Qu es la Auditora de Redes?

Identificar los conceptos bsicos

requeridos para la prctica de
auditora de redes de voz y
datos.

CONOCIMIENTOS
DE LA UNIDAD DE
APRENDIZAJE
AUDITORA DE REDES
UNIDAD DE COMPETENCIA I
CONCEPTO DE AUDITORA A LAS
TECNOLOGAS DE LA INFORMACIN
TIPOS DE AUDITORA

ORGANIZACIN DE LA FUNCIN DE
AUDITORA
ESTNDARES, DIRECTRICES,
PROCEDIMIENTOS Y GUAS DE AUDITORA
CDIGO DE TICA PROFESIONAL DEL
AUDITOR
EL CONTROL INTERNO

COBIT

DETECCIN DE FRAUDES

AUTOEVALUACIN DEL CONTROL

RIESGOS DE AUDITORA Y
MATERIALIDAD
ITIL

MARCO JURDICO NORMATIVO DE LA
FUNCIN DE AUDITORA
La Auditora Informtica constituye una
serie de exmenes que se realizan en un
sistema informtico de manera peridica o
espordica, con el propsito de analizar y
evaluar la planificacin, la eficacia, sus
objetivos de control, la seguridad,
economa y por supuesto la deteccin de
irregularidades que se podran manifestar
en el procesamiento de la informacin.


La Auditora Informtica comprende la revisin y
la evaluacin independiente y objetiva, del
ambiente y del entorno informtico de una
organizacin. Comprende la evaluacin de todas
o algunas de sus reas, los estndares y
procedimientos en vigor, su calidad y el
cumplimiento de ellos, de los objetivos fijados, de
los contratos y las normas legales aplicables; el
grado de satisfaccin de usuarios y directivos; los
controles existentes y un anlisis de los riesgos.





El curso est centrado en el anlisis de los
aspectos tericos, metodolgicos y tcnicos de
los diversos temas que comprende la auditora
informtica. El propsito fundamental es el de
ofrecer a los estudiantes, mtodos y
procedimientos que apoyados en tecnologas
de la informacin fortalezcan el aprendizaje
significativo.




Comprende la enseanza aprendizaje de 5
unidades didcticas que tendrn como
diferentes recursos para lograr la
construccin del conocimiento de los
estudiantes.




Definiendo Auditora
La palabra auditora viene del latn auditorius, y de
esta proviene auditor el que tiene la virtud de or;
revisor de cuentas colegiado

El auditor tiene la virtud de or y revisar cuentas,
encaminado a un objetivo especfico, evaluar la
eficiencia y eficacia con que se est operando para
que por medio de sealamientos , se tomen
decisiones que permitan corregir los errores en caso
de que existan o mejorar la forma de actuacin.

Definiendo Auditora
con frecuencia la palabra auditora se ha
empleado incorrectamente y se le ha
considerado una evaluacin cuyo nico fn es
detectar errores y sealar fallas, por eso la
frase tan utilizada tiene auditora como
sinnimo de que antes de realizarse, ya se
encontraron fallas y por lo tanto se est
haciendo la auditora.

Definiendo Auditora
El concepto de auditora es ms amplio; no
solo detecta errores:
es un examen crtico con la finalidad de
evaluar la eficiencia y eficacia de una
seccin o un organismo,
Determinar cursos alternativos de accin
para mejorar la organizacin y lograr los
objetivos propuestos
CONCEPTO DE
AUDITORA A LAS
TECNOLOGAS DE LA
INFORMACIN

La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.),
como se le conoce actualmente, (Auditoria informtica o
Auditoria de sistemas en nuestro medio).

En algunos pases altamente desarrollados es catalogada
como una actividad de apoyo vital para el mantenimiento de
la infraestructura crtica de una nacin, tanto en el sector
pblico como privado, en la medida en que la
INFORMACION es considerada un activo tan o ms
importante que cualquier otro en una organizacin.

Concepto de Auditora
a las tecnologas de la Informacin
Concepto de Auditora
a las tecnologas de la Informacin
Existen, normas, tcnicas y buenas practicas
dedicadas a la evaluacin y aseguramiento de la
calidad, seguridad, razonabilidad, y disponibilidad
de la INFORMACION tratada y almacenada a
travs de la computadora y equipos afines, as
como de la eficiencia, eficacia y economa con que
la administracin de un ente estn manejando dicha
INFORMACION y todos los recursos fsicos y
humanos asociados para su adquisicin, captura,
procesamiento, transmisin, distribucin, uso y
almacenamiento.


Concepto de Auditora
a las tecnologas de la Informacin
Cuyo objetivo es una opinin o juicio,
para lo cual se aplican tcnicas de
auditoria de general aceptacin y
conocimiento tcnico especfico.
Concepto de Auditora
a las tecnologas de la Informacin
apoyada por un conjunto de conocimientos
acerca de la tecnologa informtica, de
tcnicas y procedimientos de auditora y
de conocimientos contables, para
evaluar la calidad, fiabilidad y seguridad
de un entorno informtico dado, as
como brindar seguridad razonable
acerca de la utilidad de la informacin
almacenada y procesada en ellos, con el
fin de emitir un juicio al respecto.

Concepto de Auditora
Finalmente, deber expresar su opinin
acerca del grado de eficiencia, eficacia y
economa con que estn siendo usados
- administrados todos los recursos de
tecnologa informtica a cargo de la
administracin, incluido el factor
humano.
Auditora de Red
La globalizacin, la competencia y los avances
tecnolgicos estn aumentando la importancia de las
redes corporativas en todos los sectores empresariales.

Las empresas con mayor visin deben estar preparadas
para una creciente dependencia de sus redes y, en
consecuencia, para un crecimiento de red exponencial.
Adems, La infraestructura de las Tecnologas de la
Informacin y de las Comunicaciones (TIC) se ha
convertido en un activo empresarial estratgico y la red
constituye su ncleo.
Concepto
Una Auditoria de Redes es, en esencia,
una serie de mecanismos mediante los
cuales se pone a prueba una red
informtica, evaluando su desempeo y
seguridad, a fin de lograr una utilizacin
ms eficiente y segura de la informacin.
CONCEPTO

Una Auditoria de Redes es, en esencia, una
serie de mecanismos mediante los cuales se
pone a prueba una red informtica, evaluando
su desempeo y seguridad, a fin de lograr una
utilizacin ms eficiente y segura de la
informacin. El primer paso para iniciar una
gestin responsable de la seguridad es
identificar la estructura fsica (hardware,
topologa) y lgica (software, aplicaciones) del
sistema (sea un equipo, red, intranet, extranet),
y hacerle una Anlisis de Vulnerabilidad, para
saber en qu grado de exposicin nos
encontramos;
Concepto
El primer paso para iniciar una
gestin responsable de la seguridad es
identificar la estructura fsica (hardware,
topologa) y lgica (software, aplicaciones)
del sistema (sea un equipo, red, intranet,
extranet), y hacerle una Anlisis de
Vulnerabilidad, para saber en qu grado
de exposicin nos encontramos.

