AUDITOR

1
AUDITORIA DE REDES
Mtra. Lucero J. Govea
2
AUDITORIA DE REDES

• Qué es la Auditoría de Redes?

Investigar
Revisar y Verificar
Evaluar
Recomendar
3
Qué se debe revisar?
Diseño de la Red
4
AUDITORIA DE REDES
Verificar Cableado
Qué se debe revisar?
5
Instalaciones Electricas
Qué se debe revisar?
6
Qué se debe revisar?
Tráfico de Red
7
Climatización de Servidores
Qué se debe revisar?
8
Procedimientos de Respaldos
Qué se debe revisar?
9
Licencias del Software
Qué se debe revisar?
10
Inventario de Equipos
Qué se debe revisar?
11
Unidad I

• Identificar los conceptos básicos requeridos para
  la práctica de auditoría de redes de voz y datos.

Propósito
12
CONOCIMIENTOS DE LA UNIDAD DE APRENDIZAJE AUDITO
RÍA DE REDES UNIDAD DE COMPETENCIA I
13
CONCEPTO DE AUDITORÍA A LAS TECNOLOGÍAS DE LA
INFORMACIÓN
TIPOS DE AUDITORÍA
ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA
ESTÁNDARES, DIRECTRICES, PROCEDIMIENTOS Y GUÍAS
DE AUDITORÍA
CÓDIGO DE ÉTICA PROFESIONAL DEL AUDITOR
EL CONTROL INTERNO
14
RIESGOS DE AUDITORÍA Y MATERIALIDAD
DETECCIÓN DE FRAUDES
AUTOEVALUACIÓN DEL CONTROL
COBIT
ITIL
MARCO JURÍDICO NORMATIVO DE LA FUNCIÓN DE
AUDITORÍA
15

Presentación

• La Auditoría Informática constituye una serie de
  exámenes que se realizan en un sistema
  informático de manera periódica o esporádica, con
  el propósito de analizar y evaluar la
  planificación, la eficacia, sus objetivos de
  control, la seguridad, economía y por supuesto la
  detección de irregularidades que se podrían
  manifestar en el procesamiento de la información.

16

Presentación

• La Auditoría Informática comprende la revisión y
  la evaluación independiente y objetiva, del
  ambiente y del entorno informático de una
  organización. Comprende la evaluación de todas o
  algunas de sus áreas, los estándares y
  procedimientos en vigor, su calidad y el
  cumplimiento de ellos, de los objetivos fijados,
  de los contratos y las normas legales aplicables
  el grado de satisfacción de usuarios y
  directivos los controles existentes y un
  análisis de los riesgos.

17

Presentación
Presentación

• El curso está centrado en el análisis de los
  aspectos teóricos, metodológicos y técnicos de
  los diversos temas que comprende la auditoría
  informática. El propósito fundamental es el de
  ofrecer a los estudiantes, métodos y
  procedimientos que apoyados en tecnologías de la
  información fortalezcan el aprendizaje
  significativo.

18

Presentación

• Comprende la enseñanza aprendizaje de 5
  unidades didácticas que tendrán como diferentes
  recursos para lograr la construcción del
  conocimiento de los estudiantes.

19
Definiendo Auditoría

• La palabra auditoría viene del latín
  auditorius, y de esta proviene auditor el que
  tiene la virtud de oír revisor de cuentas
  colegiado
• El auditor tiene la virtud de oír y revisar
  cuentas, encaminado a un objetivo específico,
  evaluar la eficiencia y eficacia con que se está
  operando para que por medio de señalamientos , se
  tomen decisiones que permitan corregir los
  errores en caso de que existan o mejorar la forma
  de actuación.

20
Definiendo Auditoría

• con frecuencia la palabra auditoría se ha
  empleado incorrectamente y se le ha considerado
  una evaluación cuyo único fín es detectar errores
  y señalar fallas, por eso la frase tan utilizada
  tiene auditoría como sinónimo de que antes de
  realizarse, ya se encontraron fallas y por lo
  tanto se está haciendo la auditoría.

21
Definiendo Auditoría

• El concepto de auditoría es más amplio no solo
  detecta errores
• es un examen crítico con la finalidad de evaluar
  la eficiencia y eficacia de una sección o un
  organismo,
• Determinar cursos alternativos de acción para
  mejorar la organización y lograr los objetivos
  propuestos

22
CONCEPTO DE AUDITORÍA A LAS TECNOLOGÍAS DE LA
INFORMACIÓN
23
Concepto de Auditoríaa las tecnologías de la
Información

• La Auditoria de TECNOLOGIAS DE INFORMACION
  (T.I.), como se le conoce actualmente, (Auditoria
  informática o Auditoria de sistemas en nuestro
  medio).
• En algunos países altamente desarrollados es
  catalogada como una actividad de apoyo vital para
  el mantenimiento de la infraestructura crítica de
  una nación, tanto en el sector público como
  privado, en la medida en que la INFORMACION es
  considerada un activo tan o más importante que
  cualquier otro en una organización.

24
Concepto de Auditoríaa las tecnologías de la
Información

• Existen, normas, técnicas y buenas practicas
  dedicadas a la evaluación y aseguramiento de la
  calidad, seguridad, razonabilidad, y
  disponibilidad de la INFORMACION tratada y
  almacenada a través de la computadora y equipos
  afines, así como de la eficiencia, eficacia y
  economía con que la administración de un ente
  están manejando dicha INFORMACION y todos los
  recursos físicos y humanos asociados para su
  adquisición, captura, procesamiento, transmisión,
  distribución, uso y almacenamiento.

25
Concepto de Auditoríaa las tecnologías de la
Información

• Cuyo objetivo es una opinión o juicio, para lo
  cual se aplican técnicas de auditoria de general
  aceptación y conocimiento técnico específico.

26
Concepto de Auditoríaa las tecnologías de la
Información

• apoyada por un conjunto de conocimientos acerca
  de la tecnología informática, de técnicas y
  procedimientos de auditoría y de conocimientos
  contables, para evaluar la calidad, fiabilidad y
  seguridad de un entorno informático dado, así
  como brindar seguridad razonable acerca de la
  utilidad de la información almacenada y procesada
  en ellos, con el fin de emitir un juicio al
  respecto.

27
Concepto de Auditoría

• Finalmente, deberá expresar su opinión acerca del
  grado de eficiencia, eficacia y economía con que
  están siendo usados - administrados todos los
  recursos de tecnología informática a cargo de la
  administración, incluido el factor humano.

28
Auditoría de Red

• La globalización, la competencia y los
  avancestecnológicos están aumentando la
  importancia de las redes corporativas en todos
  los sectores empresariales.
• Las empresas con mayor visión deben estar
  preparadas para una creciente dependencia de sus
  redes y, en consecuencia, para un crecimiento de
  red exponencial.Además, La infraestructura de
  las Tecnologías de la Información y de las
  Comunicaciones (TIC) se ha convertido en un
  activo empresarial estratégico y la red
  constituye su núcleo.

