Identificar los conceptos bsicos

requeridos para la prctica de

auditora de redes de voz y
datos.

CONCEPTO DE AUDITORA A LAS

TECNOLOGAS DE LA INFORMACIN
TIPOS DE AUDITORA

ORGANIZACIN DE LA FUNCIN DE
AUDITORA
ESTNDARES, DIRECTRICES,
PROCEDIMIENTOS Y GUAS DE AUDITORA
CDIGO DE TICA PROFESIONAL DEL
AUDITOR
EL CONTROL INTERNO

RIESGOS DE AUDITORA Y
MATERIALIDAD

DETECCIN DE FRAUDES

AUTOEVALUACIN DEL CONTROL

COBIT

ITIL

MARCO JURDICO NORMATIVO DE LA

FUNCIN DE AUDITORA

 La Auditora Informtica constituye una

serie de exmenes que se realizan en un

sistema informtico de manera peridica o
espordica, con el propsito de analizar y
evaluar la planificacin, la eficacia, sus
objetivos de control, la seguridad,
economa y por supuesto la deteccin de
irregularidades que se podran manifestar
en el procesamiento de la informacin.

 La Auditora Informtica comprende la revisin y

la evaluacin independiente y objetiva, del

ambiente y del entorno informtico de una
organizacin. Comprende la evaluacin de todas
o algunas de sus reas, los estndares y
procedimientos en vigor, su calidad y el
cumplimiento de ellos, de los objetivos fijados, de
los contratos y las normas legales aplicables; el
grado de satisfaccin de usuarios y directivos; los
controles existentes y un anlisis de los riesgos.

 El curso est centrado en el anlisis de los

aspectos tericos, metodolgicos y tcnicos de

los diversos temas que comprende la auditora
informtica. El propsito fundamental es el de
ofrecer a los estudiantes, mtodos y
procedimientos que apoyados en tecnologas
de la informacin fortalezcan el aprendizaje
significativo.

 Comprende la enseanza aprendizaje de 5

unidades didcticas que tendrn como

diferentes recursos para lograr la
construccin del conocimiento de los
estudiantes.

Definiendo Auditora
La palabra auditora viene del latn auditorius, y de

esta proviene auditor el que tiene la virtud de or;

revisor de cuentas colegiado
El auditor tiene la virtud de or y revisar cuentas,

encaminado a un objetivo especfico, evaluar la

eficiencia y eficacia con que se est operando para
que por medio de sealamientos , se tomen
decisiones que permitan corregir los errores en caso
de que existan o mejorar la forma de actuacin.

Definiendo Auditora
con frecuencia la palabra auditora se ha
empleado incorrectamente y se le ha
considerado una evaluacin cuyo nico fn es
detectar errores y sealar fallas, por eso la
frase tan utilizada tiene auditora como
sinnimo de que antes de realizarse, ya se
encontraron fallas y por lo tanto se est
haciendo la auditora.

Definiendo Auditora
El concepto de auditora es ms amplio; no

solo detecta errores:

es un examen crtico con la finalidad de
evaluar la eficiencia y eficacia de una
seccin o un organismo,
Determinar cursos alternativos de accin
para mejorar la organizacin y lograr los
objetivos propuestos

CONCEPTO DE
AUDITORA A LAS
TECNOLOGAS DE LA
INFORMACIN

Concepto de Auditora
a las tecnologas de la Informacin

La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.),

como se le conoce actualmente, (Auditoria informtica o
Auditoria de sistemas en nuestro medio).
En algunos pases altamente desarrollados es catalogada
como una actividad de apoyo vital para el mantenimiento de
la infraestructura crtica de una nacin, tanto en el sector
pblico como privado, en la medida en que la
INFORMACION es considerada un activo tan o ms
importante que cualquier otro en una organizacin.

Concepto de Auditora
a las tecnologas de la Informacin
Existen, normas, tcnicas y buenas practicas
dedicadas a la evaluacin y aseguramiento de la
calidad, seguridad, razonabilidad, y disponibilidad
de la INFORMACION tratada y almacenada a
travs de la computadora y equipos afines, as
como de la eficiencia, eficacia y economa con que
la administracin de un ente estn manejando dicha
INFORMACION y todos los recursos fsicos y
humanos asociados para su adquisicin, captura,
procesamiento, transmisin, distribucin, uso y
almacenamiento.

Concepto de Auditora
a las tecnologas de la Informacin

Cuyo objetivo es una opinin o juicio,

para lo cual se aplican tcnicas de
auditoria de general aceptacin y
conocimiento tcnico especfico.

Concepto de Auditora
a las tecnologas de la Informacin
apoyada por un conjunto de conocimientos
acerca de la tecnologa informtica, de
tcnicas y procedimientos de auditora y
de conocimientos contables, para
evaluar la calidad, fiabilidad y seguridad
de un entorno informtico dado, as
como brindar seguridad razonable
acerca de la utilidad de la informacin
almacenada y procesada en ellos, con el
fin de emitir un juicio al respecto.

Concepto de Auditora
Finalmente, deber expresar su opinin

acerca del grado de eficiencia, eficacia y

economa con que estn siendo usados
- administrados todos los recursos de
tecnologa informtica a cargo de la
administracin, incluido el factor
humano.

Auditora de Red
La globalizacin, la competencia y los avances
tecnolgicos estn aumentando la importancia de las
redes corporativas en todos los sectores empresariales.
Las empresas con mayor visin deben estar preparadas
para una creciente dependencia de sus redes y, en
consecuencia, para un crecimiento de red exponencial.
Adems, La infraestructura de las Tecnologas de la
Informacin y de las Comunicaciones (TIC) se ha
convertido en un activo empresarial estratgico y la red
constituye su ncleo.

Concepto
Una Auditoria de Redes es, en esencia,
una serie de mecanismos mediante los
cuales se pone a prueba una red
informtica, evaluando su desempeo y
seguridad, a fin de lograr una utilizacin
ms eficiente y segura de la informacin.

Concepto
El primer paso para iniciar una
gestin responsable de la seguridad es
identificar la estructura fsica (hardware,
topologa) y lgica (software, aplicaciones)
del sistema (sea un equipo, red, intranet,
extranet), y hacerle una Anlisis de
Vulnerabilidad, para saber en qu grado
de exposicin nos encontramos.

