variables dememoria que estuvieron presentes.



=rocedimientos

Análisis de códio de proramas 2e emplea para analizar los proramas de una

aplicación. #l análisis puede efectuarse en forma

manual 6en cuyo caso sólo se podría analizar elcódio ejecutable7. -atos de prueba

2e emplea para verificar que los procedimientos decontrol incluidos los proramas de una aplicación

funcionen correctamente. Los datos de pruebaconsisten en la preparación de una serie detransacciones que contienen tanto datos correctoscomo datos erróneos predeterminados.



=rocedimientos

-atos de prueba interados $cnica muy similar a la anterior, con la diferencia

de que en $sta se debe crear una entidad, falsa

dentro de los sistemas de información. Análisis de bitácoras

#xisten varios tipos de bitácoras que pueden seranalizadas por el auditor, ya sea en forma manualo por medio de proramas especializados, talescomo bitácoras de fallas del equipo, bitácoras deaccesos no autorizados, bitácoras de uso derecursos, bitácoras de procesos ejecutados.



=rocedimientos

2imulación paralela $cnica muy utilizada que consiste en

desarrollar proramas o módulos quesimulen a los proramas de un sistema enproducción. #l objetivo es procesar los dosproramas o módulos de forma paralela eidentificar diferencias entre los resultados

de ambos.



=rocedimientos

M!ni#!$e!7-entro de las oranizaciones todos los

procesos necesitan ser evaluados atrav$s del tiempo para verificar sucalidad en cuanto a las necesidades decontrol, interidad y confidencialidad,

este es precisamente el ámbito de estat$cnica, a continuación se muestran losprocesos de monitoreo



=rocedimientos

5? 5onitoreo del proceso.5@ #valuar lo adecuado del control

Interno.5 0btención de aseuramiento

independiente.5S =roveer auditoría independiente.



=rocedimientos

M3 M!ni#!$e! e) ($!'e*! Aseura el loro de los objetivos para los

procesos de I, lo cual se lora definiendo por

parte de la erencia reportes e indicadores dedesempe%o y la implementación de sistemasde soporte así como la atención reular a losreportes emitidos.

=ara ello la erencia podrá definir indicadoresclaves de desempe%o y factores críticos de$xito y compararlos con los niveles propuestospara evaluar el desempe%o de los procesos dela oranización.



=rocedimientos

M8 E?&)"&$ )! &e'"&! e) '!n#$!) In#e$n! Aseura el loro de los objetivos de control

interno establecidos para los procesos de I,

para ello se debe monitorear la efectividad delos controles internos a trav$s de actividadesadministrativas, de supervisión,comparaciones, acciones rutinarias, evaluar su

efectividad y emitir reportes en forma reular



M@ O6#en'i-n e &*e+"$&ien#! ine(enien#e Incrementa los niveles de confianza entre la

oranización, clientes y proveedores, este proceso se

lleva a cabo a intervalos reulares de tiempo. =ara ello la erencia deberá obtener una certificación o

acreditación independiente de seuridad y control internoantes de implementar nuevos servicios de tecnoloía deinformación que resulten críticos, así como para trabajar

con nuevos proveedores de servicios de tecnoloía deinformación, lueo la erencia deberá adoptar comotrabajo rutinario tanto *acer evaluaciones periódicassobre la efectividad de los servicios de tecnoloía deinformación, de los proveedores de estos servicios asícomo tambi$n aseurarse el cumplimiento de los

compromisos contractuales de los servicios detecnoloía de información y de los proveedores dedic*os servicios.



=rocedimientos M4 P$!?ee$ &"i#!$%& ine(enien#e7 Incrementa los niveles de confianza de

recomendaciones basadas en mejoresprácticas de su implementación, lo que se loracon el uso de auditorías independientes

desarrolladas a intervalos reulares de tiempo. =ara ello la erencia deberá establecer los

estatutos para la función de auditoría,destacando en este documento la

responsabilidad, autoridad y obliaciones de laauditoría.



