UNIVERSIDAD TÉCNICA DE MACHALA

FACULTAD DE CIENCIAS EMPRESARIALES

ESCUELA DE CONTABILIDAD Y AUDITORIA

ASIGNATURA:

AUDITORIA III

DOCENTE:

ING. MARITZA FEIJOÒ

ALUMNO:

EDDY GABRIEL SORNOZA GUERRA

CURSO:

CUARTO “D” DIURNO

AÑO LECTIVO

2012 - 2013

MACHALA - EL ORO - ECUADOR

AUDITORIA III 2012

AUDITORIA III 2012

AUDITORIA III 2012

GENERALIDADES DE LA AUDITORÍA

CONCEPTO DE AUDITORÍA

En una primera aproximación del concepto teórico, podemos indicar que la auditoría consiste en un examen sistemático de los estados financieros, de sus registros y operaciones, con la finalidad de determinar si están de acuerdo con los principios de contabilidad generalmente aceptados, con las políticas establecidas por la dirección y con cualquier otro tipo de exigencias legales o voluntariamente adoptadas. Por todo ello, se define como la actividad consistente en analizar la información económico-financiera, esta se obtiene de los documentos contables examinados, y su objeto es la emisión de un informe que exprese una opinión técnica sobre la fiabilidad de dicha información, para que se pueda conocer y valorar esta información por terceros.Para que esos agentes internos y externos puedan interpretar sin ambigüedad la información financiera vertida en los estados contables, es preciso que haya sido elaborada de acuerdo con unas normas y criterios de general aceptación, es decir, que la persona que haya preparado los estados contables y la que los reciba hablen una lengua común. Ahora bien, esta homogeneización de criterios para elaborar la información contable no basta para asegurar la fiabilidad de dicha información. Para ello, es necesario que ese lenguaje común se vea complementado por la opinión de un experto cualificado e independiente sobre la adecuación de la información transmitida de la realidad empresarial. Por tanto, la función del auditor es la de proporcionar credibilidad a los estados financieros.

DEFINICIONES DE AUDITORÍA

Es un examen crítico que se realiza con el fin de evaluar la eficiencia y eficacia de una organización.

La recopilación y evaluación de datos sobre información de una entidad para determinar e informar sobre el grado de correspondencia entre la información y los criterios establecidos. La auditoría debe ser realizada por una persona competente e independiente [Gustavo Alonso Cepeda].

Es el examen objetivo, sistemático y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones [KellZeigler].

AUDITORIA III 2012

Es una revisión metódica, periódica e intelectual de los registros, tareas y resultados de la empresa, con el fin de diagnosticar el comportamiento global en el desarrollo de sus actividades y operaciones.

El examen de la información por una tercera persona distinta de quien la preparó y del usuario, con la intención de establecer su veracidad; y el dar a conocer los resultados de este examen, con la finalidad de aumentar la utilidad de tal información para el usuario. William Thomas Porter y John C. Burton

Un concepto moderno que la Auditoría es "el examen crítico y sistemático de la actuación y los documentos financieros y jurídicos en que se refleja, con la finalidad de averiguar la exactitud, integridad y autenticidad de los mismos." Arthur W. Holmes

El Instituto Norteamericano de Contadores Públicos (AICPA), tiene como definición de Auditoría la siguiente:Un examen que pretende servir de base para expresar una opinión sobre la razonabilidad, consistencia y apego a los principios de contabilidad generalmente aceptados, de estados financieros preparados por una empresa o por otra entidad para su presentación al Público o a otras partes interesadas.

La "American AccountingAssociation" con un criterio más amplio y moderno define en forma general la Auditoría identificándola como un proceso de la siguiente manera la Auditoría es un proceso sistemático para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados. El fin del proceso consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como determinar si dichos informes se han elaborado observando principios establecidos para el caso.

La guía Internacional de Auditoría No. 3 Principios básicos que Rigen una Auditoría, establece que la Auditoría es el examen independiente de la información de cualquier entidad, ya sea lucrativa o no, no importando su tamaño o forma legal, cuando tal examen se lleva a cabo con objeto de expresar una opinión sobre dicha información.

El cumplimiento de los principios básicos requiere la aplicación de procedimientos de auditoría y pronunciamientos sobre dictamen, adecuados a las circunstancias particulares.De las definiciones transcritas se puede inferir que la Auditoría implica una reconstrucción de acontecimientos económicos del pasado para determinar su apego a la realidad y darles o no validez. Para lograr este cometido se requiere entonces recurrir en gran medida a la interpretación de los documentos escritos.El objeto de la actividad de la auditoría son las unidades económicas, las cuales para adecuarlas a los tiempos modernos se deben considerar como sistemas abiertos compuestos de muchos subsistemas, de los cuales los sistemas de información son los más importantes. Se puede afirmar que la Auditoría implica una "búsqueda de la verdad" de los hechos económicos producidos por una Entidad, los cuales afectan sus sistemas de información para darles autenticidad.Utilizando las anteriores definiciones, la auditoría puede conceptualizarse entonces como:

IMPORTANCIA

Las auditorias en los negocios son muy importantes, por cuanto la gerencia sin la práctica de una auditoria no tiene plena seguridad de que los datos económicos registrados realmente son verdaderos y confiables. Es la auditoria que define con bastante razonabilidad, la situación real de la empresa.

AUDITORIA III 2012

Una auditoria además, evalúa el grado de eficiencia y eficacia con que se desarrollan las tareas administrativas y el grado de cumplimiento de los planes y orientaciones de la gerencia.

Es común que las instituciones financieras, cuando les solicitan préstamos, pidan a la empresa solicitante, los estados financieros auditados, es decir, que vayan avalados con la firma de un CPA.Una auditoria puede evaluar, por ejemplo, los estados financieros en su conjunto o una parte de ellos, el correcto uso de los recursos humanos, el uso de los materiales y equipos y su distribución, etc. Contribuyendo con la gerencia para una adecuada toma de decisiones.

OBJETIVOS DE LA AUDITORÍA

Es el examen objetivo de la finalidad de expresar una opinión profesional sobre la confiabilidad de los estudios financieros si estos presentan razonablemente la situación financiera de una empresa, así como los resultados de sus operaciones del periodo examinado.

Emitir opinión. Determinar la razonabilidad de los estados financieros una información

suplementaria con la finalidad de emitir una opinión profesional. Evaluación de los controles internos con la finalidad de implantar un avance de

procedimientos de auditoría, así como formular remuneraciones para las respectivas correcciones a tiempo (oportuno).

Evaluación de los objetivos de las metas trazadas. Comprobación del funcionamiento de la Administración.

TIPOS DE AUDITORÍA

LA AUDITORIA EXTERNA

La auditoría externa es un proceso de evaluación sistemático, crítico y detallado de un determinado sistema de una empresa, así, podrá auditarse el sistema contable, la capacidad de financiación, el departamento de recursos humanos o cualquier otro aspecto de la unidad económica de la entidad.Al ser externo, el estudio se llevará cabo por personal ajeno a la empresa, con el fin de que pueda emitir una opinión independiente que de credibilidad frente a terceros, ya que, en la mayoría de los casos, el informe se emitirá bajo fe pública.Así, los fines principales de la auditoría externa son adquirir razonabilidad, integridad y autenticidad de los estados analizados, con el objeto de conocer, por la propia empresa, la situación de sus activos y pasivos así como dar a saber dicha situación a clientes, proveedores, accionistas y resto de personas o entidades interesadas. Según el carácter de la función de los auditores externos esta podrá ser obligatoria o voluntaria.El procedimiento de auditoría externa será realizado por una persona o entidad especializada ajena a entidad, capaz de emitir una opción independiente y de emitir al final del proceso un informe completo sobre el estado del sistema analizado. Para ello, la entidad auditada no podrá poner restricciones a su trabajo y facilitar, en todo momento, toda la documentación o información que precise el auditor.

LA AUDITORÍA INTERNA

AUDITORIA III 2012

La auditoría interna en un control de dirección que tienen por objeto la medida y evaluación de la eficacia de otros controles. Surge con posterioridad a la auditoría externa, ante la necesidad de mantener un control permanente y más eficaz dentro de la empresa y la necesidad de hacer más rápida y eficaz la función del auditor externo.La auditoría interna clásica se ha venido ocupando del sistema de control interno, es decir, del conjunto de medidas, políticas y procedimientos establecidos en las empresas para proteger el activo, minimizar las posibilidades de fraude, incrementar la eficacia operativa y optimizar la calidad de la información económico-financiera.