29
Concepto
CONCEPTO
Una Auditoria de Redes es, en esencia, unaserie
de mecanismos mediante los cuales sepone a
prueba una red informática, evaluandosu
desempeño y seguridad, a fin de lograr
unautilización más eficiente y segura de
lainformación. El primer paso para iniciar
unagestión responsable de la seguridad
esidentificar la estructura física
(hardware,topología) y lógica (software,
aplicaciones) delsistema (sea un equipo, red,
intranet, extranet),y hacerle una Análisis de
Vulnerabilidad, parasaber en qué grado de
exposición nosencontramos

• Una Auditoria de Redes es, en esencia, una serie
  de mecanismos mediante los cuales se pone a
  prueba una red informática, evaluando su
  desempeño y seguridad, a fin de lograr una
  utilización más eficiente y segura de la
  información.

30
Concepto

• El primer paso para iniciar unagestión
  responsable de la seguridad esidentificar la
  estructura física (hardware,topología) y lógica
  (software, aplicaciones) del sistema (sea un
  equipo, red, intranet, extranet), y hacerle una
  Análisis de Vulnerabilidad, para saber en qué
  grado de exposición nos encontramos.

31
Concepto

• Así, hecha esta "radiografía" de la red,
  seprocede a localizar sus fallas máscríticas,
  para proponer una Estrategia deSaneamiento de
  los mismos un Plan deContención ante posibles
  incidentes y unSeguimiento Contínuo del
  desempeño delsistema.

32
TIPOS DE AUDITORÍA
33
Tipos de Auditoría

• Auditoría Interna y Auditoría Externa
• La auditoría interna es la realizada con recursos
  materiales y personas que pertenecen a la empresa
  auditada.
• Los empleados que realizan esta tarea son
  remunerados económicamente. La auditoría interna
  existe por expresa decisión de la Empresa, o sea,
  que puede optar por su disolución en cualquier
  momento.

34
Auditoría externa

• Realizada por personas afines a la empresa
  auditada es siempre remunerada.
• Se presupone una mayor objetividad que en la
  Auditoría Interna, debido al mayor
  distanciamiento entre auditores y auditados.

35
Auditoría informática interna

• La auditoría informática interna cuenta con
  algunas ventajas adicionales muy importantes
  respecto de la auditoría externa, las cuales no
  son tan perceptibles como en las auditorías
  convencionales.
• La auditoría interna tiene la ventaja de que
  puede actuar periódicamente realizando Revisiones
  globales, como parte de su Plan Anual y de su
  actividad normal. Los auditados conocen estos
  planes y se habitúan a las Auditorías,
  especialmente cuando las consecuencias de las
  Recomendaciones habidas benefician su trabajo.

36
Auditoría informática interna

• En una empresa, los responsables de Informática
  escuchan, orientan e informan sobre las
  posibilidades técnicas y los costeo de tal
  Sistema. Con voz, pero a menudo sin voto,
  Informática trata de satisfacer lo más
  adecuadamente posible aquellas necesidades. La
  empresa necesita controlar su Informática y ésta
  necesita que su propia gestión esté sometida a
  los mismos Procedimientos y estándares que el
  resto de aquella.
• La conjunción de ambas necesidades cristaliza en
  la figura del auditor interno informático.

37
Auditoría informática interna

• En cuanto a empresas se refiere, solamente las
  más grandes pueden poseer una Auditoría propia y
  permanente, mientras que el resto acuden a las
  auditorías externas. Puede ser que algún
  profesional informático sea trasladado desde su
  puesto de trabajo a la Auditoría Interna de la
  empresa cuando ésta existe. Finalmente, la propia
  Informática requiere de su propio grupo de
  Control Interno, con implantación física en su
  estructura, puesto que si se ubicase dentro de la
  estructura Informática ya no sería independiente.
  

38
Auditoría informática interna

• Hoy, ya existen varias organizaciones
  Informáticas dentro de la misma empresa, y con
  diverso grado de autonomía, que son coordinadas
  por órganos corporativos de Sistemas de
  Información de las Empresas.

39
Auditoría informática interna

• Una Empresa o Institución que posee auditoría
  interna puede y debe en ocasiones contratar
  servicios de auditoría externa. Las razones para
  hacerlo suelen ser
• 1) Necesidad de auditar una materia de gran
  especialización, para la cual los servicios
  propios no están suficientemente capacitados.

40
Ausitoría informática interna

• 2) Contrastar algún Informe interno con el que
  resulte del externo, en aquellos supuestos de
  emisión interna de graves recomendaciones que
  chocan con la opinión generalizada de la propia
  empresa.
• 3) Servir como mecanismo protector de posibles
  auditorías informáticas externas decretadas por
  la misma empresa.

41
Auditoría informática interna

• Aunque la auditoría interna sea independiente del
  Departamento de Sistemas, sigue siendo la misma
  empresa, por lo tanto, es necesario que se le
  realicen auditorías externas como para tener una
  visión desde afuera de la empresa.
• La auditoría informática, tanto externa como
  interna, debe ser una actividad exenta de
  cualquier contenido o matiz "político" ajeno a la
  propia estrategia y política general de la
  empresa.
• La función auditora puede actuar de oficio, por
  iniciativa del propio órgano, o a instancias de
  parte, esto es, por encargo de la dirección o
  cliente.

42
Tipos y clases de auditoría

• Dentro de las áreas generales, se establecen las
  siguientes divisiones de Auditoría Informática
• de Explotación,
• de Sistemas,
• de Comunicaciones y
• de Desarrollo de Proyectos.
• Estas son las Áreas Especificas de la Auditoría
  Informática más importantes.

43
Tipos y clases de auditoría
Cada Área Especifica puede ser auditada desde los
siguientes criterios generales Desde su propio
funcionamiento interno. Desde el apoyo que
recibe de la Dirección y, en sentido ascendente,
del grado de cumplimiento de las directrices de
ésta. Desde la perspectiva de los usuarios,
destinatarios reales de la informática. Desde
el punto de vista de la seguridad que ofrece la
Informática en general o la rama auditada.
44
Tipos y clases de auditoría entre otras

• Financiera
• Informática
• Gestión
• Cumplimiento

45
ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA
46
Organización de la función de auditoría

• La función de auditoría informática paso de ser
  una función de ayuda al auditor financiero a ser
  una función que desarrolla un trabajo, y seguirá
  haciéndolo en el futuro.
• En acuerdo con la importancia que tienen los
  sistemas informáticos y de información para las
  organizaciones. El auditor informático pasa a ser
  auditor y consultor y asesor en
• seguridad,
• control interno,
• eficiencia y eficacia,
• tecnología informática,
• continuidad de operaciones,
• gestión de riesgos.
• Mas allá de los sistemas informáticos sino en el
  contexto empresarial.