#l auditor deberá ser independiente del auditado, esto

sinifica que los auditores no deberán estar relacionadoscon la sección o departamento que est$ siendo auditadoy en lo posible deberá ser independiente de la propiaempresa, esta auditoría deberá respetar la $tica y losestándares profesionales, seleccionando para elloauditores que sean t$cnicamente competentes, es decir

que cuenten con *abilidades y conocimientos queaseuren tareas efectivas y eficientes de auditoríainformática.

La función de la auditoría informática deberáproporcionar un reporte que muestre los objetivos,período de cobertura, naturaleza y trabajo de auditoría

realizado, así como tambi$n la oranización, conclusióny recomendaciones relacionadas con el trabajo deauditoría informática llevado a cabo.



=rocedimientos

An>)i*i* e 6i#>'!$&*7 >oy en día los sistemas de cómputo se

encuentran expuestos a distintas amenazas, las

vulnerabilidades de los sistemas aumentan, almismo tiempo que se *acen más complejos, eln+mero de ataques tambi$n aumenta, por loanterior las oranizaciones deben reconocer laimportancia y utilidad de la información

contenida en las bitácoras de los sistemas decomputo así como mostrar alunas*erramientas que ayuden a automatizar elproceso de análisis de las mismas.



=rocedimientos

#l crecimiento de Internet enfatiza esta problemática, lossistemas de cómputo eneran una ran cantidad deinformación, conocidas como bitácoras o arc*ivos los,que pueden ser de ran ayuda ante un incidente de

seuridad, así como para el auditor. 9na bitácora puede reistrar muc*a información acerca

de eventos relacionados con el sistema que la enera loscuales pueden ser

3ec*a y *ora.

-irecciones I= orien y destino. -irección I= que enera la bitácora. 9suarios. #rrores.



=rocedimientos

La importancia de las bitácoras es la derecuperar información ante incidentes deseuridad, detección de comportamiento

inusual, información para resolver problemas,evidencia leal, es de ran ayuda en las tareasde cómputo forense.

Las >erramientas de análisis de bitácoras mas

conocidas son las siuientes =ara 9/IT, Loc*ecU, 2VA!>. =ara Vindo:s, LoAent



=rocedimientos

Las bitácoras contienen información crítica espor ello que deben ser analizadas, ya que estánteniendo muc*a relevancia, como evidencia en

aspectos leales. #l uso de *erramientas automatizadas es de

muc*a utilidad para el análisis de bitácoras, esimportante reistrar todas las bitácoras

necesarias de todos los sistemas de cómputopara mantener un control de las mismas.



=rocedimientos

T;'ni'&* e &"i#!$%& &*i*#i& (!$ '!("#&!$& La utilización de equipos de computación en las

oranizaciones, *a tenido una repercusión importante enel trabajo del auditor, no sólo en lo que se refiere a los

sistemas de información, sino tambi$n al uso de lascomputadoras en la auditoría.

Al llevar a cabo auditorías donde existen sistemascomputarizados, el auditor se enfrenta a muc*osproblemas de muy diversa condición, uno de ellos, es larevisión de los procedimientos administrativos de controlinterno establecidos en la empresa que es auditada.



=rocedimientos

La utilización de paquetes de proramaseneralizados de auditoría ayuda en ranmedida a la realización de pruebas de

auditoría, a la elaboración de evidenciasplasmadas en los papeles de trabajo. 2e+n Qbib8zavaro8martinezR las t$cnicas de

auditoría Asistidas por !omputadora 6!AA7son la utilización de determinados paquetes de

proramas que act+an sobre los datos,llevando a cabo con más frecuencia lostrabajos siuientes





=rocedimientos

2elección e impresión de muestras deauditorías sobre bases estadísticas o noestadísticas, a lo que areamos, sobre labase de los conocimientos adquiridos por losauditores.

5anipulación de la información al calcular

subtotales, sumar y clasificar la información,volver a ordenar en serie la información, etc.



=rocedimientos

!onsecuentemente, se *ace indispensable elempleo de las !AA que permiten al auditor,evaluar las m+ltiples aplicaciones específicas

del sistema que emplea la unidad auditada, elexaminar un diverso n+mero de operacionesespecíficas del sistema, facilitar la b+squeda deevidencias, reducir al mínimo el rieso de laauditoría para que los resultados expresen larealidad objetiva de las deficiencias, así comode las violaciones detectadas y elevarnotablemente la eficiencia en el trabajo.