Este sistema se ha centrado en el terreno administrativo, contable y financiero. La auditoría interna se pone de manifiesto en una empresa a medida que ésta aumenta en volumen y se hace imposible el control directo de las operaciones por parte de la dirección.El objetivo principal es ayudar a la dirección en el cumplimiento de sus funciones y responsabilidades, proporcionándole análisis objetivos, evaluaciones, recomendaciones y todo tipo de comentarios pertinentes sobre las operaciones examinadas. Este objetivo se cumple a través de otros más específicos: Dirigir las investigaciones siguiendo un programa redactado de acuerdo con las políticas y los procedimientos establecidos y encaminado al cumplimiento de los siguientes puntos: - Averiguar el grado en que se están cumplimiento las instrucciones, planes y procedimientos emanados de la dirección.- Revisar y evaluar la estabilidad, suficiencia y aplicación de los controles operativos, contables y financieros.- Determinar y todos los bienes del activo están registrados y protegidos.- Verificar y evaluar la veracidad de la información contable y otros datos producidos en la organización.- Realizar investigaciones especiales solicitadas por la dirección.- Preparar informes de auditoría acerca de las irregularidades que pudiesen encontrarse como resultados de las investigaciones, expresando igualmente las recomendaciones que se juzguen adecuadas.- Vigilar el cumplimiento de las recomendaciones contenidas en los informes emitidos con anterioridad.

AUDITORÍA FINANCIERALa Auditoría Financiera es la más conocida de todas, pues es la requerida por las empresas y es la que ha presentado el máximo desarrollo.

ConceptoSiguiendo el concepto construido en la Unidad Uno, se puede también construir el concepto de Auditoría Financiera, pues solamente se requiere aplicar el concepto universal a este caso particular, en el cual se hace específica el área sujeta a examen, es decir, el sistema de información financiera. Entonces se puede afirmar que Auditoría Financiera... Es aquella que emite un dictamen u opinión profesional en relación con los estados financieros de una unidad económica en una fecha determinada y sobre el resultado de las operaciones y los cambios en la posición financiera cubiertos por el examen la condición

AUDITORIA III 2012

indispensable que esta opinión sea expresada por un Contador Público debidamente autorizado para tal fin.

 La opinión de Contador Público en la Auditoría Financiera está fundamentada en lo siguiente:

Que el balance presenta razonablemente la situación financiera de la empresa en la fecha del examen y el resultado de las operaciones en un período determinado,

Que los estados financieros básicos están presentados de acuerdo con principios de contabilidad de general aceptación y normas legales vigentes en Colombia,

Que tales principios han sido aplicados consistentemente por la empresa de un período a otro.

USUARIOS DE LA INFORMACIÓN FINANCIERA Los estados financieros no están destinados solamente a los administradores de la empresa; también hay terceros interesados en conocer la posición financiera y el desarrollo de la empresa. Los terceros interesados son principalmente:

Los accionistas de la empresa; les interesa el manejo del patrimonio de la sociedad y los rendimientos obtenidos como un medio para juzgar la eficacia de la administración.

Posibles inversionistas; para tomar decisiones adecuadas como posibles socios. Acreedores y proveedores; porque pueden contar con mejores elementos de información en

la vigilancia de sus créditos y para la ampliación de cupos. Bancos; para operaciones a corto y largo plazo para determinar la solvencia de sus

presuntos deudores. El Estado; para cumplir con los requisitos Fiscales y disposiciones legales en el manejo de

la empresa. El personal mismo de la empresa por medio de los sindicatos, en lo relacionado con pliegos

de peticiones y cumplimiento de convenciones colectivas de trabajo. OBJETIVOS DE LA AUDITORÍA FINANCIERA El objetivo principal es opinar si los estados financieros de una empresa presentan, o no razonablemente la situación financiera, el resultado de sus operaciones, y los cambios de su posición financiera.El Comité Técnico de la Contaduría Pública en su pronunciamiento No. 7 plantea la siguiente definición y objetivos de la auditoría financiera:

La auditoría financiera tiene como objetivo la revisión o examen de los estados financieros por parte de un contador público distinto del que preparó la información contable y del usuario, con la finalidad de establecer su razonabilidad, dando a conocer los resultados de su examen, a fin de aumentar la utilidad que la información posee. El informe o dictamen que presenta el contador público independiente otorga fe pública a la confiabilidad de los estados financieros y por consiguiente, de la credibilidad de la gerencia que los preparó.

Para cumplir lo anterior, el trabajo de auditoría implica, como finalidad inmediata proporcionar al propio auditor los elementos de juicio y de convicción que le permiten sustentar de una manera objetiva su dictamen. Esto conduce a que en cada caso determine, según las circunstancias, las pruebas que necesita para cumplir profesionalmente su trabajo.

AUDITORIA III 2012

La Auditoría Financiera se efectúa en forma externa, por su amplia utilidad de validar la información financiera frente a terceros, pero esto no implica que no pueda efectuarse en forma interna, aunque esto no es usual por lo restringido de su uso.

DEFINICIÓN DE AUDITORIA ADMINISTRATIVA:

  Es el revisar y evaluar si los métodos, sistemas y procedimientos que se siguen en todas las fases del proceso administrativo aseguran el cumplimiento con políticas, planes, programas, leyes y reglamentaciones que puedan tener un impacto significativo en operación de los reportes y asegurar que la organización lo esté cumpliendo y respetando.

AUDITORIA OPERACIONAL

El término auditoría operacional se refiere al análisis integral de una unidad operativa o de una organización completa para evaluar sus sistemas, controles y desempeño, según se miden en función de los objetivos de la administración.

La auditoría operacional es diferente  a la auditoría financiera, la  auditoría financiera  se centra en la medición de la posición financiera, de los resultados de las operaciones y de los flujos de efectivos de una entidad, una auditoría operacional se centra en la eficacia, la eficiencia y la economía de las operaciones. El auditor operacional evalúa los controles operativos de la administración y de los sistemas sobre actividades tan diversas como las compras, procesamiento de datos, recepción, envió, servicios de oficina, publicidad, entre otros.

Las auditorías operacionales con frecuencia son realizadas por auditores internos para sus organizaciones. Los usuarios principales de los informes de auditoría operacional son los gerentes de distintos niveles, incluyendo el consejo de administración. La administración de alto nivel requiere de informaciones en cuanto a que todos los componentes de la organización están trabajando para lograr las metas de la misma.

OBJETIVOS DE LA AUDITORIA OPERACIONAL

El objetivo de la auditoria operativa es identificar las áreas de reducción de Costos, mejorar los métodos operativos e incrementar la rentabilidad con fines constructivos y de apoyo a las necesidades examinadas.

La auditoría operativa determina si la función o actividad bajo examen podría operar de manera más eficiente, económica y efectiva. Uno de los objetivos de la auditoria es el de determinar si la producción del departamento cumple con las especificaciones dadas; en consecuencia se dan variados informes, presupuestos y pronósticos que así como también los Estados Financieros.

INFORMACIÓN QUE SUMINISTRA  LA AUDITORIA OPERACIONAL

AUDITORIA III 2012

La auditoría operacional podrá informar a la gerencia de los siguientes aspectos:

1-     Evaluaciones del desempeño de la unidad con relación a los objetivos u otros criterios convenientes.

2-     Opinión en cuanto a que los planes (según se enuncian en declaraciones de objetivos, programas, presupuestos y lineamientos) son integrales, consistentes y atendidos en los niveles operativos.

3-     Información objetiva con relación a qué tan bien se están llevando a cabo los planes y políticas en todas las áreas de operaciones y acerca de oportunidades para el mejoramiento en cuanto a la eficacia, eficiencia y economía.

4-     Información acerca de las debilidades en los controles operativos, sobre todo a posibles fuentes de dispendio.

5-     Opinión reiterada en cuanto a que posible confiar en todos los informes de operaciones como una base para la acción.

Es la revisión sistemática y exhaustiva, sistemática y especifica que se realiza a las actividades de una empresa, con el fin de evaluar su existencia, suficiencia, eficacia, eficiencia y el correcto desarrollo de sus operaciones.

