• Author / Uploaded
• Luis Angel

Citation preview

Pruebas sustantivas: consisten en aquellas pruebas de detalle que se realizan sobre las transacciones y saldos para la obtención de la evidencia relacionada con la validez y el tratamiento contable – ejemplo: proceso de confirmaciones de cuentas por cobrar Pruebas analíticas: evaluaciones de información financiera que se hacen mediante un estudio de las relaciones entre datos financieros y no financieros… que implican comparaciones de montos registrados con expectativas que desarrolla el auditor.– resultados previstos de la entidad, tales como presupuestos y pronósticos, o expectativas del auditor, tales como una estimación de las amortizaciones. Atestación: la atestación es el testimonio, que mediante declaración o manifestación expresa, el contador público expone la responsabilidad que asume respecto al contenido de algún documento, preparado y certificado por la administración. Es decir, que se compromete como testigo fiel de los hechos u operaciones que se exponen. Pruebas de transacciones: se orientan a la detección de errores en el registro de las operaciones realizadas por la empresa. Los saldos de la cuenta de pérdidas y ganancias se tienen que analizar mediante pruebas sobre las transacciones realizadas, debido a que estas partidas recogen los flujos habidos en la empresa en un período determinado. Sin embargo, las partidas del balance pueden ser auditadas mediante pruebas de transacciones o, como sucede más frecuentemente, a través de pruebas sobre saldos. Auditoria concepto Contenido: opinión Condición: profesional Justificación: sustentada en determinados procedimientos Objeto: una determinada información obtenida en un cierto soporte Finalidad: determinar si presenta adecuadamente la realidad o ésta responde a las expectativas que el son atribuidas, es decir su fiabilidad. Tecnología de información – computadoras, tecnología de comunicaciones, estaciones de trabajo, robótica, circuitos de computadora ¿qué se entiende por “ti”?

El concepto “tecnologías de la información” se compone de tecnologías que facilitan la información, el procesamiento y transmisión de información por medios electrónicos. Este concepto ha sido considerado un catalizador para asegurar que todos los miembros de la sociedad puedan capitalizar oportunidades de negocio y establecer una conexión electrónica y digital que permita el acceso a la información y al conocimiento, ya sea de, o para el gobierno, el ciudadano o las empresas. Sistemas de información Es una parte de una organización compuesta por: personas, recursos materiales (edificios, mobiliario, instalaciones), recursos técnicos (máquinas, tecnologías), recursos lógicos (software, metodologías, normas, procedimientos). Cuyas funciones se estructuran y se orientan para cumplir el objetivo final de: adquirir, procesar, almacenar, distribuir y salvaguardar la información de la organización como cualquier otro activo de la misma: ejemplos – gestión de la matrícula de una universidad, módulo de planillas, módulo de facturación, gestión de cajeros automáticos de un banco, módulo de control de tráfico aéreo, reserva de pasajes una compañía de transporte, gestión presupuestaria. Estructura de la organización Estratégico Táctico Operacional o transaccional Tecnologías de la información en las organizaciones • inteligencia artificial • visión artif., reconoc. De voz y de ln • multimedia • redes neuronales, lógica difusa • tecnologías de producción computarizadas • fab. Integrada por computador (cim) • sistemas de fab. Flexible (fms) • sistemas logísticos automatizados • bloco chain Funciones principales – registro de transacciones diarias. Información para planificación y control. Ayuda para la toma de decisiones. Sistema de decisiones programadas • antes se construían sistemas masivos genéricos para proporcionar