Concepto
As, hecha esta "radiografa" de la red, se
procede a localizar sus fallas ms
crticas, para proponer una Estrategia de
Saneamiento de los mismos; un Plan de
Contencin ante posibles incidentes; y un
Seguimiento Contnuo del desempeo del
sistema.

TIPOS DE AUDITORA
Tipos de Auditora
Auditora Interna y Auditora Externa:
La auditora interna es la realizada con recursos
materiales y personas que pertenecen a la empresa
auditada.

Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna
existe por expresa decisin de la Empresa, o sea, que
puede optar por su disolucin en cualquier momento.

Auditora externa
Realizada por personas afines a la empresa
auditada; es siempre remunerada.
Se presupone una mayor objetividad que en la
Auditora Interna, debido al mayor
distanciamiento entre auditores y auditados.

Auditora informtica interna
La auditora informtica interna cuenta con algunas
ventajas adicionales muy importantes respecto de la
auditora externa, las cuales no son tan perceptibles
como en las auditoras convencionales.

La auditora interna tiene la ventaja de que puede
actuar peridicamente realizando Revisiones
globales, como parte de su Plan Anual y de su
actividad normal. Los auditados conocen estos
planes y se habitan a las Auditoras, especialmente
cuando las consecuencias de las Recomendaciones
habidas benefician su trabajo.

Auditora informtica interna
En una empresa, los responsables de Informtica
escuchan, orientan e informan sobre las posibilidades
tcnicas y los costeo de tal Sistema. Con voz, pero a
menudo sin voto, Informtica trata de satisfacer lo ms
adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informtica y sta
necesita que su propia gestin est sometida a los
mismos Procedimientos y estndares que el resto de
aquella.
La conjuncin de ambas necesidades cristaliza en la
figura del auditor interno informtico.
Auditora informtica interna

En cuanto a empresas se refiere, solamente las ms
grandes pueden poseer una Auditora propia y
permanente, mientras que el resto acuden a las auditoras
externas. Puede ser que algn profesional informtico sea
trasladado desde su puesto de trabajo a la Auditora
Interna de la empresa cuando sta existe. Finalmente, la
propia Informtica requiere de su propio grupo de Control
Interno, con implantacin fsica en su estructura, puesto
que si se ubicase dentro de la estructura Informtica ya
no sera independiente.


Auditora informtica interna
Hoy, ya existen varias organizaciones
Informticas dentro de la misma
empresa, y con diverso grado de
autonoma, que son coordinadas por
rganos corporativos de Sistemas de
Informacin de las Empresas.
Auditora informtica interna

Una Empresa o Institucin que posee auditora interna
puede y debe en ocasiones contratar servicios de
auditora externa. Las razones para hacerlo suelen ser:

1) Necesidad de auditar una materia de gran
especializacin, para la cual los servicios propios no
estn suficientemente capacitados.

Ausitora informtica interna
2) Contrastar algn Informe interno con el que
resulte del externo, en aquellos supuestos de
emisin interna de graves recomendaciones
que chocan con la opinin generalizada de la
propia empresa.

3) Servir como mecanismo protector de
posibles auditoras informticas externas
decretadas por la misma empresa.

Auditora informtica interna
Aunque la auditora interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario
que se le realicen auditoras externas como para tener una visin
desde afuera de la empresa.

La auditora informtica, tanto externa como interna, debe ser una
actividad exenta de cualquier contenido o matiz "poltico" ajeno a la
propia estrategia y poltica general de la empresa.

La funcin auditora puede actuar de oficio, por iniciativa del propio
rgano, o a instancias de parte, esto es, por encargo de la direccin
o cliente.


Tipos y clases de auditora
Dentro de las reas generales, se
establecen las siguientes divisiones de
Auditora Informtica:
de Explotacin,
de Sistemas,
de Comunicaciones y
de Desarrollo de Proyectos.
Estas son las reas Especificas de la
Auditora Informtica ms importantes.
Tipos y clases de auditora
Cada rea Especifica puede ser auditada
desde los siguientes criterios generales:

Desde su propio funcionamiento interno.

Desde el apoyo que recibe de la Direccin
y, en sentido ascendente, del grado de
cumplimiento de las directrices de sta.

Desde la perspectiva de los usuarios,
destinatarios reales de la informtica.

Desde el punto de vista de la seguridad que
ofrece la Informtica en general o la rama
auditada.

Tipos y clases de auditora
entre otras
Financiera
Informtica
Gestin
Cumplimiento
ORGANIZACIN DE LA
FUNCIN DE AUDITORA
Organizacin de la funcin de
auditora
La funcin de auditora informtica paso de ser una funcin de ayuda al
auditor financiero a ser una funcin que desarrolla un trabajo, y seguir
hacindolo en el futuro.

En acuerdo con la importancia que tienen los sistemas informticos y de
informacin para las organizaciones. El auditor informtico pasa a ser
auditor y consultor y asesor en:
seguridad,
control interno,
eficiencia y eficacia,
tecnologa informtica,
continuidad de operaciones,
gestin de riesgos.

Mas all de los sistemas informticos sino en el contexto empresarial.

Organizacin de la funcin de
auditora
cmo se debe organizar la funcin de auditora informtica dentro
de la empresa?

Histricamente la funcin de auditora informtica se considera
dentro de la funcin de auditora interna, pero debe ser
independiente de los objetivos de la auditora interna operativa y
financiera.

Debe tener accesibilidad total a los sistemas informticos y de
informacin.

Debe estar bajo la direccin del director de auditora interna, para
evitar que otras dependencias cambien o disminuyan su imagen.

Organizacin de la funcin de
auditora
No debe depender del encargado de sistemas ni
del departamento de organizacin, financiero o
administrativo (debe ser independiente).
El departamento de auditora informtica debe
tener una organzacin interna basada en:
Jefe del departamento
Gerente o supervisor de auditora informtica
Staff de auditores informticos
Organizacin de la funcin de
auditora
El tamao debe estar en funcin de los
objetivos de la funcin, con especialistas
en entorno informtico en comunicaciones
y o redes, responsable de gestin de
riesgo operativo, responsable de la
auditora de sistemas y de ser posible un
especialista para la elaboracn de
programas trabajos conjuntos con la
auditora financiera.


ESTNDARES,
DIRECTRICES,
PROCEDIMIENTOS Y GUAS
DE AUDITORA
Estndares

La Organizacin Internacional para la Estandarizacin, ISO por sus
siglas en ingls (International Organization for Standardization), es
una federacin mundial que agrupa a representantes de cada uno
de los organismos nacionales de estandarizacin (como lo es el
IRAM en la Argentina), y que tiene como objeto desarrollar
estndares internacionales que faciliten el comercio internacional.