AUDITORIA GUBERNAMENTALLa Auditoría Gubernamental es el mejor medio para verificar que la gestión pública se haya realizado con economía, eficiencia, eficacia y transparencia, de conformidad con las disposiciones legales aplicables. La auditoría se ha convertido en un elemento integral del proceso de responsabilidad en el sector público. La confianza depositada en el auditor gubernamental ha aumentado la necesidad de contar con normas modernas que lo orienten y permitan otros se apoyen en su labor.

Es un lugar común afirmar que el peor administrador es el Estado y que la vigilancia a cargo de la Contraloría General de la República o de las Contralorías Departamentales o Municipales no tiene ningún tipo de resultado para evitarlo. Sinembargo la nueva Constitución Política de Colombia trata de cambiar esta situación, pues establece que la función pública del Control Fiscal, se ejercerá en forma posterior y selectiva y faculta a la Contraloría General de la República para ejercer un control financiero, de gestión y de resultados, lo cual es muy novedoso, pues cambia en forma sustancial el Control Fiscal que supuestamente se había venido ejerciendo. Aplicando las normas constitucionales y el método utilizado hasta el momento para conceptualizar las diferentes clases de auditorías, la Auditoría Gubernamental sería entonces:  El examen crítico y sistemático del sistema de gestión fiscal de la administración pública y de los particulares o entidades que manejen fondos o bienes de la Nación, realizado por las Contralorías General de la República, Departamental o Municipal, con el fin de emitir un dictamen sobre la eficiencia, eficacia y economicidad en el cumplimiento de los objetivos de la entidad estatal sometida a examen, además de la valoración de los costos ambientales de operación del Ente, para así vigilar la gestión pública y proteger a la sociedad.

AUDITORIA III 2012

AUDITORÍA INTEGRALLa auditoría integral se ha desarrollado en los países industrializados, especialmente en el Canadá, teniendo una gran aplicación en el ámbito del control gubernamental. En sí la auditoría integral no es más que la integración de la auditoría financiera con la auditoría de gestión y la auditoría de cumplimiento.La auditoría de cumplimiento es la que hasta la vigencia de la anterior Constitución, venia ejecutando la Contraloría General de la República, y que consistía en el simple control numérico legal de las operaciones de los entes estatales en sus diferentes niveles. El Consejo Técnico de la Contaduría Pública en su pronunciamiento No. 7 define así la Auditoría de Cumplimiento: La auditoría de cumplimiento consiste en la comprobación o examen de las operaciones financieras, administrativas, económicas y de otra índole de una entidad para establecer que se han realizado conforme a las normas legales, estatutarias y de procedimientos que le son aplicables.

 La integración de estos tres tipos de auditoría implica que examen se debe realizar sobre tres grandes sistemas de información de la organización: sistema de información financiera, sistema de información de gestión y sistema de información legal. El concepto de auditoría integral realmente no es nuevo en nuestro país y por el contrario es si se quiere el más antiguo, pues si se considera la figura de la institución de la Revisaría Fiscal, ésta cumple con los requerimientos de una auditoría integral, pues en esencia el Revisor Fiscal debe examinar los tres grandes sistemas objeto de examen por esta última.

AUDITORÍA DE SISTEMAS

La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.La actividad dirigida a verificar y juzgar información. El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:

Eficiencia en el uso de los recursos informáticos Validez de la información Efectividad de los controles establecidos

PROCESO DE AUDITORÍA

EXPLORACIÓN La exploración es la etapa en la cual se realiza el estudio o examen previo al inicio de la Auditoria con el  propósito de conocer en detalle las características de la entidad a auditar para tener los elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los objetivos previstos.

AUDITORIA III 2012

Los resultados de la exploración permiten, además, hacer la selección y las adecuaciones a la metodología y programas a utilizar; así como determinar la importancia de las materias que se habrán de examinar.

También posibilita valorar el grado de fiabilidad del control interno (contable y administrativo) así como que en la etapa de planeamiento se elabore un plan de trabajo más eficiente y racional para cada auditor, lo que asegura que la Auditoría habrá de realizarse con la debida calidad, economía, eficiencia y eficacia; propiciando, en buena medida, el éxito de su ejecución.   En la entidad se deben efectuar entrevistas con los principales dirigentes con el propósito  de explicarles el objetivo de la Auditoría, y conocer o actualizar en detalle los datos en cuanto a estructura, cantidad de dependencia, desenvolvimiento de la actividad que desarrolla, flujo de la producción o de los servicios que presta y, otros antecedentes imprescindibles para un adecuado planeamiento del trabajo a ejecutar.

PLANEAMIENTO

El trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la Auditoría a acometer.Lo anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la realización de una Auditoría de alta calidad y que se logre con la economía, eficiencia, eficacia y prontitud debidas.Partiendo de los objetivos y alcance previstos para la Auditoría y considerando toda la información obtenida y conocimientos adquiridos sobre la entidad en la etapa de exploración, el jefe de grupo procede a planear las tareas a desarrollar y comprobaciones necesarias para alcanzar los objetivos de la Auditoría.

Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y reevaluar la necesidad de personal de acuerdo con los elementos de que dispone.Después de que se ha determinado el tiempo a emplear en la ejecución de cada comprobación o verificación, se procede a elaborar el plan global o general de la Auditoría, el que se debe recoger en un documento que contenga como mínimo:

Definición de los temas y las tareas a ejecutar.Nombre del o los especialistas que intervendrán en cada una de ellas.

Fecha prevista de inicio y terminación de cada tarea. Se considera desde la exploración hasta la conclusión del trabajo.

Igualmente se confecciona el plan de trabajo individual de cada especialista, considerando como mínimo:

Nombre del especialista. Definición de los temas y cada una de las tareas a ejecutar. Fecha de inicio y terminación de cada tarea. Cualquier ampliación del  término previsto debe estar autorizada por el supervisor u otro

nivel superior; dejando constancia en el expediente de Auditoría. Según criterio del jefe de grupo, tanto el plan general de la Auditoría, como el individual

de cada especialista, pueden incluirse en un solo documento en atención al número de tareas a ejecutar, cantidad de especialistas subordinados, etc.

AUDITORIA III 2012

ObjetivoDefinir el alcance y la estrategia de auditoría a partir del conocimiento del auditado y de la evaluación de los controles para mitigar los riesgos.

Alcance Esta fase se inicia con la notificación del memorando de asignación y comprende la elaboración del cronograma de actividades para la misma; el análisis en detalle del ente o asunto a auditar; la evaluación del sistema de control interno o de los mecanismos de control; la determinación de los criterios técnicos de evaluación, alcance y estrategia de auditoría; hasta la elaboración y aprobación del Plan de Trabajo y de los Programas de Auditoria.

Cronograma de actividades fase de planeaciónEn mesa de trabajo, el equipo auditor deberá definir un cronograma a ejecutar en la fase de planeación, el cual contendrá como mínimo las siguientes actividades y el tiempo establecido para cada una: analizar en detalle el ente o asunto a auditar; Evaluar el Sistema de Control Interno y/o mecanismos de control; determinar criterios técnicos de evaluación; elaborar el plan de trabajo y elaborar y aprobar los programas de auditoria. Cuando el desarrollo de una auditoría comprenda la actuación de más de  una jurisdicción territorial, el responsable de auditoría, tendrá a cargo la determinación de la coherencia del cronograma conjunto.La información requerida del ente o asunto a auditar para desarrollar esta etapa, será solicitada por el responsable de auditoría ó el líder de auditoría, si es punto de control, a través de comunicaciones escritas, estipulando los tiempos para la entrega de la misma por parte del ente o asunto a auditar, teniendo especial cuidado en no solicitar información que haya sido remitida a través de la rendición de cuenta e informes. Dicha información deberá ser utilizada en el proceso auditor y no para otros fines y cuando tenga el carácter de reservada, confidencial y/o de uso restringido, el auditor debe pactar las condiciones para su acceso y salvaguarda. Así mismo, el acceso a la consulta de los sistemas de información está restringido al uso exclusivo de la auditoria.Cuando la entidad disponga de bienes de su propiedad para el uso del equipo auditor, el responsable de auditoría ó el líder de auditoría, si es punto de control, recibirá por escrito, mediante inventario, especificando cada uno de los elementos:  estado, número de placas ó identificación y las condiciones de seguridad.El equipo auditor debe identificar, verificar, proteger y salvaguardar los bienes que son propiedad de la parte interesada suministrados para su utilización.