información genérica sobre aplicaciones específicas. • en la actualidad es posible crear aplicaciones sobre medida que sirva a unas cuantas personas o grupos dentro de la institución Desafios de auditoria por las Computadoras Los flujos de transacciones son menos visibles – el fraude es más fácil, los computadores hacen exactamente lo que les dice • errar es humano • pero, hasta para atornillar se necesita un computador • muestras de auditoría requieren conocimiento de computación y su acceso • los flujos de transacciones son mucho más grandes (bueno para la compañía, malo para el auditor) – auditorías crecer más y más de un año a otro • y hay más presión • los problemas de seguridad medioambiental, física y lógica crecen de forma exponencial – los virus y la piratería se originaron en el exterior, son la principal fuente de riesgo • (10 años atrás eran los empleados) Beneficios • el uso de programas de auditoría es bastante estándar para las firmas de auditoría, y se considera una buena práctica empresarial. • beneficios de la firma de auditoría de la utilización de un programa de auditoría – mejoran la planificación de recursos (donde gastar el dinero y contratar a personas en una auditoría), promueven la consistencia de un año a otro cuando el personal y situaciones de un cambio de auditoría, programas de años anteriores son la base para los procedimientos de auditoría del año en curso, cualquier otra cosa que parece razonable Diferencias entre auditoria interna y externa Concepto: auditoria ext.; auditoria int. Grado de indep. : mayor; menor Inter. Servidos: accionistas; dirección Téc. Utilizadas: indicadores; áreas de interés Forma de trabajo: general; detallado

Teoría de la agencia Sirve de plataforma teórica en una serie de estudios en economía y la teoría de organizaciones, en particular para las finanzas, comportamiento organizacional, mercadeo. Parte del supuesto de que en cualquier interacción económica se pueden identificar dos partes, el principal y el agente. El principal contrata al agente para realizar un trabajo por cuenta del principal. El principal le delega una parte de su autoridad de decisión al agente. Empiezan los problemas Defina que entiende por problemas de agencia La información entre el principal y agente es asimétrica. Quiere que decir el agente sabe más del negocio, oficio o profesión que desempeña, que el principal. La acción del agente, es decir, su nivel del esfuerzo, no es directamente observable por el principal El resultado de las acciones del agente no depende sólo de él, sino también de los choques externos (cambios en la demanda, acciones de la competencia, moda). El principal y el agente son racionales y buscan maximizar sus funciones de utilidad, que no coinciden Gobierno de ti Sistema por el cual se dirige y controla las ti dentro de las empresas. Estructura de gobierno de ti establece: derechos y responsabilidades entre: el directorio, los gerentes de negocios y personal de ti. Explica las reglas y procedimientos para tomar decisiones sobre las tecnologías. Provee la estructura a través del cual los objetivos de ti deben ser establecidos, y los medios para lograr los objetivos y monitorear el rendimiento” Ti es esencial para manejar transacciones, la información y los conocimientos necesarios para iniciar y mantener actividades económicas y sociales. Estas actividades dependen cada vez más de ti para tener éxito. Son fundamentales para: apoyar, sostener y hacer crecer el negocio.

Tendencias de los nuevos sistemas de información Plataforma móvil emergente Navegación por web Transmisión de mensajes instantáneos Correo electrónico Visualización de contenido digital Intercambio de datos con sistemas corporativos internos Software en línea como un servicio (saas) Utilizar una aplicación que no reside en las instalaciones de la empresa sino que se encuentra hospedada en la compañía desarrolladora o proveedora del servicio. Los usuarios de las aplicaciones contratadas acceden y trabajan con el software de manera remota a través de internet. Computación en la nube o Principales responsabilidades Alinear estrategia: de ti con, del negocio; Proveer dirección a los procesos que implementan la estrategia; Garantizar la obtención de los resultados deseados. Importancia del gobierno de ti Nivel directivo y ejecutivo: promover medidas efectivas y oportunas: Manejo adecuado de la ti Proporcionar: el liderazgo, procesos y estructuras de organización necesarios Asegurar que la ti: sustente y amplíe los objetivos y las estrategias de la organización. Normas y reglamentaciones de dirección corporativa para el manejo total de la empresa Dichas disposiciones establecen: responsabilidades de la dirección; y, establecer una estrategia y asegurarse de que la administración la lleva a cabo. Crear nuevos modelos de negocio y cambiar las prácticas comerciales, aumento del valor de la información para obtener retorno positivo, los riesgos de hacer negocio en un mundo digital interconectado y depender de entidades más allá del control directo de la empresa Impacto en la continuidad del negocio debido al apoyo cada vez mayor en la información y la ti en todos los aspectos de la empresa: capacidad para crear y guardar el conocimiento esencial. Para que el negocio crezca y se mantenga: disminuyendo sus errores.