=rocedimientos

eniendo en cuenta que se *acíaimprescindible auditar sistemas informáticos"así como dise%ar proramas auditores, se

deben incorporar especialistas informáticos,formando equipos multidisciplinarios capacesde incursionar en las auditorías informáticas ycomerciales, independientemente de lascontables, donde los auditores que cumplen lafunción de jefes de equipo, están en laobliación de documentarse sobre todos lostemas auditados.

= di i



=rocedimientos

-e esta forma los auditores adquieren másconocimientos de los diferentes temas,pudiendo incluso, sin especialistas de las

restantes materias realizar análisis de esostemas, aunque en ocasiones es necesario queel auditor se asesore con expertos, tales como,inenieros industriales, aboados, especialistas

de recursos *umanos o de normalización deltrabajo para obtener evidencia que le permitareunir elementos de juicio suficientes.



#xamen de reistros de acuerdo con loscriterios especificados.

J+squeda de aluna información enparticular, la cual cumpla ciertoscriterios, que se encuentra dentro de las

bases de datos del sistema que seaudita.

= di i t



=rocedimientos

Ben'&$in+ Las empresas u oranizaciones deben buscar

formas o fórmulas que las dirijan *acia una

mayor calidad, para poder ser competitivos,una de estas *erramientas o fórmulas es elJenc*marUin.

#xisten varios autores que *an estudiado eltema, y de iual manera existen una ran

cantidad de definiciones de lo que esbenc*marUin, a continuación se presentanalunas definiciones.

= di i t



=rocedimientos

Jenc*marUin es el proceso continuo demedir productos, servicios y prácticascontra los competidores o aquellascompa%ías reconocidas como líderes enla industria 6?7

6?7 Qbib8imcpR Normas y procedimientos de auditoría. Instituto 5exicano de !ontadores =+blicos 6I5!=7.

= di i t



=rocedimientos

#sta definición presenta aspectos importantestales como el concepto de continuidad, ya quebenc*marUin no sólo es un proceso que se*ace una vez y se olvida, sino que es un

proceso continuo y constante. 2e+n la definición anterior podemos deducir

que se puede aplicar benc*marUin a todas lasfacetas de las oranizaciones, y finalmente ladefinición implica que el benc*marUin se debe

diriir *acia aquellas oranizaciones yfunciones de neocios dentro de lasoranizaciones que son reconocidas como lasmejores.

= di i t



=rocedimientos

#ntre otras definiciones tenemos la extraída dellibro Benchmarking de Jent, la cual es(benc*marUin es un proceso sistemático ycontin+o para comparar nuestra propia

eficiencia en t$rminos de productividad, calidady prácticas con aquellas compa%ías yoranizaciones que representan la excelencia).

!omo vemos en esta definición se vuelve amencionar el *ec*o de que benc*marUin es

un proceso continuo, tambi$n se presenta elt$rmino de comparación y por ende remarca laimportancia de la medición dentro delbenc*marU.

= di i t



=rocedimientos

#stos autores se centran, a parte de laoperaciones del neocio, en la calidad y en laproductividad de las mismas, considerando elvalor que tienen dic*as acciones en contra de

los costos de su realización lo cual representala calidad, y la relación entre los bienesproducidos y los recursos utilizados para suproducción, lo cual se refiere a la productividad.

=or lo que podemos ver existen varias

definiciones sobre lo que es benc*marUin, yaunque difieren en alunos aspectos tambi$nse puede notar que concuerdan o presentanuna serie de elementos comunes.

= di i t



=rocedimientos

=ara empezar en la mayoría de ellas se resaltael *ec*o de que benc*marUin es un procesocontinuo que al aplicarla en nuestra empresa

resuelva los problemas de la misma, sino quees un proceso que se aplicará una y otra vez yaque dic*o proceso está en b+squeda constantede las mejores prácticas de la industria, y comosabemos la industria está en un cambio

constante y para adaptarse a dic*o cambiodesarrolla nuevas practicas, por lo que no sepuede aseurar que las mejores prácticas de*oy lo serán tambi$n de ma%ana.

