Académique Documents
Professionnel Documents
Culture Documents
Pag: 2
Taller
1. Cul es el principal activo en su compaa? 2. Cmo cuida ese activo? 3. Cules son los riesgos asociados?
Pag: 3
Qu es la Auditoria?
Pag: 4
Pag: 5
Para que?
Brindar una certidumbre razonable Cumplir las metas y objetivos del negocio Eficacia y eficiencia operativa Confiabilidad e Integridad de Informes Financieros Cumplir las leyes y reglamentaciones Brindar advertencia temprana de deterioro
Ing. Giovanni Roldn C Pag: 6
Porqu?
80% de fraudes son internos Por la rotacin del personal Por cambios en leyes, polticas y procedimientos
Nuevos controles: ambientales, diversidad
Por cumplir con normas de calidad Por cumplir con la satisfaccin del cliente
Pag: 7
Pag: 8
Pag: 9
Organismos de Control
Clientes
Polticas y Procedimientos
Leyes y Reglamentos
Auditores Externos
Advertencia: Algunas imgenes aparecen ms exageradas de lo que son.
Pag: 10
Taller
Usted es el Gerente Nacional de Ventas
El Gerente Regional de la Costa:
Cumple con las cuotas de ventas Incumple con los polticas y procedimientos
1.- Qu hara Ud? 2.- Cul cree que es el criterio ms aplicado en las multinacionales? 3.- Cul cree que es el criterio ms aplicado en las nacionales?
Auditoria Informtica: Conceptos y Fundamentos
Pag: 11
Diversificacin de servicios Falsificaci servicios n de documentos Falsificaci Cartera de bsica de Identidad Cuentas corrientes, ahorros, fideicomisos, Cobranzas, Forjado de Firmas arrendamientos, facturacin, fondo de inversiones Cuenta corriente Tarjetas de crdito Falsificaci n de Cheques Falsificaci Tecnologa costosa, poco flexible Tecnologas Complicidad Interna Tecnologas Mainframe Mainframe Cluster de conexiones Servidores de Aplicaciones
Auditoria Informtica: Conceptos y Fundamentos
Pag: 12
de la Banca electrnica Fisgoneo de Aparicin Clave Secreta SWIFT EDI Obtenci de Clave Secreta Obtencin fraudulenta POS ATM - CALL CENTER Tecnologas Equipos POS ATM Servidores de conexin SWIFT Frame Relay
Pag: 13
Advenimiento del Arqueo ATM s e-business y creacin de nuevos ATM canales Falsificaci n de Pl sticos Falsificaci Pl e-banking - B2B - Monederos electrnicos IVR Retenci n de TDC y TDD en ATM Retenci ATMs Tecnologas Manipulaci Manipulacin ATM ATMs Servidores de servicios electrnicos Portales WEB Servidores de servicios IVR
Auditoria Informtica: Conceptos y Fundamentos
Pag: 14
Y2K: Actualizacin o adaptacin? Legitimaci n de Capitales Legitimaci Reemplazo de los sistemas Captura individuales de Datos - Clonaci n integrados Clonaci por sistemas Ejecucin de proyectos Implantes de CHIPS en POS de adaptacin de la plataforma al nuevo milenio Generadores Autom Automticos Tecnologas de N meros de TDC N Actualizacin de sistemas
2005
Pginas Web Fraudulentas Phising Robo de Sesiones Sniffing Accesos no autorizados Hurto de Informaci Informacin Sensible
Auditoria Informtica: Conceptos y Fundamentos
Pag: 17
Taller
Con todos los medios tecnolgicos para hacer dao y hacer fraudes:
Virus, hackers, pishing, etc
Pag: 18
Auditores Internos
Evalan la eficacia de los Controles Internos Ayudan a mantener la eficacia en el tiempo
Gerencia General
Fija la pauta Fija los factores del ambiente de control Selecciona al Sr. Mgmt. Establece polticas y procedimientos de control ms especficas
Toda la Organizacin
Control Interno como parte de su funcin Realizan las funciones necesarias para efectuar el control Comunican a nivel superior: Problemas y Novedades Ing. Giovanni Roldn C Pag: 19
Clientes
Ambiente de Riesgo - Riesgo organizacional - Riesgo Operacional (Normas COSO) - Riesgo Financieros - Riesgo de privacidad - Riesgo de Globalizacin
Infraestructura Tecnolgica - Autenticacin/encripcin Ambiente - Confianza en servicios de terceros de Riesgo - Estudios de Penetracin - Recuperacin de Datos - Acceso fsico - Polticas de seguridad de activos de informacin
Auditoria Informtica: Conceptos y Fundamentos
Pag: 20
9 Complejidad tecnolgica 9 Falta de formalidad en las polticas y procedimientos 9 Bajo nivel de seguimiento a las violaciones de seguridad y actividades de usuarios en general
Pag: 21
Seguimiento
Informacin
Actividades de Control Contenido: Contiene toda la informacin necesaria? Oportunidad: Se facilita en el tiempo decuado? Actualidad: Es la ms reciente disponible? Exactitud: Los datos son correctos? Accesibilidad: Puede ser obtenida fcilmente por las personas adecuadas?