Para que crezca su reputación como herramienta poderosa y por ende, su valor empresarial Objetivos de ti Agregar valor al negocio y mitigar riesgos por ti La primera se lleva a cabo por la alineación estratégica de la ti con la estrategia de negocio. La segunda se realiza al establecer responsabilidades (accountability) dentro de la empresa. Drivers: Alineamiento estratégico y administración de recursos Medición de desempeño ambas necesitan medición, por ejemplo, por medio de un cuadro de mando integral (bsc). Administración del riesgo Proactividad. Análisis de riesgos y nivel de riesgo aceptable para el negocio. Responsabilidad final de la gerencia por la administración de riesgos. Sistema de control interno costoeficiente. Administración de riesgo como parte integral de la operación del negocio Riesgos de la TI Los negocios se hacen de manera ininterrumpida e internacional, El tiempo de reparación del sistema y de la red se ha vuelto demasiado costoso para cualquier empresa. La ti es un recurso competitivo necesario para diferenciar y proporcionar una ventaja competitiva. En muchas otras determina la supervivencia, no sólo la prosperidad. La red económica ha aportado mercados más eficientes, ha permitido la modernización de procesos y ha optimizado las cadenas de suministro. Ha creado nueva tecnología y riesgos empresariales, así como nueva información y requerimientos de flexibilidad. Determinan que el gobierno de la ti sea más eficaz y transparente Estrategias de riesgo: transferir, aceptar, evitar y reducir RAZONES PARA LA AUDITORIA Y EL CONTROL DE TI Mayor dependencia de los sistemas informáticos Es vital que su utilización sea controlada Costos por pérdida de los datos

Datos.- Recurso crítico necesario para que una organización continúe operando Suministran una imagen de la organización: Su entorno, Su historia, Su futuro Si la imagen es precisa la habilidad para: Adaptarse y Sobrevivir Nos encontramos en un entorno cambiante. Cuando una organización pierde su archivo de cuentas a pagar. No podría pagar sus deudas a tiempo: Sufriría una pérdida su nivel de crédito Si pidiese ayuda a sus acreedores; Tendría que confiar en su honestidad para saber la deuda  Además los acreedores: Pondrían en cuestión su competencia, Podrían eliminar el nivel del crédito en el futuro. Fraude informático Incidente asociado con la tecnología informática en el que: Víctima sufre o puede sufrir pérdidas y, Causante intencionadamente gana o puede ganar. A veces difícil de controlar debido a temas legales Valor del Hw, Sw y del personal Recursos críticos en una organización. Pérdida HW ==> causar interrupciones considerables. SW corrompido o destruido ===> No se puedan continuar las operaciones El personal de la organización es muy valioso En el entorno informático dado el alto nivel de cualificación requerido es más valioso Errores informáticos Los sistemas informáticos realizan muchas funciones críticas: Controlan robots. Monitorizan las condiciones un paciente en una operación, Calculan y pagan intereses en cuentas de inversión, Dirigen el rumbo de un barco. ===> El costo de un error informático puede ser muy alto. FUNDAMENTOS DE LA AUDIT DE TI No es una extensión de la auditoria tradicional. La función de auditoria de TI emana de dos direcciones: Los computadores han impactado su habilidad para la realización de la función dar una clara prueba. La alta dirección considera que estos son recursos valiosos que deben ser controlados Auditoria tradicional