= di i t



=rocedimientos

ambi$n se vio en las diferentes definicionesque este proceso no sólo es aplicable a lasoperaciones de producción, sino que puede

aplicarse a todas la fases de lasoranizaciones, por lo que benc*marUin esuna *erramienta que nos ayuda a mejorartodos los aspectos y operaciones del neocio,*asta el punto de ser los mejores en laindustria, observando aspectos tales como lacalidad y la productividad en el neocio.



-e iual manera podemos concluir quees de suma importancia como unanueva forma de administrar ya que

cambia la práctica de compararse sólointernamente a comparar nuestrasoperaciones en base a estándaresimpuestos externamente por las

oranizaciones conocidas como las deexcelencia dentro de la industria.Q@R*ttpOO5onorafias.comOrabajosS.*tml

1 í

http://monografias.com/Trabajos4.html

http://monografias.com/Trabajos4.html



1uías

9na uía de auditoría es un manual escrito que contienedirectrices específicas o instrucciones para llevar a cabo unaauditoría. #stas uías están eneralmente específicas deneocio industrias o sectores, tales como las compa%ías de

seuros, corredurías y compa%ías de financiamiento. 1uíasde auditoría pueden basarse en los principios de marco decontabilidad nacionales o relamentaciones ubernamentalesrelativas a industrias específicas del neocio osectores.Auditores utilicen dic*as uías para evaluar lafinanciera o las operaciones de neocios de una empresa y

determinan si cualquier violaciones o debilidades importantesexisten en información interna o externa de la empresa.



9na uía de auditoría puede desarrollarse para cada tipode auditoría llevada a cabo por una firma de contabilidadp+blica u otra oranización. ipos más comunes de lasauditorías incluyen financiera, cumplimiento de normas,o las auditorías operacionales. La 1uía de auditoríapuede utilizarse por auditores internos empleados

directamente por la empresa o por auditores p+blicosque realizan auditorías externas. 1uías de auditoríainterna y auditoría externa usualmente difieren en suámbito de aplicación para la evaluación de la informaciónde la empresa. Las auditorías internas suelen ser menosformal y destinados a uso de estión sólo. 9na uía de

auditoría externa a menudo se utiliza para evaluar lainformación de la empresa de despac*o a losinteresados de neocios externos.



9na uía de auditoría interna normalmentecomprueba la implementación de las empresas

de controles internos para proteer suinformación financiera y de neocios. !ontrolesinternos podrán limitar el n+mero de funcionesde un individuo puede completar en laempresa, restrinir el acceso a informaciónconfidencial de la empresa o del cliente,arantizar que la compa%ía cumple requisitospara las desinaciones profesionales, o reuniónespecífica ubernamentales y leales. Losdirectores de contabilidad a menudo sonresponsables de desarrollar a la 1uía de

auditoría interna y aseurar que la uía cubretodas las funciones importantes del neocio dela empresa.

P)&ne&'i-n e )& A"i#!$i&



Inf!$>#i'&

2e debe recopilar información para obtener una visióneneral del área a auditar por medio deobservaciones,entrevistas preliminares ysolicitudes de documentos.

La finalidad es definir el objetivo y alcance del estudio, asícomo el prorama detallado de la investiación.

La planeación de la auditoría debe se%alar en formadetallada el alcance y dirección esperados y debecomprender un plan de trabajo para que, en caso de queexistan cambios o condiciones inesperadas que ocasionenmodificaciones al plan eneral, sean justificadas por escrito.



2e debe *acer una investiación preliminar

solicitando y revisando la información de cada unade las áreas de la oranización.

=ara poder analizar y dimensionar la estructura

por auditar se debe solicitar?8 A nivel 0ranización otal

0bjetivos a corto y laro plazo

5anual de la 0ranización

Antecedentes o *istoria del 0ranismo=olíticas enerales



@. A nivel Brea informática0bjetivos a corto y laro plazo5anual de oranización del área queincluya puestos, niveles jerárquicos ytramos de mando.