Comunicacin
Evaluacin del Riesgo
Ambiente de Control
Pag: 22
Matrices de Riesgo
Ayuda a definir, consensuar y asignar responsabilidades de los riesgos. La definicin de Matrices de Riesgo debe ser una responsabilidad de la Empresa y no un trabajo aislado de auditoria. El trabajo de conceptualizar, formular y definir la primera versin de la Matriz puede tomar bastante tiempo; posteriormente sta se ajusta para recoger experiencias externas e internas y hacerla consistente con las Mejores Prcticas. Para los riesgos de la Matriz, se debieran establecer indicadores, que faciliten los anlisis, generen planes de accin con responsables, plazos y su posterior seguimiento. Cada organizacin debe desarrollar su propio enfoque sistemtico (desarrollo de herramientas), acorde a sus riesgos y realidad
Pag: 23
1. Access to internet services must be approved by managers and controlled by IT through filters. 2. Access is granted through the corporate process established for this purpose on a case-by-case basis: Internet Access and Registration. The Manager must review/agree with the reasons why Internet access is being granted to the individual before approving the form. 3. Access is granted by an independent unit that is not involved in Technology Project design, development and implementation.
1. Verify that accesses to Internet has been approved by direct management and granted TIS (Technology Infrastructure Services) organization. 2. Determine that access to internet services is approved by managers. 3. Determine that access is granted through the corporate process established for this purpose on a case-by-case basis: Internet Access and Registration. Ensure that them manager must review/agrees with the reasons why Internet access is being granted to the individual before approving the form. 4. Verify that access is granted by an independent unit that is not involved in Technology Project design, development and implementation.
Pag: 24
Matrices de Riesgo
Ventajas
Tiende a objetivizar el anlisis. Establece parmetros de comparacin. Permite hacer medicin de la evolucin. Genera participacin activa del auditado
Aspectos a cuidar
Es clave una adecuada definicin de las ponderaciones Se deben cubrir la mayora de riesgos Se deben ajustar formatos de informes para que exista consistencia
Pag: 25
Taller
Conocimientos y habilidades que debe tener el Auditor?
Pag: 26
Buenas Prcticas
Proceso planificado
Ya no es a la sorpresiva Proceso continuo
Pag: 27
Buenas Prcticas
Independencia de funciones Educacin y entrenamiento tcnico del Auditor Controles compensatorios Alcance correcto de la revisin Evidencias
Pag: 28
Taller
Actividades que realiza de un auditor proactivo:
Pag: 29
Pag: 30
Revisin
Pregunta: Seleccione cinco frases claves que pertenezcan a la definicin de auditoria:
a) Obtener evidencia en forma objetiva. b) Grado de riqueza c) Responsabilidades operativas d) Proceso sistemtico. e) Grado de correspondencia. f) Integrada con responsabilidades de la lnea g) Comunicar los resultados a los usuarios. h) Proceso aleatorio i) Evaluar evidencia en forma subjetiva j) Evaluar aseveraciones contra criterios establecidos. k) Afirmaciones y negativas l) Administracin de riesgo
Auditoria Informtica: Conceptos y Fundamentos
Pag: 31
Revisin
Pregunta: Las auditorias internas son llevadas a cabo por:
a) estudios contables pblicos b) empleados de la Empresa c) contratistas independientes d) abogados de la empresa
Pregunta: Complete la siguiente afirmacin. La misin de los auditores internos es investigar en forma independiente la suficiencia y eficacia de los ___________________ de la Empresa.
Pag: 32
Revisin
Pregunta: Los auditores externos se basan en la precisin del trabajo de revisin de auditoria interna para reducir el alcance del trabajo de auditoria.
a) Verdadero b) Falso
Pag: 33
Revisin
Pregunta: Identifique la organizacin que evala la eficacia de los controles.
a) El Departamento Operativo b) La Unidad de Control Financiero c) La Unidad de Revisin de Auditoria Interna d) El Directorio
Pregunta: Identifique la actividad que es el mejor ejemplo del componente proactivo del Auditor:
a) El auditor evala los procedimientos existentes para resguardar los procesos. b) El auditor alerta a la gerencia cuando se descubren desvos de los procedimientos. c) El auditor documenta los puntos dbiles en los controles para resguardar los procesos. d) El auditor sugiere un rediseo de procesos para resguardar mejor las transacciones . Ing. Giovanni Roldn C Pag: 34
Revisin
Pregunta: Identifique el criterio que usara para determinar el alcance de una revisin de Auditoria. Una revisin de Auditoria debe asegurar que:
a) se encaren en forma adecuada los riesgos principales de todos los procesos y productos . b) se midan y evalen todos los riesgos internos y externos. c) se reporte adecuadamente toda la informacin financiera. d) todos los procesos y controles estn funcionando segn fueron diseados.
Pregunta: La posicin dentro de la organizacin de la funcin de revisin de Auditoria como una unidad distinta est destinada a cumplir la norma desarrollada para:
a) el alcance del trabajo. b) independencia. c) pericia profesional. d) desempeo del trabajo de auditoria.