47
Organización de la función de auditoría

• cómo se debe organizar la función de auditoría
  informática dentro de la empresa?
• Históricamente la función de auditoría
  informática se considera dentro de la función de
  auditoría interna, pero debe ser independiente de
  los objetivos de la auditoría interna operativa y
  financiera.
• Debe tener accesibilidad total a los sistemas
  informáticos y de información.
• Debe estar bajo la dirección del director de
  auditoría interna, para evitar que otras
  dependencias cambien o disminuyan su imagen.

48
Organización de la función de auditoría

• No debe depender del encargado de sistemas ni del
  departamento de organización, financiero o
  administrativo (debe ser independiente).
• El departamento de auditoría informática debe
  tener una organzación interna basada en
• Jefe del departamento
• Gerente o supervisor de auditoría informática
• Staff de auditores informáticos

49
Organización de la función de auditoría

• El tamaño debe estar en función de los objetivos
  de la función, con especialistas en entorno
  informático en comunicaciones y o redes,
  responsable de gestión de riesgo operativo,
  responsable de la auditoría de sistemas y de ser
  posible un especialista para la elaboracíón de
  programas trabajos conjuntos con la auditoría
  financiera.

50
ESTÁNDARES, DIRECTRICES, PROCEDIMIENTOS Y GUÍAS
DE AUDITORÍA
51
Estándares

• La Organización Internacional para la
  Estandarización, ISO por sus siglas en inglés
  (International Organization for Standardization),
  es una federación mundial que agrupa a
  representantes de cada uno de los organismos
  nacionales de estandarización (como lo es el IRAM
  en la Argentina), y que tiene como objeto
  desarrollar estándares internacionales que
  faciliten el comercio internacional.
• Cuando las organizaciones tienen una forma
  objetiva de evaluar la calidad de los procesos de
  un proveedor, el riesgo de hacer negocios con
  dicho proveedor se reduce en gran medida, y si
  los estándares de calidad son los mismos para
  todo el mundo, el comercio entre empresas de
  diferentes países puede potenciarse en forma
  significativa y de hecho, así ha ocurrido .

52
Estándares

• Durante las últimas décadas, organizaciones de
  todos los lugares del mundo se han estado
  preocupando cada vez más en satisfacer
  eficazmente las necesidades de sus clientes, pero
  las empresas no contaban, en general, con
  literatura sobre calidad que les indicara de qué
  forma, exactamente, podían alcanzar y mantener la
  calidad de sus productos y servicios.
• De forma paralela, las tendencias crecientes del
  comercio entre naciones reforzaba la necesidad de
  contar con estándares universales de la calidad.
  Sin embargo, no existía una referencia
  estandarizada para que las organizaciones de todo
  el mundo pudieran demostrar sus prácticas de
  calidad o mejorar sus procesos de fabricación o
  de servicio.

53
Estándares

• Teniendo como base diferentes antecedentes sobre
  normas de estandarización que se fueron
  desarrollando principalmente en Gran Bretaña, la
  ISO creó y publicó en 1987 sus primeros
  estándares de dirección de la calidad los
  estándares de calidad de la serie ISO 9000.
• Con base en Ginebra, Suiza, esta organización ha
  sido desde entonces la encargada de desarrollar y
  publicar estándares voluntarios de calidad,
  facilitando así la coordinación y unificación de
  normas internacionales e incorporando la idea de
  que las prácticas pueden estandarizarse tanto
  para beneficiar a los productores como a los
  compradores de bienes y servicios.
  Particularmente, los estándares ISO 9000 han
  jugado y juegan un importante papel al promover
  un único estándar de calidad a nivel mundial.

54
Estándares

• LA FAMILIA ISO
• Las series de normas ISO relacionadas con la
  calidad constituyen lo que se denomina familia de
  normas, las que abarcan distintos aspectos
  relacionados con la calidad
• ISO 9000 Sistemas de Gestión de Calidad
  Fundamentos, vocabulario, requisitos, elementos
  del sistema de calidad, calidad en diseño,
  fabricación, inspección, instalación, venta,
  servicio post venta, directrices para la mejora
  del desempeño.
• ISO 10000 Guías para implementar Sistemas de
  Gestión de Calidad/ Reportes TécnicosGuía para
  planes de calidad, para la gestión de proyectos,
  para la documentación de los SGC, para la gestión
  de efectos económicos de la calidad, para
  aplicación de técnicas estadísticas en las Normas
  ISO 9000. Requisitos de aseguramiento de la
  calidad para equipamiento de medición,
  aseguramiento de la medición.
• ISO 14000 Sistemas de Gestión Ambiental de las
  Organizaciones. Principios ambientales,
  etiquetado ambiental, ciclo de vida del producto,
  programas de revisión ambiental, auditorías.
• ISO 19011 Directrices para la Auditoría de los
  SGC y/o Ambiental

55

• I.1 Aplicación
• La ISO 9001 2000 se puede aplicar en cualquier
  tipo de organización, ya sea con o sin fines de
  lucro, manufacturera o de servicios, grande,
  mediana o pequeña.
• I.2 Qué se necesita para iniciar un proceso de
  Aseguramiento de la Calidad s/Normas ISO serie
  9001-2000?
• Compromiso real y participación de los
  directivos Involucramiento de todos los
  empleados Comunicación Capacitación de todas
  las áreas de la organización Disponibilidad de
  recursos dedicados a la implementación del SGC
  (responsables, tiempos, dinero, espacios físicos
  para reuniones, etc.) Definición clara de
  responsabilidades

56

• Realización de un diagnóstico de calidad
  Comprensión de los requerimientos de los
  clientes Fijación de políticas y objetivos de
  calidad Establecimiento de un plan de calidad
  Ordenamiento de la documentación existente
  Creación de la documentación del SGC s/ norma ISO
  (Manual de Calidad, procedimientos, instrucciones
  de trabajo) Puesta a punto o calibración de
  máquinas, equipos, etc. Diseño e implementación
  de mecanismos de mejora continua Definición,
  planificación e implementación de actividades de
  medición y seguimiento necesarias para asegurar
  el cumplimiento de las exigencias de la norma

57
Directrices

• Una auditoría se realiza con base a un patrón o
  conjunto de directrices o buenas practicas
  sugeridas. Existen estándares orientados a servir
  como base para auditorías de informática. Uno de
  ellos es COBIT (Objetivos de Control de la
  Tecnologías de la Información), dentro de los
  objetivos definidos como parámetro, se encuentra
  el "Garantizar la Seguridad de los Sistemas".
  Adicional a este estándar podemos encontrar el
  standard ISO 27002, el cual se conforma como un
  código internacional de buenas prácticas de
  seguridad de la información, este puede
  constituirse como una directriz de auditoría
  apoyándose de otros estándares de seguridad de la
  información que definen los requisitos de
  auditoría y sistemas de gestión de seguridad,
  como lo es el estándar ISO 27001.