5anual de políticas, relamentosinternos y lineamientos enerales./+mero de personas y puestos en elárea

=rocedimientos administrativos en elárea.=resupuestos y costos del área.



. 4ecursos materiales y t$cnicos2olicitar documentos sobre los equipos, n+mero 6de los

equipos por instalados, por instalar y proramados7,localización y características.3ec*as de instalación de los equipos y planes deinstalación.!ontratos vientes de compra, renta y servicio demantenimiento.!ontrato de seuros!onvenios que se mantienen con otras instalaciones!onfiuración de los equipos, capacidades actuales ymáximas.=lanes de expansión9bicación eneral de los equipos=olíticas de operación=olíticas de uso o de equipos



S8 2istemas 5anual de formularios. 5anual de procedimientos de los

sistemas

-escripción en$rica -iarama de entrada, arc*ivo y salida. 2alidas impresas 3ec*a de instalación de los sistemas =royectos de instalación de nuevos

sistemas.



!omo resultado de los trabajospreliminares se debe explicitar

objetivo

alcance

limitaciones y colaboración necesarias

rado de responsabilidad

Informes que se entrearan

F&*e* e )& A"i#!$%&



F&*e* e )& A"i#!$%&Inf!$>#i'&

05A -# !0/A!0

=LA/I3I!A!I0/ -# LA 0=#4A!I0/ -#2A440LL0 -# LA A9-I04IA 3A2# -# -IA1/02I!0 =4#2#/A!I0/ -# LA2

!0/!L92I0/#2 30459LA!I0/ -#L =LA/ -#

5#H04A2



Toma de Contacto #n esta etapa se deberán

establecer 8 -efinitivamente el objetivo de la AI 8 Las áreas a cubrir 8 =ersonas de la 0ranización que *abrán de

colaborar y en que momentos de la auditoria 8 =lan de trabajo 8 tareas 8 calendario 8 resultados parciales 8 presupuesto 8 equipo auditor necesario



Planificación de la Operación

Desarrollo de la Auditoria Informática #s el momento de ejecutar las tareas

que se enunciaron en la fase anterior.

#s esta una fase de observación, derecolección de datos, situaciones,deficiencias, en resumen un período enel que



se efectuarán las entrevistas previstas en lafase de planificación.

se completarán todos los cuestionarios quepresente el auditor

se observarán las situaciones deficientes, nosolo las aparentes, sino las que *asta a*ora no

*ayan sido detectadas, para lo que se podrállear a simular situaciones límites.

se observarán los procedimientos, tanto losinformáticos como los de usuarios.

se ejecutarán por lo tanto, todas las previsionesefectuadas en la etapa anterior con el objeto dellear a la siuiente etapa en condiciones dedianosticar la situación encontrada.



Fase de Diagnóstico

!uando ya se *ayan efectuado todas losestudios y revisiones, se debe elaborar eldianóstico. !omo resultados de esta etapa *an

de quedar claramente definidos los puntosd$biles, y por contrapunto los fuertes, los riesoseventuales, y en primera instancia los posiblestipos de solución o mejoras de los problemasplanteados.

#stas conclusiones se discutirán con laspersonas afectadas por lo que seránsuficientemente arumentadas y probadas.



#s un momento delicado en el trato con

las áreas, los auditores deben presentarestas conclusiones como un plan demejoras en beneficio de todos, en luarde una reprobación de los afectados,salvo en el caso de que esto seaestrictamente necesario.



Presentación de las Conclusiones

Formulación del Plan de Mejoras Lleados a este +ltimo punto, la dirección

conoce ya las deficiencias que el equipoauditor *a observado en su departamentoinformático, $stas *an sido discutidas. 5as nobasta con quedarse a*í, a*ora es cuando losauditores *an de demostrar su experiencia ensituaciones anteriores lo suficientementecontrastadas y exitosas y ser capaces deadjuntar, al informe de auditoría, el plan demejoras que permitirá solventar lasdeficiencias encontradas.