Aporta un importante bagaje de conocimiento y experiencia de técnicas de control interno. Trabajos administrativos que soportan al sistema informático (ej. actividades de preparación de datos). Estas actividades deben estar sujetas a principios de control interno: segregación funciones, personal competente y de confianza Aplicación de estos principios incrementa la integridad de los datos antes de su introducción en un SI y en la distribución de la salida. Gestión de sistemas de información Desastres en la implantación de los sistemas informáticos. Mucha actividad de investigación en cómo desarrollar e implementar sistemas de información, técnicas de dirección de proyectos Cada vez se hace más énfasis en la utilización de estándares y en la documentación. Ciencias del comportamiento La principal razón de que fallen los sistemas informáticos es: Ignorancia de los problemas del comportamiento de las personas involucradas en el desarrollo e implementación de los sistemas de información. Los auditores de SSII deben conocer las condiciones que llevan a problemas de comportamiento y al posible fallo del sistema. Ciencias de los Computadores Sobre control se ha realizado mucha investigación en: Desarrollo de software libre de errores Transmitir datos de forma segura Bases teóricas de programación Los resultados de negocios de cualquier organización dependen de la calidad de servicios de TI. Esta dependencia se deriva en los siguientes requerimientos: Alinear los objetivos de TI con el negocio Gestionar costos, inversiones y riesgo Salvaguarda de los recursos Personal, Hardware, Software, Archivo de datos, Documentación del sistema, Suministros. Integridad de los datos Incluye varios aspectos: completitud robustez pureza fiabilidad. Sin integridad de los datos, una organización no tiene una verdadera

representación de sí misma ni de los eventos del mundo real. Efectividad del sistema Sistema que consigue sus objetivos. Para evaluar la eficacia hay que conocer las necesidades de los usuarios.  El auditor debe conocer: Características de los usuarios y Marco de la toma de decisiones Eficiencia del sistemaEs difícil asegurarse de que los usuarios: comunican sus necesidades entienden el diseño propuesto lo aceptan La gerencia puede querer una evaluación independiente de la probabilidad de que el diseño responda a las necesidades de los usuarios. El auditor puede ser el responsable de realizarla EFECTOS DE LA TI SOBRE LOS CONTROLES INTERNOS 1. Segregación de funciones 2. Delegación de la responsabilidad y de la autoridad 3. Personal competente y de confianza 4. Sistema de autorizaciones 5. Documentación y registros adecuados 6. Control físico sobre activos y registros 7. Adecuada supervisión de la gestión 8. Verificación independiente de las operaciones 9. Comparación periódica de los registros contabilizados con los Activos Defina concepto de auditoria de tecnologias de información La auditoría de las tecnologías de información, mejor conocida como “auditoría de ti” o “auditoría informática”, es una actividad de control que comprende la evaluación de las tecnologías de información (ti), así como de la seguridad de la información (si), dentro de una organización. Está basada en buenas prácticas y normas nacionales e internacionales, que son utilizadas para revisar y calificar el diseño, desempeño y cumplimiento de los controles implementados en el ambiente de ti. Permite contar con una evaluación objetiva e independiente respecto a los procesos, servicios, aplicaciones, infraestructura e información, identificando los principales riesgos de negocio relacionados con ti, resultado de posibles debilidades de control.

¿Cómo definir la seguridad informática? Según la RAE: “Seguridad” es la “cualidad de seguro”. “Seguro” es “libre y exento de todo peligro, daño o riesgo”. Seguridad informática es “Cualidad de un sistema informático exento de peligro”, Algo básico: Seguridad no es un producto, sino un proceso. Definición: Conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el cual participan además personas. Darles su importancia en el proceso será algo crítico. ¿Qué se entiende por seguridad informática? La seguridad física: Políticas de seguridad, normativas, planes de contingencia, la protección física de los datos, gestión de la seguridad, accesos, auditoría, leyes. Seguridad lógica: Aplicación de barreras y procedimientos que resguarde el acceso a los datos y sólo se permite acceder a ellos a las personas para hacerlo. Identificación: El usuario se da a conocer al sistema Autenticación: Verificación del sistema ante la identificación Formas de autentificación-Verificación: conoce (Password), es (Huella digital), hace (Firmar), posee (Token card) PRINCIPIOS P1: El intruso al sistema utilizará el proceso que haga más fácil su acceso y posterior ataque. Existe una serie de frentes desde los que puede producirse un ataque, tanto internos como externos. Esto dificulta el análisis de riesgo ya que el delincuente aplicará la filosofía del ataque hacia el punto más débil: el equipo o las personas. P2: Los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor como tal. Caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. Esto nos llevará a la fortaleza del sistema. P3: las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente,