 Análisis en detalle del ente o asunto a auditarEl obtener una comprensión del ente o asunto a auditar y su entorno es un proceso continuo y dinámico, que se inicia en la fase de planeación de la auditoría y se debe actualizar y analizar en el transcurso de la misma. Esta comprensión facilita la determinación del objeto principal del auditado; el bien y/o servicio a prestar; la naturaleza, características, actividades y/o procesos; los riesgos de pérdida o de inadecuada utilización de recursos, que se pueden presentar en desarrollo del objeto principal y la existencia o no de controles establecidos.Esto implica realizar, entre otras, las siguientes actividades y preguntas: conocer cuál es su día a día; ¿qué actividades desarrollan su razón de ser?; ¿cuáles son los productos y/o servicios que ofrece?; ¿qué necesidades específicas satisfacen sus productos y/o servicios?; ¿cuál es la población objetivo? ¿Cuál es su relación con otras entidades públicas?; ¿cómo es el flujo de recursos públicos?

AUDITORIA III 2012

A partir de la matriz de riesgos el equipo auditor focalizará su análisis y conocimiento en los aspectos específicos objeto de auditoría, para lo cual podrá consultar, analizar y evaluar la información y datos del auditado, que sirvieron de insumo a dicha matriz.Existen diferentes métodos y herramientas para que el auditor obtenga un entendimiento holístico del negocio y una visión de conjunto del ente o asunto a auditar, como por ejemplo entrevistas, matriz DOFA, TASCOI, desdoblamiento de complejidad, PEST o modelo de revisión del negocio.Para asegurar que todos los integrantes se apropien del conocimiento integral del auditado, en mesa de trabajo se socializará dicho conocimiento, dejando constancia sobre los aspectos analizados de mayor importancia en la ayuda de memoria y en el formato análisis en detalle.

 Evaluación del Sistema de Control Interno o mecanismos de controlConsiste en obtener suficiente comprensión del sistema de control interno o de los mecanismos de control y la importancia que tiene para facilitar el logro de los objetivos del objeto o ente a auditar. Este conocimiento implica que el equipo auditor deberá diseñar las preguntas orientadas a determinar la efectividad de controles que permitan minimizar los riesgos y de esta forma enfocar la auditoría. El éxito de la identificación de riesgos, dependerá de la adecuada y acertada formulación de las preguntas, razón por la cual deben ser socializadas, analizadas y validadas en mesa de trabajo.Lo anterior implica que independientemente del modelo de control que tenga implementado el objeto a auditar, el cuestionario de control interno que diseñe el equipo auditor, se debe enfocar a la identificación de los riesgos.

SUPERVISIÓN El propósito esencial de la supervisión es asegurar el cumplimiento de los objetivos de la Auditoría y la calidad razonable del trabajo. Una supervisión y un control adecuados de la Auditoría son necesarios en todos los casos y en todas las etapas del trabajo, desde la exploración hasta la emisión del informe y su análisis con los factores de la entidad auditada.Asimismo, debe garantizar el cumplimiento de las Normas de Auditoría y que el informe final refleje correctamente los resultados de las comprobaciones, verificaciones e investigaciones realizadas.

Una supervisión adecuada debe asegurar que:

Todos los miembros del grupo de Auditoría han comprendido, de forma clara y satisfactoria, el plan de Auditoría, y que no tienen impedimentos personales que limiten su participación en el trabajo.Se sigue el plan de Auditoría elaborado al efecto y se aplican los procedimientos previstos, considerando las modificaciones autorizadas.Los papeles de trabajo contengan evidencias que sustenten correctamente los señalamientos en el informe final.En el informe final de la Auditoría se expongan las conclusiones, detalles y recomendaciones que se consideren pertinentes de acuerdo con los resultados de las revisiones efectuadas.La supervisión tiene normalmente dos niveles de ejecución: el que corresponde al que se realiza sistemáticamente por el jefe de grupo y el que acomete el funcionario del Ministerio designado como supervisor

AUDITORIA III 2012

EJECUCIÓN

El propósito fundamental de esta etapa  es recopilar las pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna manera, del trabajo de campo, esta depende grandemente del grado de profundidad con que se hayan  realizado las  dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las hojas de nota, instrumentos que  respaldan excepcionalmente la opinión del auditor actuante.

Informe 1. En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los cuales

llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el trabajo realizado.

2. Comunicar los resultados al máximo nivel de dirección de la entidad auditada y otras instancias administrativas, así como a las autoridades que correspondan, cuando esto proceda.

3. El informe parte de los resúmenes de los temas y de las Actas de Notificación de los Resultados de Auditoría (parciales) que se vayan elaborando y analizando con los auditados, respectivamente, en el transcurso de la Auditoría.

4. La elaboración del informe final de Auditoría es una de las fases más importante y compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección.

5. El informe de Auditoría debe tener un formato uniforme y estar dividido por secciones para facilitar al lector una rápida ubicación del contenido de cada una de ellas.

6. El informe de Auditoría debe cumplir con los principios siguientes:

Que se emita por el jefe de grupo de los auditores actuantes. Por escrito. Oportuno. Que sea completo, exacto, objetivo y convincente, así como claro, conciso y fácil de

entender. Que todo lo que se consigna esté reflejado en los papeles de trabajo y que responden a

hallazgos relevantes con evidencias suficientes y competentes. Que refleje una actitud independiente. Que muestre la calificación según la evaluación de los resultados de la Auditoría. Distribución rápida y adecuada.

INFORME

En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el trabajo realizado. Comunicar los resultados al máximo nivel de dirección de la entidad auditada y otras instancias administrativas, así como a las autoridades que correspondan, cuando esto proceda.

AUDITORIA III 2012

El tipo más común de informe del auditor es el informe estándar, conocido también como opinión sin salvedad u opinión limpia. Esta opinión se utiliza cuanto no existen limitaciones significativas que afecten la realización de la auditoría, y cuando la evidencia obtenida en la auditoría no revela deficiencias significativas en los estados financieros o circunstancias poco usuales que afecten el informe del auditor independiente.

Este informe es considerado un informe estándar porque consiste de tres párrafos que contienen frases y terminologías estándar con un significado específico. El primer párrafo identifica los estados financieros que fueron auditados y describe la responsabilidad de la gerencia por los estados financieros y la responsabilidad del auditor por expresar una opinión sobre esos estados financieros.

El segundo párrafo describe los elementos clave de una auditoría que proporcionan la base para sustentar la opinión sobre los estados financieros. El auditor indica explícitamente que la auditoría le proporcionó una base razonable para formarse una opinión sobre dichos estados financieros. En el tercer párrafo, el auditor comunica su opinión. El auditor independiente expresa una opinión sobre los estados financieros.Seguidamente se explica el significado específico de este informe estándar.

TÍTULO DEL INFORMEEl título Dictamen de los Contadores Públicos Independientes informa a los usuarios de los estados financieros que el informe de los auditores proviene de un Contador Público Independiente imparcial.

DESTINATARIO DEL INFORMEEl informe puede dirigirse a la entidad cuyos estados financieros han sido auditados o a su junta directiva o a sus accionistas. También puede ser dirigido a los socios o al propietario del negocio, según el caso. Ocasionalmente, el auditor es contratado para que efectúe la auditoría de los estados financieros de una entidad que no es su cliente. En tal caso, el informe generalmente se dirige a su cliente y no a los directores o accionistas de la entidad cuyos estados financieros fueron auditados.

PÁRRAFO INTRODUCTORIO

En este párrafo se especifica:1. Los estados financieros que fueron auditados.2. La responsabilidad de la gerencia por los estados financieros3. La responsabilidad del auditor por expresar una opinión sobre esos estados financieros.

El informe del auditor cubre únicamente los estados financieros identificados en el informe y la revelación en las notas relacionadas. La gerencia, no el auditor, prepara la información que constituye la base de los estados financieros. Los estados financieros son manifestaciones de la gerencia.El auditor independiente evalúa las evidencias incluidas en los estados financieros de la gerencia y basado en su trabajo, expresa una opinión sobre esos estados. Este proceso añade credibilidad a los estados financieros de la gerencia.