#l plan de mejoras abarcará todas lasrecomendaciones derivadas de lasdeficiencias detectadas en la realización

de la auditoria. =ara ello se tendrán encuenta los recursos disponibles, o almenos potencialmente disponibles, por

parte de la #mpresa objeto de la Auditoria.



#ntre las primeras se incluirán aquellasmejoras puntuales y de fácil realización comoson las mejoras en plazo, calidad, planificación

o formación. Las medidas de mediano plazonecesitaran de uno a dos a%os para poderseconcretar. Aquí pues caben mejoras másprofundas y con mayor necesidad de recursos,como la optimización de proramas, o de ladocumentación, e incluso de alunos aspectosde dise%o de los sistemas.



=ara finalizar, las consideraciones alaro plazo, pueden llevar cambiossustanciales en las políticas, medios o

incluso estructuras del servicio deinformática. #stas mejoras pueden pasarpor la reconsideración de los sistemasen uso o de los medios, *umanos y

materiales, con que se cuenta, lleandosi es preciso a una seria reconsideracióndel plan informático.

ALGUNAS RECOMENDACIONES A TENER EN



CUENTA

?8 /o *acer juicios sin la suficientefundamentación@8 !uidar los aspectos de imaen, presentación

y protocolo8 /o adelantar resultados parciales quepueden distorsionar el resultado final

S8 Las entrevistas iniciales son un aspecto muya cuidar. >ay que prepararlas muy bien paraque surtan el efecto que de ellas se espera.



'8 #n todo momento, por cordiales que resultenlas relaciones con los auditados, no perder de

vista el papel de consultores experimentados que*an de tener los auditores informáticos. W8 #xponer la idea que los resultados de laauditoria no *arán más que intentar mejorar, a

todos los efectos, el servicio de informática con elbeneficio que ello supondría para todos losimplicados en el área.

M8 #xponer la idea que al final de la auditoria no

se trata de castiar a nadie. #l objetivofundamental es el de encontrar deficiencias ycorreirlas.



8 #studiar *ec*os y no opiniones. 6no setoman en cuenta rumores ni informaciónsin fundamento7

K8 Investiar las causas, no los efectos.

?N8 Atender razones, no excusas.

??8 !riticar objetivamente y a fondo todoslos informes y los datos recabados.



!D-I10 -# #I!A

=403#2I0/AL -#L A9-I04

#laborar resumen capítulo M

=iattini



#L !0/40L I/#4/0



#l control interno informático controladiariamente que todas las actividades desistemas de información sean realizadas

cumpliendo los procedimientos,estándares y no normas fijados por la-irección de la oranización yOo a ladirección de informática así como losrequerimientos leales.



5isión del control interno informático Aseurarse de que las medidas que seobtienen de los mecanismos implantadospor cada responsable sean correctas yválida.

2uele ser un órano staff, dotado de laspersonas y medios materiales

proporcionados para tareasencomendadas.



0bjetivos

!ontrolar que todas las actividades quese realicen cumplan con normas yprocedimientos, evaluar sus beneficios yaseurarse de cumplimiento de normasleales.

Asesorar sobre el conocimientos de lasnormas



-ebido a que cada día es mas frecuente el uso de redes enlas instituciones, las cuales que van desde simples redesinternas y redes locales 6LA/s7, *asta las redes

metropolitanas 65A/s7 o las redes instaladas a escalamundial 6VA/s7. #l establecimientos para estos controlespara la seuridad en sistemas de redes y sistemasmultiusuario de una empresa es de vital importancia. 4azónpor la cual se debe tomar medidas muy especificas para la

protección, resuardo y uso de proramas, arc*ivos einformación compartida de la empresa.



4especto a la seuridad en redes, existe un sinn+mero demedidas preventivas y correctivas, las cuales constantementese incrementan en el mundo de los sistemas.

-ebido a la características de los propios sistemas

computacionales , a las formas de sus instalaciones , elnumero de terminales y a sus tipos de conexión , esnecesario adaptarse a los constantes cambios tecnolóicosque buscan arantizar la seuridad en el funcionamiento delas propias redes, de sus proramas de uso colectivo, de su

arc*ivos de información y de su demás características.