Cuando las organizaciones tienen una forma objetiva de evaluar la
calidad de los procesos de un proveedor, el riesgo de hacer
negocios con dicho proveedor se reduce en gran medida, y si los
estndares de calidad son los mismos para todo el mundo, el
comercio entre empresas de diferentes pases puede potenciarse
en forma significativa y de hecho, as ha ocurrido .
Estndares
Durante las ltimas dcadas, organizaciones de todos
los lugares del mundo se han estado preocupando cada
vez ms en satisfacer eficazmente las necesidades de
sus clientes, pero las empresas no contaban, en general,
con literatura sobre calidad que les indicara de qu
forma, exactamente, podan alcanzar y mantener la
calidad de sus productos y servicios.
De forma paralela, las tendencias crecientes del
comercio entre naciones reforzaba la necesidad de
contar con estndares universales de la calidad. Sin
embargo, no exista una referencia estandarizada para
que las organizaciones de todo el mundo pudieran
demostrar sus prcticas de calidad o mejorar sus
procesos de fabricacin o de servicio.
Estndares
Teniendo como base diferentes antecedentes sobre normas de
estandarizacin que se fueron desarrollando principalmente en
Gran Bretaa, la ISO cre y public en 1987 sus primeros
estndares de direccin de la calidad: los estndares de
calidad de la serie ISO 9000.

Con base en Ginebra, Suiza, esta organizacin ha sido desde
entonces la encargada de desarrollar y publicar estndares
voluntarios de calidad, facilitando as la coordinacin y
unificacin de normas internacionales e incorporando la idea de
que las prcticas pueden estandarizarse tanto para beneficiar a
los productores como a los compradores de bienes y servicios.
Particularmente, los estndares ISO 9000 han jugado y juegan
un importante papel al promover un nico estndar de calidad a
nivel mundial.
Estndares
LA FAMILIA ISO

Las series de normas ISO relacionadas con la calidad constituyen lo que se
denomina familia de normas, las que abarcan distintos aspectos relacionados con
la calidad:
ISO 9000: Sistemas de Gestin de Calidad
Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad
en diseo, fabricacin, inspeccin, instalacin, venta, servicio post venta,
directrices para la mejora del desempeo.
ISO 10000: Guas para implementar Sistemas de Gestin de Calidad/ Reportes
Tcnicos
Gua para planes de calidad, para la gestin de proyectos, para la documentacin
de los SGC, para la gestin de efectos econmicos de la calidad, para aplicacin
de tcnicas estadsticas en las Normas ISO 9000. Requisitos de aseguramiento
de la calidad para equipamiento de medicin, aseguramiento de la medicin.
ISO 14000: Sistemas de Gestin Ambiental de las Organizaciones.
Principios ambientales, etiquetado ambiental, ciclo de vida del producto,
programas de revisin ambiental, auditoras.
ISO 19011: Directrices para la Auditora de los SGC y/o Ambiental
I.1 Aplicacin
La ISO 9001 2000 se puede aplicar en cualquier tipo de
organizacin, ya sea con o sin fines de lucro, manufacturera
o de servicios, grande, mediana o pequea.

I.2 Qu se necesita para iniciar un proceso de
Aseguramiento de la Calidad s/Normas ISO serie 9001-
2000?
Compromiso real y participacin de los directivos
Involucramiento de todos los empleados
Comunicacin
Capacitacin de todas las reas de la organizacin
Disponibilidad de recursos dedicados a la implementacin
del SGC (responsables, tiempos, dinero, espacios fsicos
para reuniones, etc.)
Definicin clara de responsabilidades

Realizacin de un diagnstico de calidad
Comprensin de los requerimientos de los clientes
Fijacin de polticas y objetivos de calidad
Establecimiento de un plan de calidad
Ordenamiento de la documentacin existente
Creacin de la documentacin del SGC s/ norma ISO
(Manual de Calidad, procedimientos, instrucciones de
trabajo)
Puesta a punto o calibracin de mquinas, equipos, etc.
Diseo e implementacin de mecanismos de mejora
continua
Definicin, planificacin e implementacin de
actividades de medicin y seguimiento necesarias para
asegurar el cumplimiento de las exigencias de la norma

Directrices
Una auditora se realiza con base a un patrn o conjunto de
directrices o buenas practicas sugeridas. Existen estndares
orientados a servir como base para auditoras de informtica. Uno
de ellos es COBIT (Objetivos de Control de la Tecnologas de la
Informacin), dentro de los objetivos definidos como parmetro, se
encuentra el "Garantizar la Seguridad de los Sistemas". Adicional
a este estndar podemos encontrar el standard ISO 27002, el cual
se conforma como un cdigo internacional de buenas prcticas de
seguridad de la informacin, este puede constituirse como una
directriz de auditora apoyndose de otros estndares de
seguridad de la informacin que definen los requisitos de auditora
y sistemas de gestin de seguridad, como lo es el estndar ISO
27001.
Procedimientos

Al conjunto de tcnicas de investigacin aplicables a un grupo de
hechos o circunstancias que nos sirven para fundamentar la opinin
del auditor dentro de una auditora, se les dan el nombre de
procedimientos de auditora en informtica.

La combinacin de dos o ms procedimientos, derivan en programas
de auditora, y al conjunto de programas de auditora se le denomina
plan de auditora, el cual servir al auditor para llevar una estrategia y
organizacin de la propia auditora.

El auditor no puede obtener el conocimiento que necesita para
sustentar su opinin en una sola prueba, es necesario examinar los
hechos, mediante varias tcnicas de aplicacin simultnea.
Procedimientos

Anlisis de datos.
Dentro de este trabajo, desarrollaremos
diversos tipos de tcnicas y procedimientos de
auditora, de los cuales destacan el anlisis de
datos, ya que para las organizaciones el
conjunto de datos o informacin son de tal
importancia que es necesario verificarlos y
comprobarlos, as tambin tiene la misma
importancia para el auditar ya que debe de
utilizar diversas tcnicas para el anlisis de
datos, basados en [bib-solis-2002], las cuales
se describen a continuacin.
Procedimientos

En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
Analizar las caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia
y decidir cul tcnica o procedimiento de auditora sern
los mas indicados par obtener su opinin.

Procedimientos

Comparacin de programas
esta tcnica se emplea para efectuar una
comparacin de cdigo (fuente, objeto o comandos
de proceso) entre la versin de un programa en
ejecucin y la versin de un programa piloto que
ha sido modificado en forma indebida, para
encontrar diferencias.
Mapeo y rastreo de programas
esta tcnica emplea un software especializado que
permite analizar los programas en ejecucin,
indicando el nmero de veces que cada lnea de
cdigo es procesada y las de las variables de
memoria que estuvieron presentes.