PÁRRAFO DE ALCANCE

AUDITORIA III 2012

El auditor indica haber cumplido con las normas establecidas por la profesión para la realización de la auditoría. Las normas establecen criterios para las calificaciones profesionales del auditor, la naturaleza y alcance de los criterios aplicados a la auditoría y la preparación del informe del auditor independienteEntre otras cosas, el auditor obtendrá un entendimiento del negocio del cliente y de su estructura de control interno, realizará procedimientos analíticos y reunirá evidencia suficiente y competente basado en el riesgo percibido de error significativo identificado en la planificación de la auditoría. El objetivo de una auditoría es obtener una seguridad razonable de que los estados financieros no contengan errores significativos, fraudes u otras incorrecciones.La base para una opinión de auditoría es la evidencia obtenida por el auditor, quien efectúa los procedimientos de auditoría para reunir dicha evidencia. Generalmente, el auditor examina evidencias con base en pruebas selectivas. Al llevar a cabo las pruebas de auditoría, el auditor evalúa lo apropiado de los principios de contabilidad utilizados, las estimaciones contables significativas hechas, así como de la completa presentación de los estados financieros.El auditor debe utilizar su criterio profesional conjuntamente con su conocimiento sobre las circunstancias específicas de la Compañía para determinar, qué pruebas aplicar, cuándo aplicarlas y cuánto someter a pruebas.

PÁRRAFO DE OPINIÓN

El Contador Público Independiente, no expresa garantía alguna. La opinión de un auditor está basada en su criterio profesional y está razonablemente seguro de sus conclusiones.Aquí se hace hincapié en la importancia relativa.

- FIRMA Y FECHA DEL INFORME

El informe de auditor es firmado con el nombre del Contador Público Independiente debido a que la firma asume la responsabilidad de la auditoría. La fecha del informe del auditor es importante porque representa la fecha (generalmente la fecha en la que se completó el trabajo en la oficina del cliente) hasta la cual el auditor obtuvo una razonable seguridad de que los estados financieros no contienen errores significativos. El auditor tiene responsabilidad por la existencia de incertidumbres significativas, eventos subsecuentes significativos, o indicadores de duda substancial sobre problemas de empresa en marcha hasta la fecha del informe del auditor independiente.

SEGUIMIENTO

En esta etapa se siguen, como dice la palabra, los resultados de una Auditoría, generalmente una Auditoría evaluada de Deficiente o mal, así que pasado un tiempo aproximado de seis meses o un año se vuelve a realizar otra Auditoría de tipo recurrente para comprobar el verdadero cumplimiento de las deficiencias detectadas en la Auditoría. El proceso de auditoría contempla en forma cronológica y secuencial las etapas de planificación, programación, ejecución, informe y seguimiento. Un adecuado control del nivel de calidad en el

AUDITORIA III 2012

desarrollo de cada una de esas etapas, permitirá al auditor obtener un informe de auditoría con niveles de calidad adecuados. Sin embargo, queda todavía asegurarse que se han tomado todas las medidas necesarias para  tratar los riesgos informados como altos o no aceptables, ya que sólo mediante la adecuada implementación de los compromisos tomados por la administración, se logrará un impacto positivo mediante la agregación de valor a los procesos en la organización.

Para lograr dicho impacto, se debe asegurar la adecuación, eficacia y oportunidad de las medidas adoptadas, asegurándose que se corrigen las desviaciones y se logran los resultados deseados en la forma y en los tiempos previstos.

Las diferentes normas de auditoría referidas al seguimiento, señalan que el Jefe de Auditoría debe monitorear el avance de los resultados y discutir con el Jefe de Servicio cuando, a su juicio, éste ha admitido un nivel de riesgo que no es aceptable para la organización, al no adoptar las medidas correctivas o preventivas de los hechos informados por la auditoría. Sin perjuicio de esta acción, será necesario que el auditor deje constancia escrita de dicha situación.

En el contexto antes explicado, se visualizan algunas variables de carácter estratégico que constituyen la base para realizar un adecuado seguimiento:

Recursos humanos y financieros suficientes. El nivel de calidad en la formulación de la programación de auditoría. El nivel de calidad en la ejecución, obtención de evidencia y análisis de los resultados de la

auditoría. El nivel de calidad y la oportunidad de los análisis de los hallazgos y recomendaciones

contenidas en los informes de auditoría. El nivel de calidad y la oportunidad de la respuesta de las unidades operativas a las

observaciones y recomendaciones propuestas por la auditoría interna. Una base de datos para controlar los plazos y avances de las medidas comprometidas por

los ejecutivos responsables de las unidades organizacionales. Las formalidades consideradas en el flujo de información, hacia el Jefe de Servicio y  hacia

los procesos operativos y desde éstos, a la Unidad de Auditoría. El nivel de retroalimentación que ha recibido por parte de la unidad auditada antes de

entregar el informe de auditoría al Jefe de Servicio.

Sin perjuicio de lo ya señalado, en términos prácticos se requiere en una primera parte, realizar algunos análisis y diseñar y aplicar procedimientos que permitan priorizar fundadamente, los procesos críticos  para la organización y, luego determinar las recomendaciones específicas sobre las cuales se realizará el seguimiento de auditoría para un periodo determinado.

USUARIOS DE LA AUDITORÍA

Podemos indicar que son beneficiarios de la auditoría todos aquellos que tengan relación con la empresa, por cualquier motivo, y necesiten de una información clara y auténtica sobre la misma. Ejemplo:

Directivos y administradores. Propietarios.Inversionistas.

AUDITORIA III 2012

Bancos y demás entidades de crédito.Analistas financieros.Acreedores y proveedores.Trabajadores.Autoridades públicas.

PREGUNTAS

1.- ¿Cómo se conceptualiza a la auditoria?El proceso que consiste en el examen crítico, sistemático y representativo del sistema de información de una empresa o parte de ella, realizado con independencia y utilizando técnicas determinadas, con el propósito de emitir una opinión profesional sobre la misma, para la toma de decisiones. ’’

2.- ¿Cuál es la finalidad de la auditoría?La finalidad de la auditoría es averiguar la exactitud, integridad y autenticidad de la información sujeta de auditoría.

3.- ¿Por qué es importante la auditoría en los negocios?Las auditorias en los negocios son muy importantes, por cuanto la gerencia sin la práctica de una auditoria no tiene plena seguridad de que los datos económicos registrados realmente son verdaderos y confiables. Es la auditoria que define con bastante razonabilidad, la situación real de la empresa.

4.- ¿Cuál es el objetivo principal de la auditoría?Expresar una opinión profesional sobre la confiabilidad de los estudios financieros si estos presentan razonablemente la situación financiera de una empresa, así como los resultados de sus operaciones del periodo examinado.

5.- ¿Qué es auditoria interna?La auditoría interna en un control de dirección que tienen por objeto la medida y evaluación de la eficacia de otros controles. Surge con posterioridad a la auditoría externa, ante la necesidad de mantener un control permanente y más eficaz dentro de la empresa.

6.- ¿Cuál es la diferencia entre auditoria interna y auditoria interna?La auditoría interna tiene lugar cuando el actor que genera la actividad auditora pertenece a la misma organización que la unidad auditada. La auditoría externa se produce, en cambio, cuando el auditor forma parte de tina organización distinta de la que pertenece la unidad auditada.

7.- ¿Cuál es el informe más común en la auditoria?El informe más común es el informe estándar.

8.- ¿Cuáles son los usuarios de la auditoria?Directivos y administradores. Propietarios.Inversionistas.Bancos y demás entidades de crédito.Analistas financieros.Acreedores y proveedores.Trabajadores.

AUDITORIA III 2012

CONTROL INTERNO

ANTECEDENTES TEÓRICA DEL CONTROL INTERNO

El origen del Control Interno, suele ubicarse en el tiempo con el surgimiento de la partida doble, que fue una de las medidas de control, pero no fue hasta fines del siglo XIX que los hombres de negocios se preocuparon por formar y establecer sistemas adecuados para la protección de sus intereses.