Concepto
As, hecha esta "radiografa" de la red, se
procede a localizar sus fallas ms
crticas, para proponer una Estrategia de
Saneamiento de los mismos; un Plan de
Contencin ante posibles incidentes; y un
Seguimiento Contnuo del desempeo del
sistema.

TIPOS DE AUDITORA

Tipos de Auditora
Auditora Interna y Auditora Externa:
La auditora interna es la realizada con recursos
materiales y personas que pertenecen a la empresa
auditada.
Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna
existe por expresa decisin de la Empresa, o sea, que
puede optar por su disolucin en cualquier momento.

Auditora externa
Realizada por personas afines a la empresa
auditada; es siempre remunerada.
Se presupone una mayor objetividad que en la
Auditora Interna, debido al mayor
distanciamiento entre auditores y auditados.

Auditora informtica interna

La auditora informtica interna cuenta con algunas
ventajas adicionales muy importantes respecto de la
auditora externa, las cuales no son tan perceptibles
como en las auditoras convencionales.
La auditora interna tiene la ventaja de que puede
actuar peridicamente realizando Revisiones
globales, como parte de su Plan Anual y de su
actividad normal. Los auditados conocen estos
planes y se habitan a las Auditoras, especialmente
cuando las consecuencias de las Recomendaciones
habidas benefician su trabajo.

Auditora informtica interna

En una empresa, los responsables de Informtica
escuchan, orientan e informan sobre las posibilidades
tcnicas y los costeo de tal Sistema. Con voz, pero a
menudo sin voto, Informtica trata de satisfacer lo ms
adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informtica y sta
necesita que su propia gestin est sometida a los
mismos Procedimientos y estndares que el resto de
aquella.
La conjuncin de ambas necesidades cristaliza en la
figura del auditor interno informtico.

Auditora informtica interna

En cuanto a empresas se refiere, solamente las ms
grandes pueden poseer una Auditora propia y
permanente, mientras que el resto acuden a las auditoras
externas. Puede ser que algn profesional informtico sea
trasladado desde su puesto de trabajo a la Auditora
Interna de la empresa cuando sta existe. Finalmente, la
propia Informtica requiere de su propio grupo de Control
Interno, con implantacin fsica en su estructura, puesto
que si se ubicase dentro de la estructura Informtica ya
no sera independiente.

Auditora informtica interna

Hoy, ya existen varias organizaciones
Informticas dentro de la misma
empresa, y con diverso grado de
autonoma, que son coordinadas por
rganos corporativos de Sistemas de
Informacin de las Empresas.

Auditora informtica interna

Una Empresa o Institucin que posee auditora interna
puede y debe en ocasiones contratar servicios de
auditora externa. Las razones para hacerlo suelen ser:
1) Necesidad de auditar una materia de gran
especializacin, para la cual los servicios propios no
estn suficientemente capacitados.

Ausitora informtica interna

2) Contrastar algn Informe interno con el que
resulte del externo, en aquellos supuestos de
emisin interna de graves recomendaciones
que chocan con la opinin generalizada de la
propia empresa.
3) Servir como mecanismo protector de
posibles auditoras informticas externas
decretadas por la misma empresa.

Auditora informtica interna

Aunque la auditora interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario
que se le realicen auditoras externas como para tener una visin
desde afuera de la empresa.
La auditora informtica, tanto externa como interna, debe ser una
actividad exenta de cualquier contenido o matiz "poltico" ajeno a la
propia estrategia y poltica general de la empresa.
La funcin auditora puede actuar de oficio, por iniciativa del propio
rgano, o a instancias de parte, esto es, por encargo de la direccin
o cliente.

Tipos y clases de auditora

Dentro de las reas generales, se
establecen las siguientes divisiones de
Auditora Informtica:
de Explotacin,
de Sistemas,
de Comunicaciones y
de Desarrollo de Proyectos.
Estas son las reas Especificas de la
Auditora Informtica ms importantes.

Tipos y clases de auditora

Cada rea Especifica puede ser auditada
desde los siguientes criterios generales:
Desde su propio funcionamiento interno.
Desde el apoyo que recibe de la Direccin
y, en sentido ascendente, del grado de
cumplimiento de las directrices de sta.
Desde la perspectiva de los usuarios,
destinatarios reales de la informtica.
Desde el punto de vista de la seguridad que
ofrece la Informtica en general o la rama
auditada.

Tipos y clases de auditora

entre otras
Financiera
Informtica
Gestin
Cumplimiento

ORGANIZACIN DE LA
FUNCIN DE AUDITORA

Organizacin de la funcin de
auditora
La funcin de auditora informtica paso de ser una funcin de ayuda al
auditor financiero a ser una funcin que desarrolla un trabajo, y seguir
hacindolo en el futuro.
En acuerdo con la importancia que tienen los sistemas informticos y de
informacin para las organizaciones. El auditor informtico pasa a ser
auditor y consultor y asesor en:
seguridad,
control interno,
eficiencia y eficacia,
tecnologa informtica,
continuidad de operaciones,
gestin de riesgos.
Mas all de los sistemas informticos sino en el contexto empresarial.

Organizacin de la funcin de
auditora
cmo se debe organizar la funcin de auditora informtica dentro
de la empresa?
Histricamente la funcin de auditora informtica se considera
dentro de la funcin de auditora interna, pero debe ser
independiente de los objetivos de la auditora interna operativa y
financiera.
Debe tener accesibilidad total a los sistemas informticos y de
informacin.
Debe estar bajo la direccin del director de auditora interna, para
evitar que otras dependencias cambien o disminuyan su imagen.

Organizacin de la funcin de
auditora
No debe depender del encargado de sistemas ni
del departamento de organizacin, financiero o
administrativo (debe ser independiente).
El departamento de auditora informtica debe
tener una organzacin interna basada en:
Jefe del departamento
Gerente o supervisor de auditora informtica
Staff de auditores informticos

Organizacin de la funcin de
auditora
El tamao debe estar en funcin de los
objetivos de la funcin, con especialistas
en entorno informtico en comunicaciones
y o redes, responsable de gestin de
riesgo operativo, responsable de la
auditora de sistemas y de ser posible un
especialista para la elaboracn de
programas trabajos conjuntos con la
auditora financiera.

ESTNDARES,
DIRECTRICES,
PROCEDIMIENTOS Y GUAS
DE AUDITORA

Estndares
La Organizacin Internacional para la Estandarizacin, ISO por sus

siglas en ingls (International Organization for Standardization), es

una federacin mundial que agrupa a representantes de cada uno
de los organismos nacionales de estandarizacin (como lo es el
IRAM en la Argentina), y que tiene como objeto desarrollar
estndares internacionales que faciliten el comercio internacional.