Procedimientos

Anlisis de cdigo de programas
Se emplea para analizar los programas de una
aplicacin. El anlisis puede efectuarse en forma
manual (en cuyo caso slo se podra analizar el
cdigo ejecutable).
Datos de prueba
Se emplea para verificar que los procedimientos de
control incluidos los programas de una aplicacin
funcionen correctamente. Los datos de prueba
consisten en la preparacin de una serie de
transacciones que contienen tanto datos correctos
como datos errneos predeterminados.

Procedimientos

Datos de prueba integrados
Tcnica muy similar a la anterior, con la diferencia
de que en sta se debe crear una entidad, falsa
dentro de los sistemas de informacin.
Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser
analizadas por el auditor, ya sea en forma manual
o por medio de programas especializados, tales
como bitcoras de fallas del equipo, bitcoras de
accesos no autorizados, bitcoras de uso de
recursos, bitcoras de procesos ejecutados.

Procedimientos

Simulacin paralela
Tcnica muy utilizada que consiste en
desarrollar programas o mdulos que
simulen a los programas de un sistema en
produccin. El objetivo es procesar los dos
programas o mdulos de forma paralela e
identificar diferencias entre los resultados
de ambos.

Procedimientos

Monitoreo.
Dentro de las organizaciones todos los
procesos necesitan ser evaluados a
travs del tiempo para verificar su
calidad en cuanto a las necesidades de
control, integridad y confidencialidad,
este es precisamente el mbito de esta
tcnica, a continuacin se muestran los
procesos de monitoreo:
Procedimientos

M1 Monitoreo del proceso.
M2 Evaluar lo adecuado del control
Interno.
M3 Obtencin de aseguramiento
independiente.
M4 Proveer auditora independiente.

Procedimientos

M1 Monitoreo del proceso
Asegura el logro de los objetivos para los
procesos de TI, lo cual se logra definiendo por
parte de la gerencia reportes e indicadores de
desempeo y la implementacin de sistemas
de soporte as como la atencin regular a los
reportes emitidos.
Para ello la gerencia podr definir indicadores
claves de desempeo y factores crticos de
xito y compararlos con los niveles propuestos
para evaluar el desempeo de los procesos de
la organizacin.
Procedimientos

M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control
interno establecidos para los procesos de TI,
para ello se debe monitorear la efectividad de
los controles internos a travs de actividades
administrativas, de supervisin,
comparaciones, acciones rutinarias, evaluar su
efectividad y emitir reportes en forma regular
M3 Obtencin de aseguramiento independiente
Incrementa los niveles de confianza entre la
organizacin, clientes y proveedores, este proceso se
lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o
acreditacin independiente de seguridad y control interno
antes de implementar nuevos servicios de tecnologa de
informacin que resulten crticos, as como para trabajar
con nuevos proveedores de servicios de tecnologa de
informacin, luego la gerencia deber adoptar como
trabajo rutinario tanto hacer evaluaciones peridicas
sobre la efectividad de los servicios de tecnologa de
informacin, de los proveedores de estos servicios as
como tambin asegurarse el cumplimiento de los
compromisos contractuales de los servicios de
tecnologa de informacin y de los proveedores de
dichos servicios.
Procedimientos

M4 Proveer auditora independiente.
Incrementa los niveles de confianza de
recomendaciones basadas en mejores
prcticas de su implementacin, lo que se logra
con el uso de auditoras independientes
desarrolladas a intervalos regulares de tiempo.
Para ello la gerencia deber establecer los
estatutos para la funcin de auditora,
destacando en este documento la
responsabilidad, autoridad y obligaciones de la
auditora.
El auditor deber ser independiente del auditado, esto
significa que los auditores no debern estar relacionados
con la seccin o departamento que est siendo auditado
y en lo posible deber ser independiente de la propia
empresa, esta auditora deber respetar la tica y los
estndares profesionales, seleccionando para ello
auditores que sean tcnicamente competentes, es decir
que cuenten con habilidades y conocimientos que
aseguren tareas efectivas y eficientes de auditora
informtica.
La funcin de la auditora informtica deber
proporcionar un reporte que muestre los objetivos,
perodo de cobertura, naturaleza y trabajo de auditora
realizado, as como tambin la organizacin, conclusin
y recomendaciones relacionadas con el trabajo de
auditora informtica llevado a cabo.

Procedimientos

Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se
encuentran expuestos a distintas amenazas,
las vulnerabilidades de los sistemas aumentan,
al mismo tiempo que se hacen ms complejos,
el nmero de ataques tambin aumenta, por lo
anterior las organizaciones deben reconocer la
importancia y utilidad de la informacin
contenida en las bitcoras de los sistemas de
computo as como mostrar algunas
herramientas que ayuden a automatizar el
proceso de anlisis de las mismas.
Procedimientos

El crecimiento de Internet enfatiza esta problemtica, los
sistemas de cmputo generan una gran cantidad de
informacin, conocidas como bitcoras o archivos logs,
que pueden ser de gran ayuda ante un incidente de
seguridad, as como para el auditor.
Una bitcora puede registrar mucha informacin acerca
de eventos relacionados con el sistema que la genera los
cuales pueden ser:
Fecha y hora.
Direcciones IP origen y destino.
Direccin IP que genera la bitcora.
Usuarios.
Errores.

Procedimientos

La importancia de las bitcoras es la de
recuperar informacin ante incidentes de
seguridad, deteccin de comportamiento
inusual, informacin para resolver problemas,
evidencia legal, es de gran ayuda en las tareas
de cmputo forense.
Las Herramientas de anlisis de bitcoras mas
conocidas son las siguientes:
Para UNIX, Logcheck, SWATCH.
Para Windows, LogAgent

Procedimientos

Las bitcoras contienen informacin crtica es
por ello que deben ser analizadas, ya que
estn teniendo mucha relevancia, como
evidencia en aspectos legales.
El uso de herramientas automatizadas es de
mucha utilidad para el anlisis de bitcoras, es
importante registrar todas las bitcoras
necesarias de todos los sistemas de cmputo
para mantener un control de las mismas.
Procedimientos

Tcnicas de auditora asistida por computadora
La utilizacin de equipos de computacin en las
organizaciones, ha tenido una repercusin importante en
el trabajo del auditor, no slo en lo que se refiere a los
sistemas de informacin, sino tambin al uso de las
computadoras en la auditora.
Al llevar a cabo auditoras donde existen sistemas
computarizados, el auditor se enfrenta a muchos
problemas de muy diversa condicin, uno de ellos, es la
revisin de los procedimientos administrativos de control
interno establecidos en la empresa que es auditada.
Procedimientos

La utilizacin de paquetes de programas
generalizados de auditora ayuda en gran
medida a la realizacin de pruebas de
auditora, a la elaboracin de evidencias
plasmadas en los papeles de trabajo.
Segn [bib-zavaro-martinez] las tcnicas de
auditora Asistidas por Computadora (CAAT)
son la utilizacin de determinados paquetes de
programas que actan sobre los datos,
llevando a cabo con ms frecuencia los
trabajos siguientes:
Procedimientos

Seleccin e impresin de muestras de
auditoras sobre bases estadsticas o no
estadsticas, a lo que agregamos, sobre la
base de los conocimientos adquiridos por los
auditores.
Manipulacin de la informacin al calcular
subtotales, sumar y clasificar la informacin,
volver a ordenar en serie la informacin, etc.