La seuridad en las redes es muy eficiente y con unaprofundidad dina de se%alarse debido a que constantementese establecen y actualizan sus controles, los cuales van

desde restricción de las accesos para usuarios, *asta el usode palabras claves para el inreso a los proramas y arc*ivosde la empresa , así como el monitoreo de actividades, rutinasde auditoria para identificar comportamientos, con elpropósito de salvauardar la información y los proramas deestos sistemas.



Lo mismo ocurre respecto a los planes yproramas de continencias dise%ados para la

salvauarda de la información, de losproramas y de los mismos sistemas de redestablecidos en la empresa.

!0/40L#2



!0/40L#2

041A/ICA!ID/ 4eistro de los intercambios !ustodia de activos que no sean los del propio departamento !orrección de errores que no provenan de los oriinados por el

propio dpto.

#n cuanto a la oranización dentro del mismo departamento , lassiuiente funciones deben estar sereadas proramación del sistema operativo análisis , proramación y mantenimiento operación inreso de datos

control de datos de entrada O salida arc*ivos de proramas y datos.



-#2A440LL0 5A/#/I5I#/0 -# 2I2#5A2 Las tecnicas de mantenimiento y proramación

operativos del sistema deben estar normalizados ydocumentados.

0=#4A!ID/ =40!#-I5I#/02 -eben existir controles que aseuren elprocesamiento exacto y oportuno de la informacióncontable.

instrucciones por escrito sobre procedimiento parapara preparar datos para su inreso y procesamiento

La función de control debe ser efectuada por unrupo específico e independiente.

Instrucciones por escrito sobre la operación de losequipos.

2olamente operadores de computador deben

procesar los 2I2 0=

!0/40L#2 -# #X9I=02 =4014A5A2 -#L



2I2#5A -ebe efectuarse un control de los equipos

proramación del mantenimiento preventivo yperiódico reistro de fallas de equipos Los cambios del sist. 0p. la proramación. !0/40L#2 -# A!!#20

#l acceso al =#- debe estar restrinido en todomomento. ambi$n debe controlarse el acceso los equipos debe estar restrinido a

aquellos autorizados el acceso de documentación solo aquellos

autorizados el acceso a los arc*ivos de datos y proramas sololimitado a operadores



Y#l funcionamiento adecuado de los protocolos de red

Y#l funcionamiento corrector de direcciones ya sean por un nivel o jerárquicas.

Y#l manejo de los tama%os de paquetes que se manejan en la red, se+n sumáximo.

Y#l control de errores para la entrea confiable y en orden o sin orden de lainformación que se trasmite en la red.

Y!ontrol de flujo y de velocidad de trasmisión de los datos de la red.

Y!ontrol de conestión del manejo de la información, trasmisión y protocolode la red.

Administración y control de la problemática de seuridad de la red, lainformación, los usuarios, los sistemas computacionales y de lasinstalaciones físicas.

!ontabilidad de los tiempos de uso del sistema, ya sea por conexión de lasterminales, por paquetes, por byte, por proceso o por cualqu



Y Análisis del funcionamiento de los mecanismos de control de accesoa las instalaciones, información y soft:are institucional.Y Análisis de prevención de accesos m+ltiples, sin permisos, dolosos yde todas aquellas acciones para inresar al sistema sin laautorización correspondiente.

Y Análisis del procesamiento de información en los sistemas de red.Y Análisis de la administración y el control de la asinación de losniveles de acceso, privileios y contrase%a para los usuarios parainresar al sistema de la información.Y Análisis del monitoreo de las actividades de los usuarios.

Y Análisis de las medidas correctivas y preventivas para evitar lapiratería de información, soft:are, activos informáticos y consumiblesdel área de sistemas.



4I#2102 -# A9-I04EA

5A#4IALI-A-

Análisis de riesos y



ymaterialidad

#l 4ieso en auditoría representa la posibilidad de que el auditorexprese una opinión errada en su informe debido a que losestados financieros o la información suministrada a $l est$nafectados por una distorsión material o normativa.