Pag: 35
Taller
Las ecuaciones:
Pag: 36
Taller
Qu criterio aplicara Usted?
Todos los departamentos y procesos deberan ser revisados ya que en cualquiera de ellos pueden producirse problemas Los departamentos y procesos con los ms altos riesgos identificados deberan recibir la mayor atencin por parte del personal.
Pag: 37
Pag: 38
Taller
Criterios para identificar Riesgos en Tecnologa:
1. 2. 3.
Pag: 39
Taller
Qu paso con:
Parmalat Filanbanco Arthur Andersen Banco Popular La Universal WorldCom Enron
Auditoria Informtica: Conceptos y Fundamentos
Pag: 40
4 Segregacin de Funciones Supervisin / Revisin / Autorizacin / Aprobacin Seguridades Conciliaciones y Controles Confirmacin de contrapartes Controles de acceso a datos Polticas de Personal .
3
Determinar los Controles Clave
2
Identificar los Riesgos Asociados
Pag: 41
Niveles de Riesgo
CheckLists CheckPoints
Consideraciones
Consecuencias de la presencia / ausencia del Control Eficacia del proceso: Riesgo vs. Costo de Implementar
Riesgo vs. Recursos Riesgo vs. Satisfaccin del Cliente
Riesgo Inherente
Pag: 42
Costo
Pag: 43
Riesgo Inherente
Posibilidad de que se produzca una prdida significativa, tipos:
Riesgo del Negocio: productos/servicios , mercados/clientes Riesgo Regulatorio: multas; publicidad adversa Riesgo de Crdito: los clientes no cumplen sus obligaciones Riesgo de Precio: tipo de cambio, variacin de tasas Riesgo de Liquidez: falta de fondos para cubrir obligaciones Riesgo de Procesamiento: clasificacin, manejo, ingreso, Riesgo Contable: informes imprecisos Riesgo Pas: convertibilidad, estabilidad jurdica, impuestos, Riesgo de Documentacin: falsificaciones. Riesgo de Custodia: robos, fraudes (activos fsicos) Riesgo de Informacin: prdida, fraude, uso indebido Riesgo Tecnolgico: vulnerabilidades, contingencia,
Pag: 44
25
20
15
10
Infeccin por virus Fuga de Informacin No disponibilidad de los sistemas Violacin de la seguridad fsica Uso de software ilegal Hurto de equipos/perifricos Uso indebido del correo/Internet Violacin de controles de acceso a sistema Fraudes
2004
Pag: 45
Existencia
Autorizacin Precisin
Valuacin Propiedad
Presentacin
Pag: 46
Pag: 47
Revisin
Pregunta: Seleccione la pauta que mejor describe el alcance hasta el cual el Revisor debe efectuar pruebas.
a) Las pruebas deben evaluar en detalle todos los puntos de riesgo. b) Las pruebas deben evaluar en qu medida estn funcionando los controles existentes. c) Las pruebas deben confirmar la precisin de todas las transacciones. d) Las pruebas deben concentrarse en la validacin de controles crticos.
Pregunta: La posibilidad de que la empresa sufra una prdida debido a la naturaleza esencial de una actividad de negocios es:
a) un riesgo de revisin. b) un riesgo de control. c) un riesgo de proceso. d) un riesgo inherente .
Pregunta: Un Revisor que comprende los riesgos inherentes de un proceso o negocio puede:
a) determinar el tipo de controles que deben existir para mitigar el riesgo b) evaluar la magnitud de las prdidas potenciales. c) evaluar los tres niveles de riesgo. d) comparar los tipos de riesgo con otros procesos.
Pag: 48
Revisin
Ordene: Describa el proceso para llevar a cabo una revisin basada en riesgo:
Determinar los controles claves. Identificar los tipos de riesgos asociados con el proceso. Identificar un proceso. Evaluar la eficacia de los controles claves.
Pregunta: La posibilidad de que la cobertura de su revisin no encare los riesgos del negocio es:
a) un riesgo de revisin. b) un riesgo de control. c) un riesgo de proceso. d) un riesgo inherente.
Pag: 49
Revisin
Pregunta: El riesgo de control representa la posibilidad de que:
a) las Revisiones se concentren en los temas equivocados. b) los procesos funcionen en forma ineficaz. c) los controles establecidos no logren manejar el riesgo . d) el costo de los controles se torne prohibitivo.
Auditoria Informtica: Conceptos y Fundamentos
Pag: 50
Bibliografa
The Australian/New Zealand Joint Standards Committee AS/NZS 4360 Risk Management COSO - The Committee of Sponsoring Organizations of the commission Treadway CICA - Instituto Canadiense de Contadores Certificados IFAC - Financial & Management Accounting Committee A Guide to Security Risk Management for Information Technology Systems - Government of Canada, Communications Security MAGERIT - Metodologa de Anlisis y Sesin de Riesgos de los Sistemas de Informacin - Versin 1.0 Chester Simmons - Risk Management Solis Montes Gustavo A. Reingeniera de la Auditora Informtica
Pag: 51