Cuando las organizaciones tienen una forma objetiva de evaluar la

calidad de los procesos de un proveedor, el riesgo de hacer

negocios con dicho proveedor se reduce en gran medida, y si los
estndares de calidad son los mismos para todo el mundo, el
comercio entre empresas de diferentes pases puede potenciarse
en forma significativa y de hecho, as ha ocurrido .

Estndares
Durante las ltimas dcadas, organizaciones de todos

los lugares del mundo se han estado preocupando cada

vez ms en satisfacer eficazmente las necesidades de
sus clientes, pero las empresas no contaban, en general,
con literatura sobre calidad que les indicara de qu
forma, exactamente, podan alcanzar y mantener la
calidad de sus productos y servicios.
De forma paralela, las tendencias crecientes del
comercio entre naciones reforzaba la necesidad de
contar con estndares universales de la calidad. Sin
embargo, no exista una referencia estandarizada para
que las organizaciones de todo el mundo pudieran
demostrar sus prcticas de calidad o mejorar sus
procesos de fabricacin o de servicio.

Estndares
Teniendo como base diferentes antecedentes sobre normas de

estandarizacin que se fueron desarrollando principalmente en

Gran Bretaa, la ISO cre y public en 1987 sus primeros
estndares de direccin de la calidad: los estndares de
calidad de la serie ISO 9000.

Con base en Ginebra, Suiza, esta organizacin ha sido desde

entonces la encargada de desarrollar y publicar estndares

voluntarios de calidad, facilitando as la coordinacin y
unificacin de normas internacionales e incorporando la idea
de que las prcticas pueden estandarizarse tanto para
beneficiar a los productores como a los compradores de bienes
y servicios. Particularmente, los estndares ISO 9000 han
jugado y juegan un importante papel al promover un nico
estndar de calidad a nivel mundial.

Estndares

LA FAMILIA ISO
Las series de normas ISO relacionadas con la calidad constituyen lo que se
denomina familia de normas, las que abarcan distintos aspectos relacionados con
la calidad:
ISO 9000: Sistemas de Gestin de Calidad
Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad
en diseo, fabricacin, inspeccin, instalacin, venta, servicio post venta,
directrices para la mejora del desempeo.
ISO 10000: Guas para implementar Sistemas de Gestin de Calidad/ Reportes
Tcnicos
Gua para planes de calidad, para la gestin de proyectos, para la documentacin
de los SGC, para la gestin de efectos econmicos de la calidad, para aplicacin
de tcnicas estadsticas en las Normas ISO 9000. Requisitos de aseguramiento
de la calidad para equipamiento de medicin, aseguramiento de la medicin.
ISO 14000: Sistemas de Gestin Ambiental de las Organizaciones.
Principios ambientales, etiquetado ambiental, ciclo de vida del producto,
programas de revisin ambiental, auditoras.
ISO 19011: Directrices para la Auditora de los SGC y/o Ambiental

 I.1 Aplicacin
La ISO 9001 2000 se puede aplicar en cualquier tipo de

organizacin, ya sea con o sin fines de lucro, manufacturera

o de servicios, grande, mediana o pequea.

I.2 Qu se necesita para iniciar un proceso de

Aseguramiento de la Calidad s/Normas ISO serie 90012000?
Compromiso real y participacin de los directivos
Involucramiento de todos los empleados
Comunicacin
Capacitacin de todas las reas de la organizacin
Disponibilidad de recursos dedicados a la implementacin
del SGC (responsables, tiempos, dinero, espacios fsicos
para reuniones, etc.)
Definicin clara de responsabilidades

 Realizacin de un diagnstico de calidad

Comprensin de los requerimientos de los clientes

Fijacin de polticas y objetivos de calidad
Establecimiento de un plan de calidad
Ordenamiento de la documentacin existente
Creacin de la documentacin del SGC s/ norma ISO
(Manual de Calidad, procedimientos, instrucciones de
trabajo)
Puesta a punto o calibracin de mquinas, equipos, etc.
Diseo e implementacin de mecanismos de mejora
continua
Definicin, planificacin e implementacin de
actividades de medicin y seguimiento necesarias para
asegurar el cumplimiento de las exigencias de la norma

Directrices
Una auditora se realiza con base a un patrn o conjunto de
directrices o buenas practicas sugeridas. Existen estndares
orientados a servir como base para auditoras de informtica. Uno
de ellos es COBIT (Objetivos de Control de la Tecnologas de la
Informacin), dentro de los objetivos definidos como parmetro, se
encuentra el "Garantizar la Seguridad de los Sistemas". Adicional
a este estndar podemos encontrar el standard ISO 27002, el cual
se conforma como un cdigo internacional de buenas prcticas de
seguridad de la informacin, este puede constituirse como una
directriz de auditora apoyndose de otros estndares de
seguridad de la informacin que definen los requisitos de auditora
y sistemas de gestin de seguridad, como lo es el estndar
ISO 27001.

Procedimientos
Al conjunto de tcnicas de investigacin aplicables a un grupo de
hechos o circunstancias que nos sirven para fundamentar la opinin
del auditor dentro de una auditora, se les dan el nombre de
procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas
de auditora, y al conjunto de programas de auditora se le denomina
plan de auditora, el cual servir al auditor para llevar una estrategia y
organizacin de la propia auditora.
El auditor no puede obtener el conocimiento que necesita para
sustentar su opinin en una sola prueba, es necesario examinar los
hechos, mediante varias tcnicas de aplicacin simultnea.

Procedimientos
Anlisis de datos.
Dentro de este trabajo, desarrollaremos

diversos tipos de tcnicas y procedimientos de

auditora, de los cuales destacan el anlisis de
datos, ya que para las organizaciones el
conjunto de datos o informacin son de tal
importancia que es necesario verificarlos y
comprobarlos, as tambin tiene la misma
importancia para el auditar ya que debe de
utilizar diversas tcnicas para el anlisis de
datos, basados en [bib-solis-2002], las cuales
se describen a continuacin.

Procedimientos
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
Analizar las caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia
y decidir cul tcnica o procedimiento de auditora sern
los mas indicados par obtener su opinin.