Procedimientos

Consecuentemente, se hace indispensable el
empleo de las CAAT que permiten al auditor,
evaluar las mltiples aplicaciones especficas
del sistema que emplea la unidad auditada, el
examinar un diverso nmero de operaciones
especficas del sistema, facilitar la bsqueda de
evidencias, reducir al mnimo el riesgo de la
auditora para que los resultados expresen la
realidad objetiva de las deficiencias, as como
de las violaciones detectadas y elevar
notablemente la eficiencia en el trabajo.
Procedimientos

Teniendo en cuenta que se haca
imprescindible auditar sistemas informticos;
as como disear programas auditores, se
deben incorporar especialistas informticos,
formando equipos multidisciplinarios capaces
de incursionar en las auditoras informticas y
comerciales, independientemente de las
contables, donde los auditores que cumplen la
funcin de jefes de equipo, estn en la
obligacin de documentarse sobre todos los
temas auditados.
Procedimientos

De esta forma los auditores adquieren ms
conocimientos de los diferentes temas,
pudiendo incluso, sin especialistas de las
restantes materias realizar anlisis de esos
temas, aunque en ocasiones es necesario que
el auditor se asesore con expertos, tales como,
ingenieros industriales, abogados, especialistas
de recursos humanos o de normalizacin del
trabajo para obtener evidencia que le permita
reunir elementos de juicio suficientes.
Examen de registros de acuerdo con los
criterios especificados.
Bsqueda de alguna informacin en
particular, la cual cumpla ciertos
criterios, que se encuentra dentro de las
bases de datos del sistema que se
audita.


Procedimientos

Benchmarking
Las empresas u organizaciones deben buscar
formas o frmulas que las dirijan hacia una
mayor calidad, para poder ser competitivos,
una de estas herramientas o frmulas es el
Benchmarking.
Existen varios autores que han estudiado el
tema, y de igual manera existen una gran
cantidad de definiciones de lo que es
benchmarking, a continuacin se presentan
algunas definiciones.
Procedimientos

Benchmarking es el proceso continuo de
medir productos, servicios y prcticas
contra los competidores o aquellas
compaas reconocidas como lderes en
la industria (1)


(1) [bib-imcp] Normas y procedimientos de auditora. Instituto Mexicano de Contadores Pblicos (IMCP).
Procedimientos

Esta definicin presenta aspectos importantes
tales como el concepto de continuidad, ya que
benchmarking no slo es un proceso que se
hace una vez y se olvida, sino que es un
proceso continuo y constante.
Segn la definicin anterior podemos deducir
que se puede aplicar benchmarking a todas las
facetas de las organizaciones, y finalmente la
definicin implica que el benchmarking se debe
dirigir hacia aquellas organizaciones y
funciones de negocios dentro de las
organizaciones que son reconocidas como las
mejores.
Procedimientos

Entre otras definiciones tenemos la extrada del
libro Benchmarking de Bengt, la cual es:
benchmarking es un proceso sistemtico y
contino para comparar nuestra propia
eficiencia en trminos de productividad, calidad
y prcticas con aquellas compaas y
organizaciones que representan la excelencia.
Como vemos en esta definicin se vuelve a
mencionar el hecho de que benchmarking es
un proceso continuo, tambin se presenta el
trmino de comparacin y por ende remarca la
importancia de la medicin dentro del
benchmark.
Procedimientos

Estos autores se centran, a parte de la
operaciones del negocio, en la calidad y en la
productividad de las mismas, considerando el
valor que tienen dichas acciones en contra de
los costos de su realizacin lo cual representa
la calidad, y la relacin entre los bienes
producidos y los recursos utilizados para su
produccin, lo cual se refiere a la productividad.
Por lo que podemos ver existen varias
definiciones sobre lo que es benchmarking, y
aunque difieren en algunos aspectos tambin
se puede notar que concuerdan o presentan
una serie de elementos comunes.
Procedimientos

Para empezar en la mayora de ellas se resalta
el hecho de que benchmarking es un proceso
continuo que al aplicarla en nuestra empresa
resuelva los problemas de la misma, sino que
es un proceso que se aplicar una y otra vez ya
que dicho proceso est en bsqueda constante
de las mejores prcticas de la industria, y como
sabemos la industria est en un cambio
constante y para adaptarse a dicho cambio
desarrolla nuevas practicas, por lo que no se
puede asegurar que las mejores prcticas de
hoy lo sern tambin de maana.
Procedimientos

Tambin se vio en las diferentes definiciones
que este proceso no slo es aplicable a las
operaciones de produccin, sino que puede
aplicarse a todas la fases de las
organizaciones, por lo que benchmarking es
una herramienta que nos ayuda a mejorar
todos los aspectos y operaciones del negocio,
hasta el punto de ser los mejores en la
industria, observando aspectos tales como la
calidad y la productividad en el negocio.
De igual manera podemos concluir que
es de suma importancia como una
nueva forma de administrar ya que
cambia la prctica de compararse slo
internamente a comparar nuestras
operaciones en base a estndares
impuestos externamente por las
organizaciones conocidas como las de
excelencia dentro de la industria.
[2]http://Monografias.com/Trabajos4.html
Guas

Una gua de auditora es un manual escrito que contiene
directrices especficas o instrucciones para llevar a cabo una
auditora. Estas guas estn generalmente especficas de
negocio industrias o sectores, tales como las compaas de
seguros, correduras y compaas de financiamiento. Guas
de auditora pueden basarse en los principios de marco de
contabilidad nacionales o reglamentaciones gubernamentales
relativas a industrias especficas del negocio o
sectores.Auditores utilicen dichas guas para evaluar la
financiera o las operaciones de negocios de una empresa y
determinan si cualquier violaciones o debilidades importantes
existen en informacin interna o externa de la empresa.
Una gua de auditora puede desarrollarse para cada tipo
de auditora llevada a cabo por una firma de contabilidad
pblica u otra organizacin. Tipos ms comunes de las
auditoras incluyen financiera, cumplimiento de normas, o
las auditoras operacionales. La Gua de auditora puede
utilizarse por auditores internos empleados directamente
por la empresa o por auditores pblicos que realizan
auditoras externas. Guas de auditora interna y auditora
externa usualmente difieren en su mbito de aplicacin
para la evaluacin de la informacin de la empresa. Las
auditoras internas suelen ser menos formal y destinados
a uso de gestin slo. Una gua de auditora externa a
menudo se utiliza para evaluar la informacin de la
empresa de despacho a los interesados de negocios
externos.
Una gua de auditora interna normalmente
comprueba la implementacin de las empresas
de controles internos para proteger su
informacin financiera y de negocios. Controles
internos podrn limitar el nmero de funciones
de un individuo puede completar en la
empresa, restringir el acceso a informacin
confidencial de la empresa o del cliente,
garantizar que la compaa cumple requisitos
para las designaciones profesionales, o reunin
especfica gubernamentales y legales. Los
directores de contabilidad a menudo son
responsables de desarrollar a la Gua de
auditora interna y asegurar que la gua cubre
todas las funciones importantes del negocio de
la empresa.
Planeacin de la Auditoria
Informtica

Se debe recopilar informacin para obtener una visin
general del rea a auditar por medio de:
observaciones,
entrevistas preliminares y
solicitudes de documentos.