58
Procedimientos

• Al conjunto de técnicas de investigación
  aplicables a un grupo de hechos o circunstancias
  que nos sirven para fundamentar la opinión del
  auditor dentro de una auditoría, se les dan el
  nombre de procedimientos de auditoría en
  informática.
• La combinación de dos o más procedimientos,
  derivan en programas de auditoría, y al conjunto
  de programas de auditoría se le denomina plan de
  auditoría, el cual servirá al auditor para llevar
  una estrategia y organización de la propia
  auditoría.
• El auditor no puede obtener el conocimiento que
  necesita para sustentar su opinión en una sola
  prueba, es necesario examinar los hechos,
  mediante varias técnicas de aplicación simultánea.

59
Procedimientos

• Análisis de datos.
• Dentro de este trabajo, desarrollaremos diversos
  tipos de técnicas y procedimientos de auditoría,
  de los cuales destacan el análisis de datos, ya
  que para las organizaciones el conjunto de datos
  o información son de tal importancia que es
  necesario verificarlos y comprobarlos, así
  también tiene la misma importancia para el
  auditar ya que debe de utilizar diversas técnicas
  para el análisis de datos, basados en
  bib-solis-2002, las cuales se describen a
  continuación.

60
Procedimientos

• En General los procedimientos de auditoría
  permiten
• Obtener conocimientos del control interno.
• Analizar las características del control interno.
• Verificar los resultados de control interno.
• Fundamentar conclusiones de la auditoría.
• Por esta razón el auditor deberá aplicar su
  experiencia y decidir cuál técnica o
  procedimiento de auditoría serán los mas
  indicados par obtener su opinión.

61
Procedimientos

• Comparación de programas
• esta técnica se emplea para efectuar una
  comparación de código (fuente, objeto o comandos
  de proceso) entre la versión de un programa en
  ejecución y la versión de un programa piloto que
  ha sido modificado en forma indebida, para
  encontrar diferencias.
• Mapeo y rastreo de programas
• esta técnica emplea un software especializado que
  permite analizar los programas en ejecución,
  indicando el número de veces que cada línea de
  código es procesada y las de las variables de
  memoria que estuvieron presentes.

62
Procedimientos

• Análisis de código de programas
• Se emplea para analizar los programas de una
  aplicación. El análisis puede efectuarse en forma
  manual (en cuyo caso sólo se podría analizar el
  código ejecutable).
• Datos de prueba
• Se emplea para verificar que los procedimientos
  de control incluidos los programas de una
  aplicación funcionen correctamente. Los datos de
  prueba consisten en la preparación de una serie
  de transacciones que contienen tanto datos
  correctos como datos erróneos predeterminados.

63
Procedimientos

• Datos de prueba integrados
• Técnica muy similar a la anterior, con la
  diferencia de que en ésta se debe crear una
  entidad, falsa dentro de los sistemas de
  información.
• Análisis de bitácoras
• Existen varios tipos de bitácoras que pueden ser
  analizadas por el auditor, ya sea en forma manual
  o por medio de programas especializados, tales
  como bitácoras de fallas del equipo, bitácoras de
  accesos no autorizados, bitácoras de uso de
  recursos, bitácoras de procesos ejecutados.

64
Procedimientos

• Simulación paralela
• Técnica muy utilizada que consiste en desarrollar
  programas o módulos que simulen a los programas
  de un sistema en producción. El objetivo es
  procesar los dos programas o módulos de forma
  paralela e identificar diferencias entre los
  resultados de ambos.

65
Procedimientos

• Monitoreo.
• Dentro de las organizaciones todos los procesos
  necesitan ser evaluados a través del tiempo para
  verificar su calidad en cuanto a las necesidades
  de control, integridad y confidencialidad, este
  es precisamente el ámbito de esta técnica, a
  continuación se muestran los procesos de
  monitoreo

66
Procedimientos

• M1 Monitoreo del proceso.
• M2 Evaluar lo adecuado del control Interno.
• M3 Obtención de aseguramiento independiente.
• M4 Proveer auditoría independiente.

67
Procedimientos

• M1 Monitoreo del proceso
• Asegura el logro de los objetivos para los
  procesos de TI, lo cual se logra definiendo por
  parte de la gerencia reportes e indicadores de
  desempeño y la implementación de sistemas de
  soporte así como la atención regular a los
  reportes emitidos.
• Para ello la gerencia podrá definir indicadores
  claves de desempeño y factores críticos de éxito
  y compararlos con los niveles propuestos para
  evaluar el desempeño de los procesos de la
  organización.

68
Procedimientos

• M2 Evaluar lo adecuado del control Interno
• Asegura el logro de los objetivos de control
  interno establecidos para los procesos de TI,
  para ello se debe monitorear la efectividad de
  los controles internos a través de actividades
  administrativas, de supervisión, comparaciones,
  acciones rutinarias, evaluar su efectividad y
  emitir reportes en forma regular

69

• M3 Obtención de aseguramiento independiente
• Incrementa los niveles de confianza entre la
  organización, clientes y proveedores, este
  proceso se lleva a cabo a intervalos regulares de
  tiempo.
• Para ello la gerencia deberá obtener una
  certificación o acreditación independiente de
  seguridad y control interno antes de implementar
  nuevos servicios de tecnología de información que
  resulten críticos, así como para trabajar con
  nuevos proveedores de servicios de tecnología de
  información, luego la gerencia deberá adoptar
  como trabajo rutinario tanto hacer evaluaciones
  periódicas sobre la efectividad de los servicios
  de tecnología de información, de los proveedores
  de estos servicios así como también asegurarse el
  cumplimiento de los compromisos contractuales de
  los servicios de tecnología de información y de
  los proveedores de dichos servicios.

70
Procedimientos

• M4 Proveer auditoría independiente.
• Incrementa los niveles de confianza de
  recomendaciones basadas en mejores prácticas de
  su implementación, lo que se logra con el uso de
  auditorías independientes desarrolladas a
  intervalos regulares de tiempo.
• Para ello la gerencia deberá establecer los
  estatutos para la función de auditoría,
  destacando en este documento la responsabilidad,
  autoridad y obligaciones de la auditoría.

71

• El auditor deberá ser independiente del auditado,
  esto significa que los auditores no deberán estar
  relacionados con la sección o departamento que
  esté siendo auditado y en lo posible deberá ser
  independiente de la propia empresa, esta
  auditoría deberá respetar la ética y los
  estándares profesionales, seleccionando para ello
  auditores que sean técnicamente competentes, es
  decir que cuenten con habilidades y conocimientos
  que aseguren tareas efectivas y eficientes de
  auditoría informática.
• La función de la auditoría informática deberá
  proporcionar un reporte que muestre los
  objetivos, período de cobertura, naturaleza y
  trabajo de auditoría realizado, así como también
  la organización, conclusión y recomendaciones
  relacionadas con el trabajo de auditoría
  informática llevado a cabo.