A finales de este siglo, como consecuencia del notable aumento de la producción, los propietarios de los negocios se vieron imposibilitados de continuar atendiendo personalmente los problemas productivos, comerciales y administrativos, viéndose forzados a delegar funciones dentro de la organización conjuntamente con la creación de sistemas y procedimientos que previeran o disminuyeran fraudes o errores, debido a esto comenzó a hacerse sentir la necesidad de llevar a cabo un control sobre la gestión de los negocios, ya que se había prestado más atención a la fase de producción y comercialización que a la fase administrativa u organizativa, reconociéndose la necesidad de crear e implementar sistemas de control como consecuencia del importante crecimiento operado dentro de las entidades.

CONCEPTO DEL CONTROL INTERNO

Es una función que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos y ofrecer la seguridad de que no se contraerán obligaciones sin autorización.

Una segunda definición definiría al control interno como “el sistema conformado por un conjunto de procedimientos (reglamentaciones y actividades) que interrelacionadas entre sí, tienen por objetivo proteger los activos de la organización.Se define el control interno como "un proceso". efectuado por la junta directiva de la entidad, la gerencia y demás personal, diseñado para proporcionar seguridad razonable relacionada con el logro de objetivos en las siguientes categorías:

Eficacia y eficiencia en las operaciones. Fiabilidad de la información financiera y operativa . Salvaguardad recursos de la entidad. cumplimiento de las leyes y normas aplicables. Prevenir errores e irregularidades.

Es un sistema que incluye todas las medidas adoptadas por una organización con el fin de:

Proteger los recursos contra despilfarros, fraudes e ineficiencia Asegurar la exactitud y confiabilidad de los datos contables y operacionales. Asegurar el estricto cumplimiento de las políticas trazadas por la empresa. Evaluar el rendimiento en los diferentes departamentos o divisiones de la empresa.

AUDITORIA III 2012

Control Interno es aquel sistema de control que comprende el plan de la organización y todos los métodos y medidas coordinadas, adoptadas por la empresa para salvaguardar sus activos, comprobar la exactitud y confiabilidad de sus datos contables, promover la eficiencia operativa y fomentar la adhesión a las políticas administrativas prescritas.

OBJETIVOS DEL CONTROL INTERNO

El Control Interno descansa sobre tres objetivos fundamentales.  Si se logra identificar

perfectamente cada uno de estos objetivos, se puede afirmar que se conoce el significado de

Control Interno.  En otras palabras toda acción, medida, plan o sistema que emprenda la empresa y

que tienda a cumplir cualquiera de estos objetivos, es una fortaleza de Control Interno.

Asimismo, toda acción, medida, plan o sistema que no tenga en cuenta estos objetivos o los

descuide, es una debilidad de Control Interno.Los objetivos de Control Interno son los siguientes:

SUFICIENCIA Y CONFIABILIDAD DE LA INFORMACIÓN

FINANCIERA

 La contabilidad capta las operaciones, las procesa y produce información financiera necesaria para

que los usuarios tomen decisiones.

 Esta información tendrá utilidad si su contenido es confiable y si es presentada a los usuarios con

la debida oportunidad. Será confiable si la organización cuenta con un sistema que permita su

estabilidad, objetividad  y verificabilidad.

 Si se cuenta con un apropiado sistema de información financiera se ofrecerá mayor protección a

los recursos de la empresa a fin de evitar sustracciones y demás peligros que puedan amenazarlos.

 Ejemplos:

Comparar los registros contables de los activos con los activos existentes a intervalos

razonables.

Utilización de Máquinas Registradoras para ingresos

Asegurar apropiadamente los activos de la empresa

Consignar diariamente y en la mismas especies los ingresos

EFECTIVIDAD Y EFICIENCIA DE LAS OPERACIONES

Se debe tener la seguridad de que las actividades se cumplan cabalmente con un mínimo de

esfuerzo y utilización de recursos y un máximo de utilidad de acuerdo con las autorizaciones

generales especificadas por la administración.   

AUDITORIA III 2012

Ejemplo: El establecimiento de un sistema de incentivos a la producción.

 

CUMPLIMIENTO DE LAS LEYES Y REGULACIONES APLICABLES

Toda acción que se emprenda por parte de la dirección de la organización, debe estar enmarcada

dentro las disposiciones legales del país y debe obedecer al cumplimiento de toda la normatividad

que le sea aplicable al ente.  Este objetivo incluye las políticas que emita la alta administración, las

cuales deben ser suficientemente conocidas por todos los integrantes de la organización para que

puedan adherirse a ellas como propias y así lograr el éxito de la misión que ésta se propone.

BENEFICIOS DEL CONTROL INTERNOEs necesario que exista una cultura de control interno en toda la organización, que permita el cumplimiento de los objetivos generales de control-

Estos beneficios incluyen:

Ayuda a los directivos al logro razonable de las metas y objetivos institucionales.

Integración y asimilación del personal de las metas de la organización.

Ayuda al personal a medir su desempeño y por ende, a mejorarlo.

Contribuye a evitar fraudes y corrupción interna.

Facilita a los directivos la información de cómo se han aplicado los recursos y cómo se han

alcanzado los objetivos.

CONTROL INTERNO CONTABLE

Comprende aquella parte del control interno que influye directa o indirectamente en la

confiabilidad de los registros contables y la veracidad de los estados financieros, cuentas

anuales o estados contables de síntesis. Las finalidades asignadas tradicionalmente al control

interno contable son dos:

a) la custodia de losactivos o elementos patrimoniales;

b) salvaguardar los datos y registros contables, para que las cuentas anuales o estados de síntesis

que se elaboren a partir de los mismos sean efectivamente representativos —constituyan una

imagen fiel— de la realidad económico-financiera de la empresa. Habrá de estar diseñado de tal

modo que permita detectar errores, irregularidades y fraudes cometidos en el tratamiento de la

información contable, así como recoger, procesar y difundir adecuadamente la

información contable, con el fin de que llegue fidedigna y puntualmente a los centros

de decisión de la empresa. Sin una informacióncontable veraz ninguna decisión económica racional

AUDITORIA III 2012

puede ser tomada sobrebases seguras, ni tampoco podrá saberse si la política económica

empresarial se está ejecutando correctamente.

El control interno contable comprende el plan de organización y los procedimientos y registros que

se relacionen con la protección de los activos y la confiabilidad de los registros financieros. Abarca

la preparación de los estados contables y financieros, la existencia de los principios contables,

cumplimiento de la normativa vigente.

Ello exige comprobar si:

Los activos y pasivos existen realmente y se encuentran registrados y clasificados

correctamente.      

Los criterios contables son los adecuados.

La información que se obtiene de la contabilidad es de cantidad y calidad suficiente.

Por último deberá analizar las políticas contables, coherencia, aplicación de acuerdo con las

necesidades de la empresa.

La autorización: las transacciones se ejecutan de acuerdo a las intenciones generales o específicas

de la administración.

El registro: todas las transacciones autorizadas se registran en las cantidades, periodos y cuentas

correctos. No se registran transacciones ficticias.

La salvaguarda: los registros se comparan contra otros registros y cuentas físicas llevados de

manera independiente. Tales comparaciones ayudan a asegurar que se obtenga otros objetivos de

control.

La evaluación: las cantidades registradas se revisan en forma periódica para el menoscabo de los

valores y las rebajas necesarias.

Ejemplo de control interno contable

La exigencia de una persona cuyas funciones envuelven el manejo de dinerono deba manejar

también los registros contables.  Otro caso, el requisito de que los cheques, órdenes de compra y

demás documentos estén prenumerados.

CONTROL INTERNO ADMINISTRATIVO

El Control Interno Administrativo es el conjunto de principios, fundamentos, reglas, acciones, mecanismos, instrumentos y procedimientos que ordenados entre sí y unidos a las personas que conforman una organización pública, se constituyen en un medio para lograr el cumplimiento de su función administrativa, sus objetivos y la finalidad que persigue, generándole capacidad de respuesta ante los diferentes públicos o grupos de interés que debe atender.

El Control Interno como sistema. ¿Qué es un Sistema de Control Interno?

AUDITORIA III 2012

Son las políticas y procedimientos (controles internos) adoptados por una Entidad y orientados al logro de los objetivos institucionales, a fin de asegurar que funcione de manera ordenada y eficiente, incluyendo la adhesión a las políticas de administración, la salvaguarda de activos, la prevención y detección de fraude y error, la precisión e integridad de los registros contables y la oportuna preparación de información financiera confiable. El Sistema de Control Interno se extiende más allá de los asuntos relacionados directamente con las funciones del sistema de contabilidad.