Procedimientos
Comparacin de programas
esta tcnica se emplea para efectuar una
comparacin de cdigo (fuente, objeto o comandos
de proceso) entre la versin de un programa en
ejecucin y la versin de un programa piloto que
ha sido modificado en forma indebida, para
encontrar diferencias.
Mapeo y rastreo de programas
esta tcnica emplea un software especializado que
permite analizar los programas en ejecucin,
indicando el nmero de veces que cada lnea de
cdigo es procesada y las de las variables de
memoria que estuvieron presentes.

Procedimientos
Anlisis de cdigo de programas
Se emplea para analizar los programas de una
aplicacin. El anlisis puede efectuarse en forma
manual (en cuyo caso slo se podra analizar el
cdigo ejecutable).
Datos de prueba

Se emplea para verificar que los procedimientos de

control incluidos los programas de una aplicacin
funcionen correctamente. Los datos de prueba
consisten en la preparacin de una serie de
transacciones que contienen tanto datos correctos
como datos errneos predeterminados.

Procedimientos
Datos de prueba integrados

Tcnica muy similar a la anterior, con la diferencia

de que en sta se debe crear una entidad, falsa
dentro de los sistemas de informacin.

Anlisis de bitcoras

Existen varios tipos de bitcoras que pueden ser

analizadas por el auditor, ya sea en forma manual
o por medio de programas especializados, tales
como bitcoras de fallas del equipo, bitcoras de
accesos no autorizados, bitcoras de uso de
recursos, bitcoras de procesos ejecutados.

Procedimientos
Simulacin paralela

Tcnica muy utilizada que consiste en

desarrollar programas o mdulos que
simulen a los programas de un sistema en
produccin. El objetivo es procesar los dos
programas o mdulos de forma paralela e
identificar diferencias entre los resultados
de ambos.

Procedimientos
Monitoreo.
Dentro de las organizaciones todos los

procesos necesitan ser evaluados a

travs del tiempo para verificar su
calidad en cuanto a las necesidades de
control, integridad y confidencialidad,
este es precisamente el mbito de esta
tcnica, a continuacin se muestran los
procesos de monitoreo:

Procedimientos
M1 Monitoreo del proceso.
M2 Evaluar lo adecuado del control

Interno.
M3 Obtencin de aseguramiento
independiente.
M4 Proveer auditora independiente.

Procedimientos
M1 Monitoreo del proceso
Asegura el logro de los objetivos para los

procesos de TI, lo cual se logra definiendo por

parte de la gerencia reportes e indicadores de
desempeo y la implementacin de sistemas
de soporte as como la atencin regular a los
reportes emitidos.
Para ello la gerencia podr definir indicadores
claves de desempeo y factores crticos de
xito y compararlos con los niveles propuestos
para evaluar el desempeo de los procesos de
la organizacin.

Procedimientos
M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control

interno establecidos para los procesos de TI,

para ello se debe monitorear la efectividad de
los controles internos a travs de actividades
administrativas, de supervisin,
comparaciones, acciones rutinarias, evaluar su
efectividad y emitir reportes en forma regular

 M3 Obtencin de aseguramiento independiente

Incrementa los niveles de confianza entre la

organizacin, clientes y proveedores, este proceso se

lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o
acreditacin independiente de seguridad y control interno
antes de implementar nuevos servicios de tecnologa de
informacin que resulten crticos, as como para trabajar
con nuevos proveedores de servicios de tecnologa de
informacin, luego la gerencia deber adoptar como
trabajo rutinario tanto hacer evaluaciones peridicas
sobre la efectividad de los servicios de tecnologa de
informacin, de los proveedores de estos servicios as
como tambin asegurarse el cumplimiento de los
compromisos contractuales de los servicios de
tecnologa de informacin y de los proveedores de
dichos servicios.

Procedimientos
M4 Proveer auditora independiente.
Incrementa los niveles de confianza de

recomendaciones basadas en mejores

prcticas de su implementacin, lo que se logra
con el uso de auditoras independientes
desarrolladas a intervalos regulares de tiempo.
Para ello la gerencia deber establecer los
estatutos para la funcin de auditora,
destacando en este documento la
responsabilidad, autoridad y obligaciones de la
auditora.

 El auditor deber ser independiente del auditado, esto

significa que los auditores no debern estar relacionados

con la seccin o departamento que est siendo auditado
y en lo posible deber ser independiente de la propia
empresa, esta auditora deber respetar la tica y los
estndares profesionales, seleccionando para ello
auditores que sean tcnicamente competentes, es decir
que cuenten con habilidades y conocimientos que
aseguren tareas efectivas y eficientes de auditora
informtica.
La funcin de la auditora informtica deber
proporcionar un reporte que muestre los objetivos,
perodo de cobertura, naturaleza y trabajo de auditora
realizado, as como tambin la organizacin, conclusin
y recomendaciones relacionadas con el trabajo de
auditora informtica llevado a cabo.

Procedimientos
Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se

encuentran expuestos a distintas amenazas, las

vulnerabilidades de los sistemas aumentan, al
mismo tiempo que se hacen ms complejos, el
nmero de ataques tambin aumenta, por lo
anterior las organizaciones deben reconocer la
importancia y utilidad de la informacin
contenida en las bitcoras de los sistemas de
computo as como mostrar algunas
herramientas que ayuden a automatizar el
proceso de anlisis de las mismas.

Procedimientos
El crecimiento de Internet enfatiza esta problemtica, los

sistemas de cmputo generan una gran cantidad de

informacin, conocidas como bitcoras o archivos logs,
que pueden ser de gran ayuda ante un incidente de
seguridad, as como para el auditor.
Una bitcora puede registrar mucha informacin acerca
de eventos relacionados con el sistema que la genera los
cuales pueden ser:
Fecha y hora.
Direcciones IP origen y destino.
Direccin IP que genera la bitcora.
Usuarios.
Errores.

Procedimientos
La importancia de las bitcoras es la de

recuperar informacin ante incidentes de

seguridad, deteccin de comportamiento
inusual, informacin para resolver problemas,
evidencia legal, es de gran ayuda en las tareas
de cmputo forense.
Las Herramientas de anlisis de bitcoras mas
conocidas son las siguientes:
Para UNIX, Logcheck, SWATCH.
Para Windows, LogAgent

Procedimientos
Las bitcoras contienen informacin crtica es

por ello que deben ser analizadas, ya que estn

teniendo mucha relevancia, como evidencia en
aspectos legales.
El uso de herramientas automatizadas es de
mucha utilidad para el anlisis de bitcoras, es
importante registrar todas las bitcoras
necesarias de todos los sistemas de cmputo
para mantener un control de las mismas.