72
Procedimientos

• Análisis de bitácoras.
• Hoy en día los sistemas de cómputo se encuentran
  expuestos a distintas amenazas, las
  vulnerabilidades de los sistemas aumentan, al
  mismo tiempo que se hacen más complejos, el
  número de ataques también aumenta, por lo
  anterior las organizaciones deben reconocer la
  importancia y utilidad de la información
  contenida en las bitácoras de los sistemas de
  computo así como mostrar algunas herramientas que
  ayuden a automatizar el proceso de análisis de
  las mismas.

73
Procedimientos

• El crecimiento de Internet enfatiza esta
  problemática, los sistemas de cómputo generan una
  gran cantidad de información, conocidas como
  bitácoras o archivos logs, que pueden ser de gran
  ayuda ante un incidente de seguridad, así como
  para el auditor.
• Una bitácora puede registrar mucha información
  acerca de eventos relacionados con el sistema que
  la genera los cuales pueden ser
• Fecha y hora.
• Direcciones IP origen y destino.
• Dirección IP que genera la bitácora.
• Usuarios.
• Errores.

74
Procedimientos

• La importancia de las bitácoras es la de
  recuperar información ante incidentes de
  seguridad, detección de comportamiento inusual,
  información para resolver problemas, evidencia
  legal, es de gran ayuda en las tareas de cómputo
  forense.
• Las Herramientas de análisis de bitácoras mas
  conocidas son las siguientes
• Para UNIX, Logcheck, SWATCH.
• Para Windows, LogAgent

75
Procedimientos

• Las bitácoras contienen información crítica es
  por ello que deben ser analizadas, ya que están
  teniendo mucha relevancia, como evidencia en
  aspectos legales.
• El uso de herramientas automatizadas es de mucha
  utilidad para el análisis de bitácoras, es
  importante registrar todas las bitácoras
  necesarias de todos los sistemas de cómputo para
  mantener un control de las mismas.

76
Procedimientos

• Técnicas de auditoría asistida por computadora
• La utilización de equipos de computación en las
  organizaciones, ha tenido una repercusión
  importante en el trabajo del auditor, no sólo en
  lo que se refiere a los sistemas de información,
  sino también al uso de las computadoras en la
  auditoría.
• Al llevar a cabo auditorías donde existen
  sistemas computarizados, el auditor se enfrenta a
  muchos problemas de muy diversa condición, uno de
  ellos, es la revisión de los procedimientos
  administrativos de control interno establecidos
  en la empresa que es auditada.

77
Procedimientos

• La utilización de paquetes de programas
  generalizados de auditoría ayuda en gran medida a
  la realización de pruebas de auditoría, a la
  elaboración de evidencias plasmadas en los
  papeles de trabajo.
• Según bib-zavaro-martinez las técnicas de
  auditoría Asistidas por Computadora (CAAT) son la
  utilización de determinados paquetes de programas
  que actúan sobre los datos, llevando a cabo con
  más frecuencia los trabajos siguientes

78
Procedimientos

• Selección e impresión de muestras de auditorías
  sobre bases estadísticas o no estadísticas, a lo
  que agregamos, sobre la base de los conocimientos
  adquiridos por los auditores.
• Manipulación de la información al calcular
  subtotales, sumar y clasificar la información,
  volver a ordenar en serie la información, etc.

79
Procedimientos

• Consecuentemente, se hace indispensable el empleo
  de las CAAT que permiten al auditor, evaluar las
  múltiples aplicaciones específicas del sistema
  que emplea la unidad auditada, el examinar un
  diverso número de operaciones específicas del
  sistema, facilitar la búsqueda de evidencias,
  reducir al mínimo el riesgo de la auditoría para
  que los resultados expresen la realidad objetiva
  de las deficiencias, así como de las violaciones
  detectadas y elevar notablemente la eficiencia en
  el trabajo.

80
Procedimientos

• Teniendo en cuenta que se hacía imprescindible
  auditar sistemas informáticos así como diseñar
  programas auditores, se deben incorporar
  especialistas informáticos, formando equipos
  multidisciplinarios capaces de incursionar en las
  auditorías informáticas y comerciales,
  independientemente de las contables, donde los
  auditores que cumplen la función de jefes de
  equipo, están en la obligación de documentarse
  sobre todos los temas auditados.

81
Procedimientos

• De esta forma los auditores adquieren más
  conocimientos de los diferentes temas, pudiendo
  incluso, sin especialistas de las restantes
  materias realizar análisis de esos temas, aunque
  en ocasiones es necesario que el auditor se
  asesore con expertos, tales como, ingenieros
  industriales, abogados, especialistas de recursos
  humanos o de normalización del trabajo para
  obtener evidencia que le permita reunir elementos
  de juicio suficientes.

82

• Examen de registros de acuerdo con los criterios
  especificados.
• Búsqueda de alguna información en particular, la
  cual cumpla ciertos criterios, que se encuentra
  dentro de las bases de datos del sistema que se
  audita.

83
Procedimientos

• Benchmarking
• Las empresas u organizaciones deben buscar formas
  o fórmulas que las dirijan hacia una mayor
  calidad, para poder ser competitivos, una de
  estas herramientas o fórmulas es el Benchmarking.
• Existen varios autores que han estudiado el tema,
  y de igual manera existen una gran cantidad de
  definiciones de lo que es benchmarking, a
  continuación se presentan algunas definiciones.

84
Procedimientos

• Benchmarking es el proceso continuo de medir
  productos, servicios y prácticas contra los
  competidores o aquellas compañías reconocidas
  como líderes en la industria (1)?

(1) bib-imcp Normas y procedimientos de
auditoría. Instituto Mexicano de Contadores
Públicos (IMCP).
85
Procedimientos

• Esta definición presenta aspectos importantes
  tales como el concepto de continuidad, ya que
  benchmarking no sólo es un proceso que se hace
  una vez y se olvida, sino que es un proceso
  continuo y constante.
• Según la definición anterior podemos deducir que
  se puede aplicar benchmarking a todas las facetas
  de las organizaciones, y finalmente la definición
  implica que el benchmarking se debe dirigir hacia
  aquellas organizaciones y funciones de negocios
  dentro de las organizaciones que son reconocidas
  como las mejores.

86
Procedimientos

• Entre otras definiciones tenemos la extraída del
  libro Benchmarking de Bengt, la cual es
  benchmarking es un proceso sistemático y
  continúo para comparar nuestra propia eficiencia
  en términos de productividad, calidad y prácticas
  con aquellas compañías y organizaciones que
  representan la excelencia.
• Como vemos en esta definición se vuelve a
  mencionar el hecho de que benchmarking es un
  proceso continuo, también se presenta el término
  de comparación y por ende remarca la importancia
  de la medición dentro del benchmark.