sean fáciles de usar y apropiadas al medio. Efectivo: que funcionen en el momento oportuno. Eficiente: que optimicen los recursos del sistema. Apropiadas: que pasen desapercibidas para el usuario. Y lo más importante: ningún sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concienciación de los usuarios, éste será uno de los grandes problemas de la Gestión de la Seguridad Informática. Amenazas del sistema Las amenazas afectan al hardware, al software y a los datos. Éstas se deben a fenómenos de: Interrupción: Se daña, pierde o deja de funcionar un punto del sistema. Su detección es inmediata. Destrucción del hardware. Interceptación: Acceso a la información por parte de personas no autorizadas. Uso de privilegios no adquiridos. Su detección es difícil, a veces no deja huellas. Copias ilícitas de programas. Modificación: Acceso no autorizado que cambia el entorno para su beneficio. Su detección es difícil según las circunstancias. Modificación de bases de datos. Generación: Creación de nuevos objetos dentro del sist. Su detección es difícil: delitos de falsificación. Añadir transacciones en red. Qué es la seguridad de la información Medidas de Seguridad que se establecen, adoptan e implementan, Para proteger la información, procesada, almacenada o transmitida Por sistemas de las TI contra la pérdida de: Confidencialidad, Integridad o Disponibilidad, Ya sea accidental o intencionada Para impedir la pérdida de la integridad y disponibilidad de los propios sistemas. Confidencialidad: Información accesible sólo para aquellos usuarios autorizados Integridad: Salvaguardar que la información y los métodos de procesamiento sean exactos y completos Disponibilidad: Usuarios autorizados tengan acceso a la información y bienes asociados cuando lo requieran Por qué es necesaria

La información y los procesos de apoyo, sistemas y redes son importantes bienes del negocio La confidencialidad, integridad y disponibilidad de la información puede ser esencial para mantener: el margen de competitividad, flujo de caja, utilidad, cumplimiento legal e imagen del negocio. Las organizaciones y sus sistemas de información y redes están enfrentados en forma creciente a las amenazas de la seguridad desde una amplia gama de fuentes, incluyendo: Fraudes apoyados por computador, Espionaje, Sabotaje, Vandalismo, Fuego o inundación. También pueden ser necesarias las opiniones de especialistas de organizaciones externas Cómo establecer los requisitos Existen tres fuentes principales: Evaluar los riesgos de la organización. A través de esta evaluación, se identifican las amenazas a los bienes, la vulnerabilidad, se evalúa la probabilidad de ocurrencia y se estima el impacto potencial Fuentes principales: Fuente legal, estatutaria, regulatoria y los requisitos contractuales que tiene que satisfacer tanto la organización, como sus socios comerciales, los proveedores y personal externo de servicios Conjunto particular de principios, objetivos y requisitos para el procesamiento de la información que una organización ha desarrollado para el apoyo a sus operaciones. Delito informático Cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el procesado automático de datos y/o transmisiones de datos Se realizan por medios informáticos y tienen como objeto a la información en sí misma Delitos informáticos Fraudes cometidos mediante manipulación de computadoras, Manipulación de datos de E/S, Daños a programas o datos almacenados, Distribución de virus, Espionaje, Acceso no autorizado, Reproducción y distribución de programas protegido por la ley Amenazas Humanas Hacker: persona curiosa, inconformista y paciente que busca su superación continua aprovechando las

posibilidades que le brindan los sistemas. Cracker: hacker dañino. Phreaker: persona que engaña a las compañías telefónicas para su beneficio propio. Pirata Informático: persona que vende software protegido por las leyes de Copyright. Creador de virus Diseminadores de virus Insider: personal interno de una organización que amenaza de cualquier forma al sistema de la misma