Procedimientos
Tcnicas de auditora asistida por computadora
La utilizacin de equipos de computacin en las

organizaciones, ha tenido una repercusin importante en

el trabajo del auditor, no slo en lo que se refiere a los
sistemas de informacin, sino tambin al uso de las
computadoras en la auditora.
Al llevar a cabo auditoras donde existen sistemas
computarizados, el auditor se enfrenta a muchos
problemas de muy diversa condicin, uno de ellos, es la
revisin de los procedimientos administrativos de control
interno establecidos en la empresa que es auditada.

Procedimientos
La utilizacin de paquetes de programas

generalizados de auditora ayuda en gran

medida a la realizacin de pruebas de
auditora, a la elaboracin de evidencias
plasmadas en los papeles de trabajo.
Segn [bib-zavaro-martinez] las tcnicas de
auditora Asistidas por Computadora (CAAT)
son la utilizacin de determinados paquetes de
programas que actan sobre los datos,
llevando a cabo con ms frecuencia los
trabajos siguientes:

Procedimientos
Seleccin e impresin de muestras de

auditoras sobre bases estadsticas o no

estadsticas, a lo que agregamos, sobre la
base de los conocimientos adquiridos por los
auditores.
Manipulacin de la informacin al calcular
subtotales, sumar y clasificar la informacin,
volver a ordenar en serie la informacin, etc.

Procedimientos
Consecuentemente, se hace indispensable el

empleo de las CAAT que permiten al auditor,

evaluar las mltiples aplicaciones especficas
del sistema que emplea la unidad auditada, el
examinar un diverso nmero de operaciones
especficas del sistema, facilitar la bsqueda de
evidencias, reducir al mnimo el riesgo de la
auditora para que los resultados expresen la
realidad objetiva de las deficiencias, as como
de las violaciones detectadas y elevar
notablemente la eficiencia en el trabajo.

Procedimientos
Teniendo en cuenta que se haca

imprescindible auditar sistemas informticos;

as como disear programas auditores, se
deben incorporar especialistas informticos,
formando equipos multidisciplinarios capaces
de incursionar en las auditoras informticas y
comerciales, independientemente de las
contables, donde los auditores que cumplen la
funcin de jefes de equipo, estn en la
obligacin de documentarse sobre todos los
temas auditados.

Procedimientos
De esta forma los auditores adquieren ms

conocimientos de los diferentes temas,

pudiendo incluso, sin especialistas de las
restantes materias realizar anlisis de esos
temas, aunque en ocasiones es necesario que
el auditor se asesore con expertos, tales como,
ingenieros industriales, abogados, especialistas
de recursos humanos o de normalizacin del
trabajo para obtener evidencia que le permita
reunir elementos de juicio suficientes.

 Examen de registros de acuerdo con los

criterios especificados.
Bsqueda de alguna informacin en
particular, la cual cumpla ciertos
criterios, que se encuentra dentro de las
bases de datos del sistema que se
audita.

Procedimientos
Benchmarking
Las empresas u organizaciones deben buscar

formas o frmulas que las dirijan hacia una

mayor calidad, para poder ser competitivos,
una de estas herramientas o frmulas es el
Benchmarking.
Existen varios autores que han estudiado el
tema, y de igual manera existen una gran
cantidad de definiciones de lo que es
benchmarking, a continuacin se presentan
algunas definiciones.

Procedimientos
Benchmarking es el proceso continuo de

medir productos, servicios y prcticas

contra los competidores o aquellas
compaas reconocidas como lderes en
la industria (1)

(1) [bib-imcp] Normas y procedimientos de auditora. Instituto Mexicano de Contadores Pblicos (IMCP).

Procedimientos
Esta definicin presenta aspectos importantes

tales como el concepto de continuidad, ya que

benchmarking no slo es un proceso que se
hace una vez y se olvida, sino que es un
proceso continuo y constante.
Segn la definicin anterior podemos deducir
que se puede aplicar benchmarking a todas las
facetas de las organizaciones, y finalmente la
definicin implica que el benchmarking se debe
dirigir hacia aquellas organizaciones y
funciones de negocios dentro de las
organizaciones que son reconocidas como las
mejores.

Procedimientos
Entre otras definiciones tenemos la extrada del

libro Benchmarking de Bengt, la cual es:

benchmarking es un proceso sistemtico y
contino para comparar nuestra propia
eficiencia en trminos de productividad, calidad
y prcticas con aquellas compaas y
organizaciones que representan la excelencia.
Como vemos en esta definicin se vuelve a
mencionar el hecho de que benchmarking es
un proceso continuo, tambin se presenta el
trmino de comparacin y por ende remarca la
importancia de la medicin dentro del
benchmark.

Procedimientos
Estos autores se centran, a parte de la

operaciones del negocio, en la calidad y en la

productividad de las mismas, considerando el
valor que tienen dichas acciones en contra de
los costos de su realizacin lo cual representa
la calidad, y la relacin entre los bienes
producidos y los recursos utilizados para su
produccin, lo cual se refiere a la productividad.
Por lo que podemos ver existen varias
definiciones sobre lo que es benchmarking, y
aunque difieren en algunos aspectos tambin
se puede notar que concuerdan o presentan
una serie de elementos comunes.

Procedimientos
Para empezar en la mayora de ellas se resalta

el hecho de que benchmarking es un proceso

continuo que al aplicarla en nuestra empresa
resuelva los problemas de la misma, sino que
es un proceso que se aplicar una y otra vez ya
que dicho proceso est en bsqueda constante
de las mejores prcticas de la industria, y como
sabemos la industria est en un cambio
constante y para adaptarse a dicho cambio
desarrolla nuevas practicas, por lo que no se
puede asegurar que las mejores prcticas de
hoy lo sern tambin de maana.

Procedimientos
Tambin se vio en las diferentes definiciones

que este proceso no slo es aplicable a las

operaciones de produccin, sino que puede
aplicarse a todas la fases de las
organizaciones, por lo que benchmarking es
una herramienta que nos ayuda a mejorar
todos los aspectos y operaciones del negocio,
hasta el punto de ser los mejores en la
industria, observando aspectos tales como la
calidad y la productividad en el negocio.