La finalidad es definir el objetivo y alcance del estudio, as
como el programa detallado de la investigacin.

La planeacin de la auditora debe sealar en forma
detallada el alcance y direccin esperados y debe
comprender un plan de trabajo para que, en caso de que
existan cambios o condiciones inesperadas que ocasionen
modificaciones al plan general, sean justificadas por escrito.
Se debe hacer una investigacin preliminar
solicitando y revisando la informacin de cada
una de las reas de la organizacin.

Para poder analizar y dimensionar la estructura
por auditar se debe solicitar:
1- A nivel Organizacin Total:
Objetivos a corto y largo plazo
Manual de la Organizacin
Antecedentes o historia del Organismo
Polticas generales

2. A nivel rea informtica:
Objetivos a corto y largo plazo
Manual de organizacin del rea que
incluya puestos, niveles jerrquicos y
tramos de mando.
Manual de polticas, reglamentos
internos y lineamientos generales.
Nmero de personas y puestos en el
rea
Procedimientos administrativos en el
rea.
Presupuestos y costos del rea.
3. Recursos materiales y tcnicos
Solicitar documentos sobre los equipos, nmero (de los
equipos por instalados, por instalar y programados),
localizacin y caractersticas.
Fechas de instalacin de los equipos y planes de
instalacin.
Contratos vigentes de compra, renta y servicio de
mantenimiento.
Contrato de seguros
Convenios que se mantienen con otras instalaciones
Configuracin de los equipos, capacidades actuales y
mximas.
Planes de expansin
Ubicacin general de los equipos
Polticas de operacin
Polticas de uso o de equipos

4- Sistemas
Manual de formularios.
Manual de procedimientos de los
sistemas
Descripcin genrica
Diagrama de entrada, archivo y salida.
Salidas impresas
Fecha de instalacin de los sistemas
Proyectos de instalacin de nuevos
sistemas.

Como resultado de los trabajos
preliminares se debe explicitar:
objetivo
alcance
limitaciones y colaboracin necesarias
grado de responsabilidad
Informes que se entregaran

Fases de la Auditora
Informtica

TOMA DE CONTACTO
PLANIFICACION DE LA OPERACION
DESARROLLO DE LA AUDITORIA
FASE DE DIAGNOSTICO
PRESENTACION DE LAS
CONCLUSIONES
FORMULACION DEL PLAN DE
MEJORAS

Toma de Contacto En esta etapa se debern
establecer:
- Definitivamente el objetivo de la AI
- Las reas a cubrir
- Personas de la Organizacin que habrn de
colaborar y en que momentos de la auditoria
- Plan de trabajo:
- tareas
- calendario
- resultados parciales
- presupuesto
- equipo auditor necesario
Planificacin de la Operacin
Desarrollo de la Auditoria Informtica
Es el momento de ejecutar las tareas
que se enunciaron en la fase anterior.
Es esta una fase de observacin, de
recoleccin de datos, situaciones,
deficiencias, en resumen un perodo en
el que:
se efectuarn las entrevistas previstas en la
fase de planificacin.
se completarn todos los cuestionarios que
presente el auditor
se observarn las situaciones deficientes, no
solo las aparentes, sino las que hasta ahora no
hayan sido detectadas, para lo que se podr
llegar a simular situaciones lmites.
se observarn los procedimientos, tanto los
informticos como los de usuarios.
se ejecutarn por lo tanto, todas las previsiones
efectuadas en la etapa anterior con el objeto de
llegar a la siguiente etapa en condiciones de
diagnosticar la situacin encontrada.

Fase de Diagnstico

Cuando ya se hayan efectuado todas los
estudios y revisiones, se debe elaborar el
diagnstico. Como resultados de esta etapa
han de quedar claramente definidos los puntos
dbiles, y por contrapunto los fuertes, los
riesgos eventuales, y en primera instancia los
posibles tipos de solucin o mejoras de los
problemas planteados.

Estas conclusiones se discutirn con las
personas afectadas por lo que sern
suficientemente argumentadas y probadas.
Es un momento delicado en el trato con
las reas, los auditores deben presentar
estas conclusiones como un plan de
mejoras en beneficio de todos, en lugar
de una reprobacin de los afectados,
salvo en el caso de que esto sea
estrictamente necesario.
Presentacin de las Conclusiones
Formulacin del Plan de Mejoras
Llegados a este ltimo punto, la direccin
conoce ya las deficiencias que el equipo
auditor ha observado en su departamento
informtico, stas han sido discutidas. Mas no
basta con quedarse ah, ahora es cuando los
auditores han de demostrar su experiencia en
situaciones anteriores lo suficientemente
contrastadas y exitosas y ser capaces de
adjuntar, al informe de auditora, el plan de
mejoras que permitir solventar las
deficiencias encontradas.
El plan de mejoras abarcar todas las
recomendaciones derivadas de las
deficiencias detectadas en la realizacin
de la auditoria. Para ello se tendrn en
cuenta los recursos disponibles, o al
menos potencialmente disponibles, por
parte de la Empresa objeto de la
Auditoria.
Entre las primeras se incluirn aquellas
mejoras puntuales y de fcil realizacin como
son las mejoras en plazo, calidad, planificacin
o formacin. Las medidas de mediano plazo
necesitaran de uno a dos aos para poderse
concretar. Aqu pues caben mejoras ms
profundas y con mayor necesidad de recursos,
como la optimizacin de programas, o de la
documentacin, e incluso de algunos aspectos
de diseo de los sistemas.
Para finalizar, las consideraciones a
largo plazo, pueden llevar cambios
sustanciales en las polticas, medios o
incluso estructuras del servicio de
informtica. Estas mejoras pueden pasar
por la reconsideracin de los sistemas
en uso o de los medios, humanos y
materiales, con que se cuenta, llegando
si es preciso a una seria reconsideracin
del plan informtico.
ALGUNAS RECOMENDACIONES A TENER EN
CUENTA:

1- No hacer juicios sin la suficiente
fundamentacin
2- Cuidar los aspectos de imagen, presentacin
y protocolo
3- No adelantar resultados parciales que
pueden distorsionar el resultado final
4- Las entrevistas iniciales son un aspecto muy
a cuidar. Hay que prepararlas muy bien para
que surtan el efecto que de ellas se espera.
5- En todo momento, por cordiales que resulten
las relaciones con los auditados, no perder de
vista el papel de consultores experimentados que
han de tener los auditores informticos.