Análisis de riesos y



ymaterialidad

#n auditoría se conocen tres tipos de rieso In*erente, de!ontrol y de -etección. #l rieso in*erente es la posibilidad deque existan errores sinificativos en la información auditada, almaren de la efectividad del control interno relacionado" son

errores que no se pueden prever. #l rieso de control estárelacionado con la posibilidad de que los controles internosimperantes no preveen o detecten fallas que se están dando ensus sistemas y que se pueden remediar con controles internosmás efectivos. #l rieso de detección están relacionados con eltrabajo del auditor, y es que $ste en la utilización de losprocedimientos de auditoría, no detecte errores en la informaciónque lesuministran. #l rieso de auditoria se encuentra así 4A Z4I x 4! x 4-

!lasificación de los riesos



!lasificación de los riesos

#sta clasificación de los riesos en auditoría puede tenersus variantes" por ejemplo, en aylor y 1lezze semencionan el rieso alfa6rieso del rec*azo indebido7 y elrieso beta6rieso de la aceptación indebida7

La 2A2 /o K. 5enciona el 4ieso 9ltimo como unacombinación de dos riesos el que se cometan errores deimportancia en el proceso contable y el de que estoserrores no sean detectados por el auditor. 2e describe

tambi$n como el rieso de que en el saldo de una cuenta,exista un error monetario mayor que el que se puedatolerar65aterialidad7 y que el auditor no pueda detectarlo.

La materialidad



La materialidad

La 5aterialidad es el error monetario máximo que puedeexistir en el saldo de una cuenta sin dar luar a que losestados financieros est$n sustancialmente deformados. A la

materialidad tambi$n se le conoce como Importancia4elativa.



-##!!ID/ -# 34A9-#2

3raude



3raude

-efinición.8 =odemos afirmar que es un ena%o *acia un tercero, abuso deconfianza, dolo, simulación, etc. #l t$rmino <fraude< se refiere al actointencional de la Administración, personal o terceros, que da comoresultado una representación equivocada de los estados financieros,pudiendo implicar

[ 5anipulación, falsificación o alteración de reistros o documentos.

[ 5alversación de activos

[ 2upresión u omisión de los efectos de ciertas transacciones en los

reistros o documentos. [ 4eistro de transacciones sin sustancia o respaldo

[ 5ala aplicación de políticas contables.

ipos de fraude



ipos de fraude

2e considera que *ay dos tipos de fraudes el primero de ellosse realiza con la intención financiera clara de malversación deactivos de la empresa.

#l seundo tipo de fraude, es la presentación de informaciónfinanciera fraudulenta como acto intencionado encaminado a

alterar las cuentas anuales.

[ Los fraudes denominados internos son aquellosoranizados por una o varias personas dentro de unainstitución, con el fin de obtener un beneficio propio.

[ Los fraudes conocidos como externos son aquellos que seefect+an por una o varias personas para obtener un beneficio,utilizando fuentes externas como son bancos, clientes,proveedores, etc.

=orque *ay fraudes



=orque *ay fraudes

=or Xue >ay 3raudes

2e considera que *ay fraudes por

[ 3alta de controles adecuados.

[ =oco y mal capacitado personal. [ Jaja O alta rotación de puestos.

[ -ocumentación confusa.

[ 2alarios bajos.

[ #xistencia de activos de fácil conversión bonos, paares, etc.

[ Leislación deficiente. [ Actividades incompatibles entre sí.

!omo se evita un fraude

La respuesta más sencilla es la de mejorar el control



administrativo, implementar practicas y políticas de control, analizarlos riesos que motiven a un fraude, tener la mejor ente posible,

bien remunerada y motivada.

!omo se detecta un fraude

#xiste una infinidad de respuestas a esta preunta las más

comunes son [ 0bservar, probar o revisar los riesos específicos de control,

identificar los mas importantes y viilar constantemente suadecuada administración.

[ 2imular operaciones.

[ 4evisar constantemente las conciliaciones de saldos conbancos, clientes, etc.

[ Llevar acabo pruebas de cumplimiento de la eficacia de loscontroles.



!0JI, IIL, 50=40203

Date post:	28-Feb-2018
Category:	Documents
Upload:	jonathan
View:	219 times
Download:	0 times

Auditori a 2

Documents