 De igual manera podemos concluir que

es de suma importancia como una

nueva forma de administrar ya que
cambia la prctica de compararse slo
internamente a comparar nuestras
operaciones en base a estndares
impuestos externamente por las
organizaciones conocidas como las de
excelencia dentro de la industria.

[2]http://Monografias.com/Trabajos4.html

Guas
Una gua de auditora es un manual escrito que contiene

directrices especficas o instrucciones para llevar a cabo una

auditora. Estas guas estn generalmente especficas de
negocio industrias o sectores, tales como las compaas de
seguros, correduras y compaas de financiamiento. Guas
de auditora pueden basarse en los principios de marco de
contabilidad nacionales o reglamentaciones gubernamentales
relativas a industrias especficas del negocio o
sectores.Auditores utilicen dichas guas para evaluar la
financiera o las operaciones de negocios de una empresa y
determinan si cualquier violaciones o debilidades importantes
existen en informacin interna o externa de la empresa.

 Una gua de auditora puede desarrollarse para cada tipo

de auditora llevada a cabo por una firma de contabilidad

pblica u otra organizacin. Tipos ms comunes de las
auditoras incluyen financiera, cumplimiento de normas,
o las auditoras operacionales. La Gua de auditora
puede utilizarse por auditores internos empleados
directamente por la empresa o por auditores pblicos
que realizan auditoras externas. Guas de auditora
interna y auditora externa usualmente difieren en su
mbito de aplicacin para la evaluacin de la informacin
de la empresa. Las auditoras internas suelen ser menos
formal y destinados a uso de gestin slo. Una gua de
auditora externa a menudo se utiliza para evaluar la
informacin de la empresa de despacho a los
interesados de negocios externos.

 Una gua de auditora interna normalmente

comprueba la implementacin de las empresas

de controles internos para proteger su
informacin financiera y de negocios. Controles
internos podrn limitar el nmero de funciones
de un individuo puede completar en la
empresa, restringir el acceso a informacin
confidencial de la empresa o del cliente,
garantizar que la compaa cumple requisitos
para las designaciones profesionales, o reunin
especfica gubernamentales y legales. Los
directores de contabilidad a menudo son
responsables de desarrollar a la Gua de
auditora interna y asegurar que la gua cubre
todas las funciones importantes del negocio de
la empresa.

Planeacin de la Auditoria
Informtica
Se debe recopilar informacin para obtener una visin
general del rea a auditar por medio de:
observaciones,
entrevistas preliminares y
solicitudes de documentos.
La finalidad es definir el objetivo y alcance del estudio, as
como el programa detallado de la investigacin.
La planeacin de la auditora debe sealar en forma
detallada el alcance y direccin esperados y debe
comprender un plan de trabajo para que, en caso de que
existan cambios o condiciones inesperadas que ocasionen
modificaciones al plan general, sean justificadas por escrito.

Se debe hacer una investigacin preliminar

solicitando y revisando la informacin de cada una
de las reas de la organizacin.
Para poder analizar y dimensionar la estructura
por auditar se debe solicitar:
1- A nivel Organizacin Total:
Objetivos a corto y largo plazo
Manual de la Organizacin
Antecedentes o historia del Organismo
Polticas generales

2. A nivel rea informtica:

Objetivos a corto y largo plazo
Manual de organizacin del rea que
incluya puestos, niveles jerrquicos y
tramos de mando.
Manual de polticas, reglamentos
internos y lineamientos generales.
Nmero de personas y puestos en el
rea
Procedimientos administrativos en el
rea.
Presupuestos y costos del rea.

3. Recursos materiales y tcnicos

Solicitar documentos sobre los equipos, nmero (de los
equipos por instalados, por instalar y programados),
localizacin y caractersticas.
Fechas de instalacin de los equipos y planes de
instalacin.
Contratos vigentes de compra, renta y servicio de
mantenimiento.
Contrato de seguros
Convenios que se mantienen con otras instalaciones
Configuracin de los equipos, capacidades actuales y
mximas.
Planes de expansin
Ubicacin general de los equipos
Polticas de operacin
Polticas de uso o de equipos

4- Sistemas
Manual de formularios.
Manual de procedimientos de los
sistemas
Descripcin genrica
Diagrama de entrada, archivo y salida.
Salidas impresas
Fecha de instalacin de los sistemas
Proyectos de instalacin de nuevos
sistemas.

Como resultado de los trabajos

preliminares se debe explicitar:
objetivo
alcance
limitaciones y colaboracin necesarias
grado de responsabilidad
Informes que se entregaran

Fases de la Auditora
Informtica

TOMA DE CONTACTO
PLANIFICACION DE LA OPERACION
DESARROLLO DE LA AUDITORIA
FASE DE DIAGNOSTICO
PRESENTACION DE LAS
CONCLUSIONES
FORMULACION DEL PLAN DE
MEJORAS

 Toma de Contacto En esta etapa se debern

establecer:
- Definitivamente el objetivo de la AI
- Las reas a cubrir
- Personas de la Organizacin que habrn de
colaborar y en que momentos de la auditoria
- Plan de trabajo:
- tareas
- calendario
- resultados parciales
- presupuesto
- equipo auditor necesario

Planificacin de la Operacin
Desarrollo de la Auditoria Informtica
Es el momento de ejecutar las tareas
que se enunciaron en la fase anterior.
Es esta una fase de observacin, de
recoleccin de datos, situaciones,
deficiencias, en resumen un perodo en
el que:

 se efectuarn las entrevistas previstas en la

fase de planificacin.
se completarn todos los cuestionarios que
presente el auditor
se observarn las situaciones deficientes, no
solo las aparentes, sino las que hasta ahora no
hayan sido detectadas, para lo que se podr
llegar a simular situaciones lmites.
se observarn los procedimientos, tanto los
informticos como los de usuarios.
se ejecutarn por lo tanto, todas las previsiones
efectuadas en la etapa anterior con el objeto de
llegar a la siguiente etapa en condiciones de
diagnosticar la situacin encontrada.

Fase de Diagnstico
Cuando ya se hayan efectuado todas los

estudios y revisiones, se debe elaborar el

diagnstico. Como resultados de esta etapa han
de quedar claramente definidos los puntos
dbiles, y por contrapunto los fuertes, los riesgos
eventuales, y en primera instancia los posibles
tipos de solucin o mejoras de los problemas
planteados.

Estas conclusiones se discutirn con las

personas afectadas por lo que sern

suficientemente argumentadas y probadas.