6- Exponer la idea que los resultados de la
auditoria no harn ms que intentar mejorar, a
todos los efectos, el servicio de informtica con el
beneficio que ello supondra para todos los
implicados en el rea.

7- Exponer la idea que al final de la auditoria no
se trata de castigar a nadie. El objetivo
fundamental es el de encontrar deficiencias y
corregirlas.

8- Estudiar hechos y no opiniones. (no se
toman en cuenta rumores ni informacin
sin fundamento)
9- Investigar las causas, no los efectos.
10- Atender razones, no excusas.
11- Criticar objetivamente y a fondo todos
los informes y los datos recabados.
CDIGO DE ETICA
PROFESIONAL DEL AUDITOR
Elaborar resumen captulo 7
Piattini
EL CONTROL INTERNO
El control interno informtico controla
diariamente que todas las actividades de
sistemas de informacin sean realizadas
cumpliendo los procedimientos,
estndares y no normas fijados por la
Direccin de la organizacin y/o a la
direccin de informtica as como los
requerimientos legales.
Misin del control interno informtico
Asegurarse de que las medidas que se
obtienen de los mecanismos implantados
por cada responsable sean correctas y
vlida.
Suele ser un rgano staff, dotado de las
personas y medios materiales
proporcionados para tareas
encomendadas.
Objetivos:
Controlar que todas las actividades que
se realicen cumplan con normas y
procedimientos, evaluar sus beneficios y
asegurarse de cumplimiento de normas
legales.
Asesorar sobre el conocimientos de las
normas

Debido a que cada da es mas frecuente el uso de redes en
las instituciones, las cuales que van desde simples redes
internas y redes locales (LANs), hasta las redes
metropolitanas (MANs) o las redes instaladas a escala
mundial (WANs). El establecimientos para estos controles
para la seguridad en sistemas de redes y sistemas
multiusuario de una empresa es de vital importancia. Razn
por la cual se debe tomar medidas muy especificas para la
proteccin, resguardo y uso de programas, archivos e
informacin compartida de la empresa.


Respecto a la seguridad en redes, existe un sinnmero de
medidas preventivas y correctivas, las cuales constantemente
se incrementan en el mundo de los sistemas.
Debido a la caractersticas de los propios sistemas
computacionales , a las formas de sus instalaciones , el
numero de terminales y a sus tipos de conexin , es
necesario adaptarse a los constantes cambios tecnolgicos
que buscan garantizar la seguridad en el funcionamiento de
las propias redes, de sus programas de uso colectivo, de su
archivos de informacin y de su dems caractersticas.

La seguridad en las redes es muy eficiente y con una
profundidad digna de sealarse debido a que constantemente
se establecen y actualizan sus controles, los cuales van
desde restriccin de las accesos para usuarios, hasta el uso
de palabras claves para el ingreso a los programas y archivos
de la empresa , as como el monitoreo de actividades, rutinas
de auditoria para identificar comportamientos, con el propsito
de salvaguardar la informacin y los programas de estos
sistemas.

Lo mismo ocurre respecto a los planes y
programas de contingencias diseados para la
salvaguarda de la informacin, de los
programas y de los mismos sistemas de red
establecidos en la empresa.
CONTROLES
ORGANIZACIN
Registro de los intercambios
Custodia de activos que no sean los del propio departamento
Correccin de errores que no provengan de los originados por el
propio dpto.
En cuanto a la organizacin dentro del mismo departamento , las
siguiente funciones deben estar segregadas:
programacin del sistema operativo
anlisis , programacin y mantenimiento
operacin
ingreso de datos
control de datos de entrada / salida
archivos de programas y datos.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Las tecnicas de mantenimiento y programacin
operativos del sistema deben estar normalizados y
documentados.
OPERACIN Y PROCEDIMIENTOS
Deben existir controles que aseguren el
procesamiento exacto y oportuno de la informacin
contable.
instrucciones por escrito sobre procedimiento para
para preparar datos para su ingreso y procesamiento
La funcin de control debe ser efectuada por un
grupo especfico e independiente.
Instrucciones por escrito sobre la operacin de los
equipos.
Solamente operadores de computador deben
procesar los SIST OP.

CONTROLES DE EQUIPOS Y PROGRAMAS DEL
SISTEMA
Debe efectuarse un control de los equipos :
programacin del mantenimiento preventivo y
peridico
registro de fallas de equipos
Los cambios del sist. Op. Y la programacin.
CONTROLES DE ACCESO
El acceso al PED debe estar restringido en todo
momento. Tambin debe controlarse :
el acceso los equipos debe estar restringido a
aquellos autorizados
el acceso de documentacin solo aquellos
autorizados
el acceso a los archivos de datos y programas solo
limitado a operadores
El funcionamiento adecuado de los protocolos de red
El funcionamiento corrector de direcciones ya sean por un nivel o
jerrquicas.
El manejo de los tamaos de paquetes que se manejan en la red, segn su
mximo.
El control de errores para la entrega confiable y en orden o sin orden de la
informacin que se trasmite en la red.
Control de flujo y de velocidad de trasmisin de los datos de la red.
Control de congestin del manejo de la informacin, trasmisin y protocolo
de la red.
Administracin y control de la problemtica de seguridad de la red, la
informacin, los usuarios, los sistemas computacionales y de las
instalaciones fsicas.
Contabilidad de los tiempos de uso del sistema, ya sea por conexin de las
terminales, por paquetes, por byte, por proceso o por cualqu
Anlisis del funcionamiento de los mecanismos de control de acceso
a las instalaciones, informacin y software institucional.
Anlisis de prevencin de accesos mltiples, sin permisos, dolosos y
de todas aquellas acciones para ingresar al sistema sin la autorizacin
correspondiente.
Anlisis del procesamiento de informacin en los sistemas de red.
Anlisis de la administracin y el control de la asignacin de los
niveles de acceso, privilegios y contrasea para los usuarios para
ingresar al sistema de la informacin.
Anlisis del monitoreo de las actividades de los usuarios.
Anlisis de las medidas correctivas y preventivas para evitar la
piratera de informacin, software, activos informticos y consumibles
del rea de sistemas.
RIESGOS DE AUDITORA Y
MATERIALIDAD
Anlisis de riesgos y
materialidad
El Riesgo en auditora representa la posibilidad de que el auditor
exprese una opinin errada en su informe debido a que los
estados financieros o la informacin suministrada a l estn
afectados por una distorsin material o normativa.
Anlisis de riesgos y
materialidad
En auditora se conocen tres tipos de riesgo: Inherente, de
Control y de Deteccin. El riesgo inherente es la posibilidad de
que existan errores significativos en la informacin auditada, al
margen de la efectividad del control interno relacionado; son
errores que no se pueden prever. El riesgo de control est
relacionado con la posibilidad de que los controles internos
imperantes no preveen o detecten fallas que se estn dando en
sus sistemas y que se pueden remediar con controles internos
ms efectivos. El riesgo de deteccin estn relacionados con el
trabajo del auditor, y es que ste en la utilizacin de los
procedimientos de auditora, no detecte errores en la informacin
que lesuministran. El riesgo de auditoria se encuentra as: RA =
RI x RC x RD
Clasificacin de los riesgos
Esta clasificacin de los riesgos en auditora puede tener
sus variantes; por ejemplo, en Taylor y Glezze se
mencionan el riesgo alfa(riesgo del rechazo indebido) y el
riesgo beta(riesgo de la aceptacin indebida)