87
Procedimientos

• Estos autores se centran, a parte de la
  operaciones del negocio, en la calidad y en la
  productividad de las mismas, considerando el
  valor que tienen dichas acciones en contra de los
  costos de su realización lo cual representa la
  calidad, y la relación entre los bienes
  producidos y los recursos utilizados para su
  producción, lo cual se refiere a la
  productividad.
• Por lo que podemos ver existen varias
  definiciones sobre lo que es benchmarking, y
  aunque difieren en algunos aspectos también se
  puede notar que concuerdan o presentan una serie
  de elementos comunes.

88
Procedimientos

• Para empezar en la mayoría de ellas se resalta el
  hecho de que benchmarking es un proceso continuo
  que al aplicarla en nuestra empresa resuelva los
  problemas de la misma, sino que es un proceso que
  se aplicará una y otra vez ya que dicho proceso
  está en búsqueda constante de las mejores
  prácticas de la industria, y como sabemos la
  industria está en un cambio constante y para
  adaptarse a dicho cambio desarrolla nuevas
  practicas, por lo que no se puede asegurar que
  las mejores prácticas de hoy lo serán también de
  mañana.

89
Procedimientos

• También se vio en las diferentes definiciones que
  este proceso no sólo es aplicable a las
  operaciones de producción, sino que puede
  aplicarse a todas la fases de las organizaciones,
  por lo que benchmarking es una herramienta que
  nos ayuda a mejorar todos los aspectos y
  operaciones del negocio, hasta el punto de ser
  los mejores en la industria, observando aspectos
  tales como la calidad y la productividad en el
  negocio.

90

• De igual manera podemos concluir que es de suma
  importancia como una nueva forma de administrar
  ya que cambia la práctica de compararse sólo
  internamente a comparar nuestras operaciones en
  base a estándares impuestos externamente por las
  organizaciones conocidas como las de excelencia
  dentro de la industria.
• 2http//Monografias.com/Trabajos4.html

91
Guías

• Una guía de auditoría es un manual escrito que
  contiene directrices específicas o instrucciones
  para llevar a cabo una auditoría. Estas guías
  están generalmente específicas de negocio
  industrias o sectores, tales como las compañías
  de seguros, corredurías y compañías de
  financiamiento. Guías de auditoría pueden basarse
  en los principios de marco de contabilidad
  nacionales o reglamentaciones gubernamentales
  relativas a industrias específicas del negocio o
  sectores.Auditores utilicen dichas guías para
  evaluar la financiera o las operaciones de
  negocios de una empresa y determinan si cualquier
  violaciones o debilidades importantes existen en
  información interna o externa de la empresa.

92

• Una guía de auditoría puede desarrollarse para
  cada tipo de auditoría llevada a cabo por una
  firma de contabilidad pública u otra
  organización. Tipos más comunes de las auditorías
  incluyen financiera, cumplimiento de normas, o
  las auditorías operacionales. La Guía de
  auditoría puede utilizarse por auditores internos
  empleados directamente por la empresa o por
  auditores públicos que realizan auditorías
  externas. Guías de auditoría interna y auditoría
  externa usualmente difieren en su ámbito de
  aplicación para la evaluación de la información
  de la empresa. Las auditorías internas suelen ser
  menos formal y destinados a uso de gestión sólo.
  Una guía de auditoría externa a menudo se utiliza
  para evaluar la información de la empresa de
  despacho a los interesados de negocios externos.

93

• Una guía de auditoría interna normalmente
  comprueba la implementación de las empresas de
  controles internos para proteger su información
  financiera y de negocios. Controles internos
  podrán limitar el número de funciones de un
  individuo puede completar en la empresa,
  restringir el acceso a información confidencial
  de la empresa o del cliente, garantizar que la
  compañía cumple requisitos para las designaciones
  profesionales, o reunión específica
  gubernamentales y legales. Los directores de
  contabilidad a menudo son responsables de
  desarrollar a la Guía de auditoría interna y
  asegurar que la guía cubre todas las funciones
  importantes del negocio de la empresa.

94
Planeación de la Auditoria Informática

• Se debe recopilar información para obtener una
  visión general del área a auditar por medio de
• observaciones,
• entrevistas preliminares y
• solicitudes de documentos.
• La finalidad es definir el objetivo y alcance del
  estudio, así como el programa detallado de la
  investigación.
• La planeación de la auditoría debe señalar en
  forma detallada el alcance y dirección esperados
  y debe comprender un plan de trabajo para que, en
  caso de que existan cambios o condiciones
  inesperadas que ocasionen modificaciones al plan
  general, sean justificadas por escrito.

95

• Se debe hacer una investigación preliminar
  solicitando y revisando la información de cada
  una de las áreas de la organización.
• Para poder analizar y dimensionar la estructura
  por auditar se debe solicitar
• 1- A nivel Organización Total
• Objetivos a corto y largo plazo
• Manual de la Organización
• Antecedentes o historia del Organismo
• Políticas generales

96

• 2. A nivel Área informática
• Objetivos a corto y largo plazo
• Manual de organización del área que incluya
  puestos, niveles jerárquicos y tramos de mando.
• Manual de políticas, reglamentos internos y
  lineamientos generales.
• Número de personas y puestos en el área
• Procedimientos administrativos en el área.
• Presupuestos y costos del área.

97

• 3. Recursos materiales y técnicos
• Solicitar documentos sobre los equipos, número
  (de los equipos por instalados, por instalar y
  programados), localización y características.
• Fechas de instalación de los equipos y planes de
  instalación.
• Contratos vigentes de compra, renta y servicio de
  mantenimiento.
• Contrato de seguros
• Convenios que se mantienen con otras
  instalaciones
• Configuración de los equipos, capacidades
  actuales y máximas.
• Planes de expansión
• Ubicación general de los equipos
• Políticas de operación
• Políticas de uso o de equipos

98

• 4- Sistemas
• Manual de formularios.
• Manual de procedimientos de los sistemas
• Descripción genérica
• Diagrama de entrada, archivo y salida.
• Salidas impresas
• Fecha de instalación de los sistemas
• Proyectos de instalación de nuevos sistemas.