 Es un momento delicado en el trato con

las reas, los auditores deben presentar

estas conclusiones como un plan de
mejoras en beneficio de todos, en lugar
de una reprobacin de los afectados,
salvo en el caso de que esto sea
estrictamente necesario.

Presentacin de las Conclusiones

Formulacin del Plan de Mejoras
Llegados a este ltimo punto, la direccin
conoce ya las deficiencias que el equipo
auditor ha observado en su departamento
informtico, stas han sido discutidas. Mas no
basta con quedarse ah, ahora es cuando los
auditores han de demostrar su experiencia en
situaciones anteriores lo suficientemente
contrastadas y exitosas y ser capaces de
adjuntar, al informe de auditora, el plan de
mejoras que permitir solventar las
deficiencias encontradas.

 El plan de mejoras abarcar todas las

recomendaciones derivadas de las

deficiencias detectadas en la realizacin
de la auditoria. Para ello se tendrn en
cuenta los recursos disponibles, o al
menos potencialmente disponibles, por
parte de la Empresa objeto de la
Auditoria.

 Entre las primeras se incluirn aquellas

mejoras puntuales y de fcil realizacin como

son las mejoras en plazo, calidad, planificacin
o formacin. Las medidas de mediano plazo
necesitaran de uno a dos aos para poderse
concretar. Aqu pues caben mejoras ms
profundas y con mayor necesidad de recursos,
como la optimizacin de programas, o de la
documentacin, e incluso de algunos aspectos
de diseo de los sistemas.

 Para finalizar, las consideraciones a

largo plazo, pueden llevar cambios

sustanciales en las polticas, medios o
incluso estructuras del servicio de
informtica. Estas mejoras pueden pasar
por la reconsideracin de los sistemas
en uso o de los medios, humanos y
materiales, con que se cuenta, llegando
si es preciso a una seria reconsideracin
del plan informtico.

ALGUNAS RECOMENDACIONES A TENER EN

CUENTA:

1- No hacer juicios sin la suficiente

fundamentacin
2- Cuidar los aspectos de imagen, presentacin
y protocolo
3- No adelantar resultados parciales que
pueden distorsionar el resultado final
4- Las entrevistas iniciales son un aspecto muy
a cuidar. Hay que prepararlas muy bien para
que surtan el efecto que de ellas se espera.

5- En todo momento, por cordiales que resulten

las relaciones con los auditados, no perder de
vista el papel de consultores experimentados que
han de tener los auditores informticos.
6- Exponer la idea que los resultados de la
auditoria no harn ms que intentar mejorar, a
todos los efectos, el servicio de informtica con el
beneficio que ello supondra para todos los
implicados en el rea.
7- Exponer la idea que al final de la auditoria no
se trata de castigar a nadie. El objetivo
fundamental es el de encontrar deficiencias y
corregirlas.

8- Estudiar hechos y no opiniones. (no se

toman en cuenta rumores ni informacin
sin fundamento)
9- Investigar las causas, no los efectos.
10- Atender razones, no excusas.
11- Criticar objetivamente y a fondo todos
los informes y los datos recabados.

CDIGO DE ETICA
PROFESIONAL DEL AUDITOR

Elaborar resumen captulo 7

Piattini

EL CONTROL INTERNO

 El control interno informtico controla

diariamente que todas las actividades de

sistemas de informacin sean realizadas
cumpliendo los procedimientos,
estndares y no normas fijados por la
Direccin de la organizacin y/o a la
direccin de informtica as como los
requerimientos legales.

Misin del control interno informtico

Asegurarse de que las medidas que se
obtienen de los mecanismos implantados
por cada responsable sean correctas y
vlida.
Suele ser un rgano staff, dotado de las
personas y medios materiales
proporcionados para tareas
encomendadas.

Objetivos:
Controlar que todas las actividades que
se realicen cumplan con normas y
procedimientos, evaluar sus beneficios y
asegurarse de cumplimiento de normas
legales.
Asesorar sobre el conocimientos de las
normas

Debido a que cada da es mas frecuente el uso de redes en

las instituciones, las cuales que van desde simples redes
internas y redes locales (LANs), hasta las redes
metropolitanas (MANs) o las redes instaladas a escala
mundial (WANs). El establecimientos para estos controles
para la seguridad en sistemas de redes y sistemas
multiusuario de una empresa es de vital importancia. Razn
por la cual se debe tomar medidas muy especificas para la
proteccin, resguardo y uso de programas, archivos e
informacin compartida de la empresa.

Respecto a la seguridad en redes, existe un sinnmero de

medidas preventivas y correctivas, las cuales constantemente
se incrementan en el mundo de los sistemas.
Debido a la caractersticas de los propios sistemas
computacionales , a las formas de sus instalaciones , el
numero de terminales y a sus tipos de conexin , es
necesario adaptarse a los constantes cambios tecnolgicos
que buscan garantizar la seguridad en el funcionamiento de
las propias redes, de sus programas de uso colectivo, de su
archivos de informacin y de su dems caractersticas.

La seguridad en las redes es muy eficiente y con una

profundidad digna de sealarse debido a que constantemente
se establecen y actualizan sus controles, los cuales van
desde restriccin de las accesos para usuarios, hasta el uso
de palabras claves para el ingreso a los programas y archivos
de la empresa , as como el monitoreo de actividades, rutinas
de auditoria para identificar comportamientos, con el
propsito de salvaguardar la informacin y los programas de
estos sistemas.

Lo mismo ocurre respecto a los planes y

programas de contingencias diseados para la
salvaguarda de la informacin, de los
programas y de los mismos sistemas de red
establecidos en la empresa.

CONTROLES

ORGANIZACIN
Registro de los intercambios
Custodia de activos que no sean los del propio departamento
Correccin de errores que no provengan de los originados por el
propio dpto.
En cuanto a la organizacin dentro del mismo departamento , las
siguiente funciones deben estar segregadas:
programacin del sistema operativo
anlisis , programacin y mantenimiento
operacin
ingreso de datos
control de datos de entrada / salida
archivos de programas y datos.

 DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Las tecnicas de mantenimiento y programacin

operativos del sistema deben estar normalizados y

documentados.
OPERACIN Y PROCEDIMIENTOS
Deben existir controles que aseguren el
procesamiento exacto y oportuno de la informacin
contable.
instrucciones por escrito sobre procedimiento para
para preparar datos para su ingreso y procesamiento
La funcin de control debe ser efectuada por un
grupo especfico e independiente.
Instrucciones por escrito sobre la operacin de los
equipos.
Solamente operadores de computador deben
procesar los SIST OP.