La SAS No 39. Menciona el Riesgo Ultimo como una
combinacin de dos riesgos: el que se cometan errores de
importancia en el proceso contable y el de que estos
errores no sean detectados por el auditor. Se describe
tambin como el riesgo de que en el saldo de una cuenta,
exista un error monetario mayor que el que se pueda
tolerar(Materialidad) y que el auditor no pueda detectarlo.
La materialidad
La Materialidad es el error monetario mximo que puede
existir en el saldo de una cuenta sin dar lugar a que los
estados financieros estn sustancialmente deformados. A
la materialidad tambin se le conoce como Importancia
Relativa.
DETECCIN DE FRAUDES
Fraude
Definicin.- Podemos afirmar que es un engao hacia un tercero, abuso de
confianza, dolo, simulacin, etc. El trmino "fraude" se refiere al acto
intencional de la Administracin, personal o terceros, que da como
resultado una representacin equivocada de los estados financieros,
pudiendo implicar:

* Manipulacin, falsificacin o alteracin de registros o documentos.
* Malversacin de activos
* Supresin u omisin de los efectos de ciertas transacciones en los
registros o documentos.
* Registro de transacciones sin sustancia o respaldo
* Mala aplicacin de polticas contables.

Tipos de fraude
Se considera que hay dos tipos de fraudes: el primero de ellos
se realiza con la intencin financiera clara de malversacin de
activos de la empresa.
El segundo tipo de fraude, es la presentacin de informacin
financiera fraudulenta como acto intencionado encaminado a
alterar las cuentas anuales.

* Los fraudes denominados internos son aquellos
organizados por una o varias personas dentro de una
institucin, con el fin de obtener un beneficio propio.
* Los fraudes conocidos como externos son aquellos que se
efectan por una o varias personas para obtener un beneficio,
utilizando fuentes externas como son: bancos, clientes,
proveedores, etc.

Porque hay fraudes
Por Que Hay Fraudes
Se considera que hay fraudes por:

* Falta de controles adecuados.
* Poco y mal capacitado personal.
* Baja / alta rotacin de puestos.
* Documentacin confusa.
* Salarios bajos.
* Existencia de activos de fcil conversin: bonos, pagares, etc.
* Legislacin deficiente.
* Actividades incompatibles entre s.

Como se evita un fraude:
La respuesta ms sencilla es la de mejorar el control
administrativo, implementar practicas y polticas de control, analizar
los riesgos que motiven a un fraude, tener la mejor gente posible,
bien remunerada y motivada.

Como se detecta un fraude:
Existe una infinidad de respuestas a esta pregunta las ms
comunes son:
* Observar, probar o revisar los riesgos especficos de control,
identificar los mas importantes y vigilar constantemente su
adecuada administracin.
* Simular operaciones.
* Revisar constantemente las conciliaciones de saldos con
bancos, clientes, etc.
* Llevar acabo pruebas de cumplimiento de la eficacia de los
controles.

COBIT, ITIL, MOPROSOFT
MARCO JURDICO NORMATIVO
DE LA FUNCIN DE AUDITORA
LEGISLACIN INFORMTICA
EN MXICO

Leyes relacionadas con la informtica

Ley Federal del Derecho de Autor
Ley de la Propiedad Industrial
Ley Federal de Telecomunicaciones
Ley de Informacin Estadstica y
Geogrfica
Situacin en Mxico
Instituciones de la Administracin Pblica Federal con
atribuciones vinculadas con la informtica
Secretara de Gobernacin
Secretara de Relaciones Exteriores
Secretara de Hacienda y Crdito Pblico
Secretara de Economa
Secretara de Comunicaciones y Transportes
Secretara de Contralora y Desarrollo Administrativo
Secretara de Educacin Pblica
Comisin Federal de Telecomunicaciones
Consejo Nacional de Ciencia y Tecnologa
Situacin en Mxico
Iniciativas jurdicas en materia informtica
2 de marzo de 2000 en materia de
delitos informticos
En materia de correo electrnico:
28 de abril de 1999
15 de diciembre de 1999
22 de marzo de 2000
Proyecto de Norma Oficial Mexicana
Situacin en Mxico
Proteccin de Datos Personales
Ley Federal de Proteccin de Datos
Personales 14 de Febrero de 2001
Reformas al articulo 16 de la
Constitucin Poltica de los Estados
Unidos Mexicanos
Situacin Internacional
Aspectos legislados
Abuso fraudulento en el procesamiento de
informacin (Austria, Japn)
Dao de equipo de cmputo y uso ilegal de
equipo de cmputo (Japn)
Lucrar utilizando inadecuadamente bases de
datos (Japn, Nueva Zelanda)
Sabotear negocios ajenos (Japn)
Piratera y adquisicin ilegal de programas
(Francia, Alemania, Japn, Escocia, Gran
Bretaa, El Salvador).
Situacin Internacional
Aspectos legislados
Fraude o robo de informacin confidencial y
programas (Francia, Gran Bretaa, Austria,
Suiza, Japn, Estados Unidos).
Alteracin de programas (Japn, Gran
Bretaa).
Regulacin de delitos informticos (Chile LEY-
19223, y como proyecto en El Salvador).
Proyecto de legislacin para proteger la
intimidad, dignidad y autodeterminacin de los
ciudadanos frente a los retos que ofrece el
procesamiento automatizado de datos
personales (Costa Rica).
Situacin Internacional
Proyectos de legislacin
Regulacin de delitos informticos (Chile
LEY-19223, y como proyecto en El
Salvador).
Proyecto de legislacin para proteger la
intimidad, dignidad y autodeterminacin
de los ciudadanos frente a los retos que
ofrece el procesamiento automatizado
de datos personales (Costa Rica).
Ejercicio de Reforzamiento
Elaborar un mapa conceptual, cuyo
objetivo es el dominio de conceptos
generales.
Fecha de entrega 8 de marzo, para
derecho a examen 1er parcial y como
parte del porcentaje (integracin de
portafolio).