99

• Como resultado de los trabajos preliminares se
  debe explicitar
• objetivo
• alcance
• limitaciones y colaboración necesarias
• grado de responsabilidad
• Informes que se entregaran

100
Fases de la Auditoría Informática

• TOMA DE CONTACTO
• PLANIFICACION DE LA OPERACION
• DESARROLLO DE LA AUDITORIA
• FASE DE DIAGNOSTICO
• PRESENTACION DE LAS CONCLUSIONES
• FORMULACION DEL PLAN DE MEJORAS

101

• Toma de Contacto En esta etapa se deberán
  establecer
• - Definitivamente el objetivo de la AI
• - Las áreas a cubrir
• - Personas de la Organización que habrán de
  colaborar y en que momentos de la auditoria
• - Plan de trabajo
• - tareas
• - calendario
• - resultados parciales
• - presupuesto
• - equipo auditor necesario

102

• Planificación de la Operación
• Desarrollo de la Auditoria Informática
• Es el momento de ejecutar las tareas que se
  enunciaron en la fase anterior. Es esta una fase
  de observación, de recolección de datos,
  situaciones, deficiencias, en resumen un período
  en el que

103

• se efectuarán las entrevistas previstas en la
  fase de planificación.
• se completarán todos los cuestionarios que
  presente el auditor
• se observarán las situaciones deficientes, no
  solo las aparentes, sino las que hasta ahora no
  hayan sido detectadas, para lo que se podrá
  llegar a simular situaciones límites.
• se observarán los procedimientos, tanto los
  informáticos como los de usuarios.
• se ejecutarán por lo tanto, todas las previsiones
  efectuadas en la etapa anterior con el objeto de
  llegar a la siguiente etapa en condiciones de
  diagnosticar la situación encontrada.

104
Fase de Diagnóstico

• Cuando ya se hayan efectuado todas los estudios y
  revisiones, se debe elaborar el diagnóstico. Como
  resultados de esta etapa han de quedar claramente
  definidos los puntos débiles, y por contrapunto
  los fuertes, los riesgos eventuales, y en primera
  instancia los posibles tipos de solución o
  mejoras de los problemas planteados.
• Estas conclusiones se discutirán con las personas
  afectadas por lo que serán suficientemente
  argumentadas y probadas.

105

• Es un momento delicado en el trato con las áreas,
  los auditores deben presentar estas conclusiones
  como un plan de mejoras en beneficio de todos, en
  lugar de una reprobación de los afectados, salvo
  en el caso de que esto sea estrictamente
  necesario.

106

• Presentación de las Conclusiones
• Formulación del Plan de Mejoras
• Llegados a este último punto, la dirección conoce
  ya las deficiencias que el equipo auditor ha
  observado en su departamento informático, éstas
  han sido discutidas. Mas no basta con quedarse
  ahí, ahora es cuando los auditores han de
  demostrar su experiencia en situaciones
  anteriores lo suficientemente contrastadas y
  exitosas y ser capaces de adjuntar, al informe de
  auditoría, el plan de mejoras que permitirá
  solventar las deficiencias encontradas.

107

• El plan de mejoras abarcará todas las
  recomendaciones derivadas de las deficiencias
  detectadas en la realización de la auditoria.
  Para ello se tendrán en cuenta los recursos
  disponibles, o al menos potencialmente
  disponibles, por parte de la Empresa objeto de la
  Auditoria.

108

• Entre las primeras se incluirán aquellas mejoras
  puntuales y de fácil realización como son las
  mejoras en plazo, calidad, planificación o
  formación. Las medidas de mediano plazo
  necesitaran de uno a dos años para poderse
  concretar. Aquí pues caben mejoras más profundas
  y con mayor necesidad de recursos, como la
  optimización de programas, o de la documentación,
  e incluso de algunos aspectos de diseño de los
  sistemas.

109

• Para finalizar, las consideraciones a largo
  plazo, pueden llevar cambios sustanciales en las
  políticas, medios o incluso estructuras del
  servicio de informática. Estas mejoras pueden
  pasar por la reconsideración de los sistemas en
  uso o de los medios, humanos y materiales, con
  que se cuenta, llegando si es preciso a una seria
  reconsideración del plan informático.

110
ALGUNAS RECOMENDACIONES A TENER EN CUENTA

• 1- No hacer juicios sin la suficiente
  fundamentación
• 2- Cuidar los aspectos de imagen, presentación y
  protocolo
• 3- No adelantar resultados parciales que pueden
  distorsionar el resultado final
• 4- Las entrevistas iniciales son un aspecto muy a
  cuidar. Hay que prepararlas muy bien para que
  surtan el efecto que de ellas se espera.

111

• 5- En todo momento, por cordiales que resulten
  las relaciones con los auditados, no perder de
  vista el papel de consultores experimentados que
  han de tener los auditores informáticos.
• 6- Exponer la idea que los resultados de la
  auditoria no harán más que intentar mejorar, a
  todos los efectos, el servicio de informática con
  el beneficio que ello supondría para todos los
  implicados en el área.
• 7- Exponer la idea que al final de la auditoria
  no se trata de castigar a nadie. El objetivo
  fundamental es el de encontrar deficiencias y
  corregirlas.

112

• 8- Estudiar hechos y no opiniones. (no se toman
  en cuenta rumores ni información sin fundamento)
• 9- Investigar las causas, no los efectos.
• 10- Atender razones, no excusas.
• 11- Criticar objetivamente y a fondo todos los
  informes y los datos recabados.

113
CÓDIGO DE ETICA PROFESIONAL DEL AUDITOR
Elaborar resumen capítulo 7 Piattini
114
EL CONTROL INTERNO
115

• El control interno informático controla
  diariamente que todas las actividades de sistemas
  de información sean realizadas cumpliendo los
  procedimientos, estándares y no normas fijados
  por la Dirección de la organización y/o a la
  dirección de informática así como los
  requerimientos legales.

116

• Misión del control interno informático
• Asegurarse de que las medidas que se obtienen de
  los mecanismos implantados por cada responsable
  sean correctas y válida.
• Suele ser un órgano staff, dotado de las personas
  y medios materiales proporcionados para tareas
  encomendadas.

117

• Objetivos
• Controlar que todas las actividades que se
  realicen cumplan con normas y procedimientos,
  evaluar sus beneficios y asegurarse de
  cumplimiento de normas legales.
• Asesorar sobre el conocimientos de las normas

118

• Debido a que cada día es mas frecuente el uso de
  redes en las instituciones, las cuales que van
  desde simples redes internas y redes locales
  (LANs), hasta las redes metropolitanas (MANs) o
  las redes instaladas a escala mundial (WANs). El
  establecimientos para estos controles para la
  seguridad en sistemas de redes y sistemas
  multiusuario de una empresa es de vital
  importancia. Razón por la cual se debe tomar
  medidas muy especificas para la protección,
  resguardo y uso de programas, archivos e
  información compartida de la empresa.

119

• Respecto a la seguridad en redes, existe un
  sinnúmero de medidas preventivas y correctivas,
  las cuales constantemente se incrementan en el
  mundo de los sistemas.
• Debido a la características de los propios
  sistemas computacionales , a las formas de sus
  instalaciones , el numero de terminales y a sus
  tipos de conexión , es necesario adaptarse a los
  constantes cambios tecnológicos que buscan
  garantizar la seguridad en el funcionamiento de
  las propias redes, de sus programas de uso
  colectivo, de su archivos de información y de su
  demás características.