 CONTROLES DE EQUIPOS Y PROGRAMAS DEL

SISTEMA
Debe efectuarse un control de los equipos :
programacin del mantenimiento preventivo y
peridico
registro de fallas de equipos
Los cambios del sist. Op. Y la programacin.
CONTROLES DE ACCESO
El acceso al PED debe estar restringido en todo
momento. Tambin debe controlarse :
el acceso los equipos debe estar restringido a
aquellos autorizados
el acceso de documentacin solo aquellos
autorizados
el acceso a los archivos de datos y programas solo
limitado a operadores

El

funcionamiento adecuado de los protocolos de red

El

funcionamiento corrector de direcciones ya sean por un nivel o

jerrquicas.
El

manejo de los tamaos de paquetes que se manejan en la red, segn su

mximo.
El

control de errores para la entrega confiable y en orden o sin orden de la

informacin que se trasmite en la red.
Control

de flujo y de velocidad de trasmisin de los datos de la red.

Control

de congestin del manejo de la informacin, trasmisin y protocolo

de la red.
Administracin

y control de la problemtica de seguridad de la red, la

informacin, los usuarios, los sistemas computacionales y de las
instalaciones fsicas.
Contabilidad

de los tiempos de uso del sistema, ya sea por conexin de las

terminales, por paquetes, por byte, por proceso o por cualqu

Anlisis

del funcionamiento de los mecanismos de control de acceso

a las instalaciones, informacin y software institucional.
Anlisis de prevencin de accesos mltiples, sin permisos, dolosos y
de todas aquellas acciones para ingresar al sistema sin la
autorizacin correspondiente.
Anlisis del procesamiento de informacin en los sistemas de red.
Anlisis de la administracin y el control de la asignacin de los
niveles de acceso, privilegios y contrasea para los usuarios para
ingresar al sistema de la informacin.
Anlisis del monitoreo de las actividades de los usuarios.
Anlisis de las medidas correctivas y preventivas para evitar la
piratera de informacin, software, activos informticos y consumibles
del rea de sistemas.

RIESGOS DE AUDITORA Y
MATERIALIDAD

Anlisis de riesgos y
materialidad
El Riesgo en auditora representa la posibilidad de que el auditor

exprese una opinin errada en su informe debido a que los

estados financieros o la informacin suministrada a l estn
afectados por una distorsin material o normativa.

Anlisis de riesgos y
materialidad
En auditora se conocen tres tipos de riesgo: Inherente, de

Control y de Deteccin. El riesgo inherente es la posibilidad de

que existan errores significativos en la informacin auditada, al
margen de la efectividad del control interno relacionado; son
errores que no se pueden prever. El riesgo de control est
relacionado con la posibilidad de que los controles internos
imperantes no preveen o detecten fallas que se estn dando en
sus sistemas y que se pueden remediar con controles internos
ms efectivos. El riesgo de deteccin estn relacionados con el
trabajo del auditor, y es que ste en la utilizacin de los
procedimientos de auditora, no detecte errores en la informacin
que lesuministran. El riesgo de auditoria se encuentra as: RA =
RI x RC x RD

Clasificacin de los riesgos

Esta clasificacin de los riesgos en auditora puede tener

sus variantes; por ejemplo, en Taylor y Glezze se

mencionan el riesgo alfa(riesgo del rechazo indebido) y el
riesgo beta(riesgo de la aceptacin indebida)
La SAS No 39. Menciona el Riesgo Ultimo como una

combinacin de dos riesgos: el que se cometan errores de

importancia en el proceso contable y el de que estos
errores no sean detectados por el auditor. Se describe
tambin como el riesgo de que en el saldo de una cuenta,
exista un error monetario mayor que el que se pueda
tolerar(Materialidad) y que el auditor no pueda detectarlo.

La materialidad
La

Materialidad es el error monetario mximo que puede

existir en el saldo de una cuenta sin dar lugar a que los
estados financieros estn sustancialmente deformados. A la
materialidad tambin se le conoce como Importancia
Relativa.

DETECCIN DE FRAUDES

Fraude
Definicin.- Podemos afirmar que es un engao hacia un tercero, abuso de

confianza, dolo, simulacin, etc. El trmino "fraude" se refiere al acto

intencional de la Administracin, personal o terceros, que da como
resultado una representacin equivocada de los estados financieros,
pudiendo implicar:

* Manipulacin, falsificacin o alteracin de registros o documentos.

* Malversacin de activos

* Supresin u omisin de los efectos de ciertas transacciones en los

registros o documentos.

* Registro de transacciones sin sustancia o respaldo

* Mala aplicacin de polticas contables.

Tipos de fraude
Se considera que hay dos tipos de fraudes: el primero de ellos

se realiza con la intencin financiera clara de malversacin de

activos de la empresa.
El segundo tipo de fraude, es la presentacin de informacin

financiera fraudulenta como acto intencionado encaminado a

alterar las cuentas anuales.

* Los fraudes denominados internos son aquellos

organizados por una o varias personas dentro de una
institucin, con el fin de obtener un beneficio propio.

* Los fraudes conocidos como externos son aquellos que se

efectan por una o varias personas para obtener un beneficio,
utilizando fuentes externas como son: bancos, clientes,
proveedores, etc.

Porque hay fraudes

Por Que Hay Fraudes

Se considera que hay fraudes por:

* Falta de controles adecuados.

* Poco y mal capacitado personal.

* Baja / alta rotacin de puestos.

* Documentacin confusa.

* Salarios bajos.

* Existencia de activos de fcil conversin: bonos, pagares, etc.

* Legislacin deficiente.

* Actividades incompatibles entre s.

 Como se evita un fraude:

La respuesta ms sencilla es la de mejorar el control

administrativo, implementar practicas y polticas de control, analizar

los riesgos que motiven a un fraude, tener la mejor gente posible,
bien remunerada y motivada.
Como se detecta un fraude:
Existe una infinidad de respuestas a esta pregunta las ms

comunes son:

* Observar, probar o revisar los riesgos especficos de control,

identificar los mas importantes y vigilar constantemente su
adecuada administracin.
* Simular operaciones.

* Revisar constantemente las conciliaciones de saldos con

bancos, clientes, etc.

* Llevar acabo pruebas de cumplimiento de la eficacia de los

controles.

COBIT, ITIL, MOPROSOFT