EL CONTROL INTERNO ADMINISTRATIVO Y CONTABLE

El control interno es la metodología general de acuerdo con la cual se lleva al cabo la administración, dentro de una organización dada. El control interno es un factor básico que opera en una o en otra forma en la administración de cualquiera organización mercantil o de otra índole. Aun cuando el control interno algunas veces se identifica con el propio organismo administrativo, frecuentemente se caracteriza como el sistema motor que activa las políticas de operación en su conjunto y las conserva dentro de campos de acción factibles. Un sistema particular de control interno es usualmente un único detalle.En general se dice que existe un control interno bien diseñado y cuidadosamente aplicado cuando una organización opera sin tropiezos, con economías y de conformidad con los objetivos fijados por las políticas superiores.

Un elemento importante para mantener el control interno lo proporciona el trabajo del auditor interno. Esto último le otorga al auditor interno una categoría profesional de casi independiente y tiende a desarrollar y mantener su capacidad de observador e informador imparcial, en quien puede confiar la gerencia para obtener informes sobre el funcionamiento del control interno.

El control interno, sin embargo, no termina con la prueba de la conformidad con respecto a las políticas y normas de operación, sino que se extiende a las operaciones prácticas que tienen que ver con las decisiones o acciones de los individuos o de grupos que, en forma intencional o de otra manera, caen dentro de la capacidad discrecional del individuo y no se rigen precisamente por reglas o convenciones.

En su sentido más amplio el control interno se refiere tanto al control administrativo como al control contable.Los controles administrativos incluyen el plan de organización y todos los métodos y procedimientos que facilitan la planeación y el control administrativo de las operaciones. Algunos ejemplos son los procedimientos para los presupuestos pro departamentos, los reportes de desempeño y los procedimientos para el otorgamiento de crédito a los clientes.

Los controles contables incluyen los métodos y procedimientos para autorizar las transacciones, salvaguardar los activos y asegurar la precisión de los registros financieros. Los buenos controles contables ayudan a maximizar la eficiencia ayudan a minimizar el desperdicio, los errores y el fraude.

EJEMPLOS DE CONTROL INTERNO

AUDITORIA III 2012

El efectivo es casi siempre el activo más llamativo para los ladrones y malversadores potenciales. Por consiguiente, los controles internos para el efectivo son mucha más elaborados que para, digamos, los clips y los escritorios que están en las instalaciones. Cabe destacar en particular los puntos siguientes:La función de recibir efectivo debe estar separada de desembolsar efectivo. Además, los individuos que manejan efectivo o cheques no deben tener acceso a los registros contables

Todas las entradas de efectivo de deben depositar intactas cada día. Es decir nada del dinero ni ninguno de los cheques recibido cada día debe usarse directamente para ningún otro propósito.

Todos los desembolsos mayores se deben hacer por medio de cheques foliados. Se deben investigar los cheques faltantes.

Las cuentas bancarias deben conciliarse cada mes. Es sorprendente el número de empresas que no concilian regularmente sus cuentas bancarias.

El control del efectivo requiere de procedimientos para manejar tanto los cheques como la moneda. Para el control de cheques, muchas organizaciones utilizan protectores de cheques que perforan o de otra manera imprimen una cantidad inalterable al frente del cheque. Los cheques por grandes cantidades de dinero por lo común requieren dos firmas.

La moneda es probablemente la forma de efectivo más atractiva. Los negocios que manejan mucho dinero en efectivo, tales como establecimientos de juegos de azar, restaurantes y bares, están en particular sujetos al robo y al reporte falso.

CONTROL INTERNO DEL EFECTIVO DEL INVENTARIO.

En muchas organizaciones, se tiene un acceso más fácil a los inventarios que al efectivo. Por lo tanto son uno de 2 los blancos favoritos de los ladrones.La contracción del inventario es la diferencia entre el valor del inventario que se obtendría si no hubiera hurtos, clasificaciones erróneas, roturas o errores en el registro y el valor del inventario que se obtiene al hacer cuenta física.Los expertos en el control de la contracción del inventario por lo general concuerdan en que el mejor factor disuasivo es un empleado alerta al momento de la venta. Las tiendas minoristas han llegado a extremos tales como colocar minúsculas etiquetas sensibles en la mercancía; si el vendedor no las despega o neutraliza, estos transmisores en miniatura activan un alarma en el momento en que el culpable está a punto de salir de la tienda..La imponente magnitud de la contracción del inventario en establecimientos minoristas demuestra como los objetivos administrativos pueden diferir de una industria a otra.

LISTA DE VERIFICACIÓN PARA EL CONTROL INTERNO.

Todos los buenos sistemas de control interno tienen características comunes. Estas se pueden resumir en una lista de verificación para el control interno que se puede utilizar para evaluar cualquier procedimiento, es la lista que algunas veces se conocen como principios o reglas o conceptos o características o elementos.El elemento más importante para obtener el éxito con el control es el personal. Los individuos incompetentes o deshonestos pueden arruinar a un sistema de independientemente de lo bien que se cumpla con los otros puntos de la lista de verificación. Los procedimientos para contratar, capacitar, motivar y supervisar a los empleados son esenciales.

AUDITORIA III 2012

La confiabilidad significa el trazar las acciones a la parte más baja de la organización como sea factible, de manera que los resultados puedan relacionarse con individuos.El impacto psicológico de fijar responsabilidades tiene un mejor desempeño cuando deben explicar las desviaciones en los procedimientos requeridos.

SISTEMA CONTABLE

El sistema contable de una empresa es un conjunto de registros, procedimientos y equipos que rutinariamente trata con los eventos que afectan su desempeño y posición financieros. El sistema mantiene la contabilidad de los activos y pasivos de la empresa.Los administradores deben estar alertas a la importancia de los sistemas y controles. Los registros contables se llevan por varias razones. Una razón primordial es para ayudar a los administradores a operar entidades de manera más eficiente y efectiva. Cualquier persona que constituye una empresa pronto descubrirá que es absolutamente esencial llevar registros.

Aun las organizaciones más simples deben tener algún tipo de registros. La prueba de costo −beneficio se cumple fácilmente. A menos que se tenga una recopilación ordenada de los registros, se obtiene un caos intolerable. En resumen, un sistema contable es una sabia inversión en el negocio. El enfoque del sistema está en las transacciones repetitivas voluminosas, que casi siempre caen dentro de una de las cuatro categorías siguientes:

Desembolsos de efectivo Entradas de efectivos Adquisición de bienes o servicios, incluyendo la nómina de los empleados Ventas u otro tipo de entrega de bienes o servicios.

Ningún administrador presente o futuro puede arriesgarse a no tener una conciencia de los atributos de un sistema de control interno adecuado.

SEPARACIÓN DE OBLIGACIONES.

Esta no solo ayuda a asegurar una recopilación de datos preciso sino que también limita las oportunidades de hacer un fraude que requeriría del acuerdo de dos o más personas. Este es sumamente importante y se divide en cuatro partes:

Separación de la responsabilidad operativa de la de llevar registros. Toda función contable debe divorciarse de los departamentos operativos.

Separación de la custodias de los activos de contabilidad Separación de la autorización de transacciones de la custodia de los activos relativos. Separación de obligaciones dentro de la función contable.

Un objetivo principal en la separación de las obligaciones es el de asegurarse de que una persona, actuando por sí sola, no puede hacerle un fraude a la compañía.

AUTORIZACIÓN APROPIADA

La autorización puede ser general o especifica. La autorización general comúnmente se encuentra por escrito, fija límites a pagar sobre el precio a recibir, sobre límites de crédito que se otorgan a los clientes. También pueden haber prohibiciones absolutas.

AUDITORIA III 2012

La autorización específica usualmente significa que un administrador superior debe permitir cualquier desviación particular de los límites fijados en la autorización general.

DOCUMENTOS ADECUADOS

Los documentos y los registros varían de manera considerable, desde documentos fuente como facturas de venta y órdenes de compra hasta diarios y mayores. El objetivo es el registro inmediato, completo y a prueba de manipulación indebida. Se promueve utilizando el barrido óptico de datos de códigos de barras, utilizando dispositivos tales como cajas registradoras y diseñando formas para un registro fácil.El registro inmediato es particularmente importante en el manejo de ventas en efectivo. Los dispositivos utilizados incluyen las cajas registradoras con señales o timbres fuertes y cintas de recopilación.Sin comprobantes foliados el cajero puede destruir la copia para la empresa del comprobante y embolsarse el efectivo.