120

• La seguridad en las redes es muy eficiente y con
  una profundidad digna de señalarse debido a que
  constantemente se establecen y actualizan sus
  controles, los cuales van desde restricción de
  las accesos para usuarios, hasta el uso de
  palabras claves para el ingreso a los programas y
  archivos de la empresa , así como el monitoreo de
  actividades, rutinas de auditoria para
  identificar comportamientos, con el propósito de
  salvaguardar la información y los programas de
  estos sistemas.

121

• Lo mismo ocurre respecto a los planes y programas
  de contingencias diseñados para la salvaguarda de
  la información, de los programas y de los mismos
  sistemas de red establecidos en la empresa.

122
CONTROLES

• ORGANIZACIÓN
• Registro de los intercambios
• Custodia de activos que no sean los del propio
  departamento
• Corrección de errores que no provengan de los
  originados por el propio dpto.
• En cuanto a la organización dentro del mismo
  departamento , las siguiente funciones deben
  estar segregadas
• programación del sistema operativo
• análisis , programación y mantenimiento
• operación
• ingreso de datos
• control de datos de entrada / salida
• archivos de programas y datos.

123

• DESARROLLO Y MANTENIMIENTO DE SISTEMAS
• Las tecnicas de mantenimiento y programación
  operativos del sistema deben estar normalizados y
  documentados.
• OPERACIÓN Y PROCEDIMIENTOS
• Deben existir controles que aseguren el
  procesamiento exacto y oportuno de la información
  contable.
• instrucciones por escrito sobre procedimiento
  para para preparar datos para su ingreso y
  procesamiento
• La función de control debe ser efectuada por un
  grupo específico e independiente.
• Instrucciones por escrito sobre la operación de
  los equipos.
• Solamente operadores de computador deben procesar
  los SIST OP.

124

• CONTROLES DE EQUIPOS Y PROGRAMAS DEL SISTEMA
• Debe efectuarse un control de los equipos
• programación del mantenimiento preventivo y
  periódico
• registro de fallas de equipos
• Los cambios del sist. Op. Y la programación.
• CONTROLES DE ACCESO
• El acceso al PED debe estar restringido en todo
  momento. También debe controlarse
• el acceso los equipos debe estar restringido a
  aquellos autorizados
• el acceso de documentación solo aquellos
  autorizados
• el acceso a los archivos de datos y programas
  solo limitado a operadores

125

• El funcionamiento adecuado de los protocolos de
  red
• El funcionamiento corrector de direcciones ya
  sean por un nivel o jerárquicas.
• El manejo de los tamaños de paquetes que se
  manejan en la red, según su máximo.
• El control de errores para la entrega confiable y
  en orden o sin orden de la información que se
  trasmite en la red.
• Control de flujo y de velocidad de trasmisión de
  los datos de la red.
• Control de congestión del manejo de la
  información, trasmisión y protocolo de la red.
• Administración y control de la problemática de
  seguridad de la red, la información, los
  usuarios, los sistemas computacionales y de las
  instalaciones físicas.
• Contabilidad de los tiempos de uso del sistema,
  ya sea por conexión de las terminales, por
  paquetes, por byte, por proceso o por cualqu

126

• Análisis del funcionamiento de los mecanismos de
  control de acceso a las instalaciones,
  información y software institucional.
• Análisis de prevención de accesos múltiples, sin
  permisos, dolosos y de todas aquellas acciones
  para ingresar al sistema sin la autorización
  correspondiente.
• Análisis del procesamiento de información en los
  sistemas de red.
• Análisis de la administración y el control de la
  asignación de los niveles de acceso, privilegios
  y contraseña para los usuarios para ingresar al
  sistema de la información.
• Análisis del monitoreo de las actividades de los
  usuarios.
• Análisis de las medidas correctivas y preventivas
  para evitar la piratería de información,
  software, activos informáticos y consumibles del
  área de sistemas.

127
RIESGOS DE AUDITORÍA Y MATERIALIDAD
128
Análisis de riesgos y materialidad

• El Riesgo en auditoría representa la posibilidad
  de que el auditor exprese una opinión errada en
  su informe debido a que los estados financieros
  o la información suministrada a él estén
  afectados por una distorsión material o normativa.

129
Análisis de riesgos y materialidad

• En auditoría se conocen tres tipos de riesgo
  Inherente, de Control y de Detección. El riesgo
  inherente es la posibilidad de que existan
  errores significativos en la información
  auditada, al margen de la efectividad del control
  interno relacionado son errores que no se pueden
  prever. El riesgo de control está relacionado con
  la posibilidad de que los controles internos
  imperantes no preveen o detecten fallas que se
  están dando en sus sistemas y que se pueden
  remediar con controles internos más efectivos. El
  riesgo de detección están relacionados con el
  trabajo del auditor, y es que éste en la
  utilización de los procedimientos de auditoría,
  no detecte errores en la información que
  lesuministran. El riesgo de auditoria se
  encuentra así RA RI x RC x RD

130
Clasificación de los riesgos

• Esta clasificación de los riesgos en auditoría
  puede tener sus variantes por ejemplo, en Taylor
  y Glezze se mencionan el riesgo alfa(riesgo del
  rechazo indebido) y el riesgo beta(riesgo de la
  aceptación indebida)?
• La SAS No 39. Menciona el Riesgo Ultimo como una
  combinación de dos riesgos el que se cometan
  errores de importancia en el proceso contable y
  el de que estos errores no sean detectados por el
  auditor. Se describe también como el riesgo de
  que en el saldo de una cuenta, exista un error
  monetario mayor que el que se pueda
  tolerar(Materialidad) y que el auditor no pueda
  detectarlo.

131
La materialidad

• La Materialidad es el error monetario máximo que
  puede existir en el saldo de una cuenta sin dar
  lugar a que los estados financieros estén
  sustancialmente deformados. A la materialidad
  también se le conoce como Importancia Relativa.

132
DETECCIÓN DE FRAUDES
133
Fraude

• Definición.- Podemos afirmar que es un engaño
  hacia un tercero, abuso de confianza, dolo,
  simulación, etc. El término "fraude" se refiere
  al acto intencional de la Administración,
  personal o terceros, que da como resultado una
  representación equivocada de los estados
  financieros, pudiendo implicar
• Manipulación, falsificación o alteración de
  registros o documentos.
• Malversación de activos
• Supresión u omisión de los efectos de
  ciertas transacciones en los registros o
  documentos.
• Registro de transacciones sin sustancia o
  respaldo
• Mala aplicación de políticas contables.

134
Tipos de fraude

• Se considera que hay dos tipos de fraudes el
  primero de ellos se realiza con la intención
  financiera clara de malversación de activos de la
  empresa.
• El segundo tipo de fraude, es la presentación de
  información financiera fraudulenta como acto
  intencionado encaminado a alterar las cuentas
  anuales.
• Los