PROCEDIMIENTOS APROPIADOS

La mayoría de las organizaciones tienen manuales de procedimientos que especifican el flujo de documentos y proporcionan la información e instrucciones que facilitan el registro adecuado.Las revisiones rutinarias y automáticas son las maneras principales para obtener los procedimientos apropiados. Así como las actividades de manufactura tienden a ser más eficientes por división y especialización de actividades repetitivas, las actividades de registro se pueden hacer menos costosas y más precisas.

SALVAGUARDAS FÍSICOS.

Obviamente, las pérdidas de efectivo, inventarios, y registros se minimizan con el uso de las cajas de seguridad, cerrojos, guardias y acceso limitado. Muchas compañías requieren que todos los visitantes firmen un registro y usen un gafete. Los empleados también utilizan gafetes con su nombre que están codificado para mostrar las instalaciones a las que tienen acceso. Las puertas a las áreas de investigación o a los cuartos de computadoras frecuentemente solo se pueden abrir con llaves especiales o utilizando un código especifico.

PERSONAL CONFIABLE CON RESPONSABILIDADES CLARAS

El elemento más importante para obtener el éxito en el control es el personal. Los individuos incompetentes o deshonestos pueden arruinar a un sistema, independientemente de los bien que se cumpla con los otros puntos de la lista de verificación. A los individuos se les debe delegar autoridad, responsabilidad y obligaciones que correspondan con sus capacidades, intereses, experiencia y confiabilidad.

La confiabilidad comienza en la parte más alta de la organización. La administración operativa debe vigilar todo el sistema para verificar que esté funcionando de la manera prevista y para detectar los cambios que deban implementarse. Además, la supervisión y evaluación adecuada de los empleados son esenciales. El sistema contable más moderno y dinámico será deficiente si no se están siguiendo sus procedimientos prescritos de manera consciente.

AUDITORIA III 2012

CONCILIACIÓN BANCARIA

Una conciliación bancaria es un análisis que explica las diferencias que pudieran existir entre el saldo de efectivo mostrado por el cuentahabiente y aquel mostrado por el banco. Las conciliaciones bancarias pueden adoptar muchos formatos, pero el objetivo sigue siendo el mismo: el de explicar las diferencias en el saldo de efectivo en una fecha determinada.

Los términos débito y crédito se utilizan frecuentemente en la banca. Estos se refieren a los registros hechos en los libros del banco. Los bancos hacen créditos a la cuenta del cuentahabiente cuando este hace depósitos adicionales y hacen débitos a la cuenta cuando el banco autoriza y cancela los cheques.

ELEMENTOS DEL CONTROL INTERNOEl control interno consta de cinco componentes relacionados entre sí, estos componentes sirven

como criterios para determinar si el sistema es eficaz, ayudando así a que la empresa dirija de

mejor forma sus objetivos y ayuden a integrar a todo el personal en el proceso. 

Aunque los cinco criterios deben cumplirse, esto no significa que cada componente haya de

funcionar de forma idéntica, ni siquiera al mismo nivel, en distintas entidades.

Los elementos que integran un sistema de control interno son:

1. ENTORNO DE CONTROL

El entorno de control marca la pauta del funcionamiento de una empresa e influye en la

concienciación de sus empleados respecto al control. Es la base de todos los demás

componentes del control interno, aportando disciplina y estructura.

ELEMENTOS DEL CONROL INTERNO

ENTORNO DE CONTROL

ACTIVIDADES DE CONTROL

SUPERVISIÓN Y MONITOREO

INFORMACIÓN Y COMUNICACIÓN

EVALUACIÓN DE LOS RIESGOS

AUDITORIA III 2012

Los factores del entorno de control incluyen la integridad, los valores éticos y la capacidad de

los empleados de la empresa, la filosofía de dirección y el estilo de gestión, la manera en que la

dirección asigna autoridad y responsabilidades, la manera en que organiza y desarrolla

profesionalmente a sus empleados y así como también la atención y orientación que

proporciona al consejo de administración.

El Entorno de control propicia la estructura en la que se deben cumplir los objetivos y la

preparación del hombre que hará que se cumplan.

2. EVALUACIÓN DE LOS RIESGOS

Las organizaciones, cualquiera que sea su tamaño, se enfrentan a diversos riesgos de origen

externos e internos que tienen que ser evaluados. La evaluación de los riesgos consiste en la

identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y

sirve de base para determinar cómo han de ser gestionados los riesgos.

Debido a que las condiciones económicas, industriales, legislativas y operativas continuarán

cambiando continuamente, es necesario disponer de mecanismos para identificar y afrontar los

riesgos asociados con el cambio. 

Aunque para crecer es necesario asumir riesgos prudentes, la dirección debe identificar y

analizar riesgos, cuantificarlos, y prever la probabilidad de que ocurran así como las posibles

consecuencias.La evaluación del riesgo no es una tarea a cumplir de una vez para siempre.

Debe ser un proceso continuo, una actividad básica de la organización, como la evaluación

continua de la utilización de los sistemas de información o la mejora continua de los

procesos.Los procesos de evaluación del riesgo deben estar orientados al futuro, permitiendo a

la dirección anticipar los nuevos riesgos y adoptar las medidas oportunas para minimizar y/o

eliminar el impacto de los mismos en el logro de los resultados esperados. La evaluación del

riesgo tiene un carácter preventivo y se debe convertir en parte natural del proceso de

planificación de la empresa.

3. ACTIVIDADES DE CONTROL

Las actividades de control son las políticas y los procedimientos que ayudan a asegurar que se

lleven a cabo las instrucciones de la dirección de la empresa. Ayudan a asegurar que se tomen

las medidas necesarias para controlar los riesgos relacionados con la consecución de los

objetivos de la empresa.

“Deben establecerse y ajustarse políticas y procedimientos que ayuden a conseguir una

seguridad razonable de que se llevan a cabo en forma eficaz las acciones consideradas

AUDITORIA III 2012

necesarias para afrontar los riesgos que existen respecto a la consecución de los objetivos de la

unidad”.

Las actividades de control existen a través de toda la organización y se dan en toda la

organización, a todos los niveles y en todas las funciones, e incluyen cosas tales como;

aprobaciones, autorizaciones, verificaciones, conciliaciones, análisis de la eficacia operativa,

seguridad de los activos, y segregación de funciones.

En algunos entornos, las actividades de control se clasifican en; controles preventivos,

controles de detección, controles correctivos, controles manuales o de usuario, controles

informáticos o de tecnología de información, y controles de la dirección. Independientemente

de la clasificación que se adopte, las actividades de control deben ser adecuadas para los

riesgos.

Hay muchas posibilidades diferentes en lo relativo a actividades concretas de control, lo

importante es que se combinen para formar una estructura coherente de control global.Las

empresas pueden llegar a padecer un exceso de controles hasta el punto que las actividades de

control les impidan operar de manera eficiente, lo que disminuye la calidad del sistema de

control. Por ejemplo, un proceso de aprobación que requiera firmas diferentes puede no ser tan

eficaz como un proceso que requiera una o dos firmas autorizadas de funcionarios

componentes que realmente verifiquen lo que están aprobando antes de estampar su firma. Un

gran número de actividades de control o de personas que participan en ellas no asegura

necesariamente la calidad del sistema de control.

INFORMACIÓN Y COMUNICACIÓN

Se debe identificar, recopilar y comunicar información pertinente en forma y plazo que permitan

cumplir a cada empleado con sus responsabilidades. Los sistemas informáticos producen informes

que contienen información operativa, financiera y datos sobre el cumplimiento de las normas que

permite dirigir y controlar el negocio de forma adecuada.

Dichos sistemas no sólo manejan datos generados internamente, sino también información sobre

acontecimientos internos, actividades y condiciones relevantes para la toma de decisiones de

gestión así como para la presentación de información a terceros. También debe haber una

comunicación eficaz en un sentido más amplio, que fluya en todas las direcciones a través de todos

los ámbitos de la organización, de arriba hacia abajo y a la inversa.

El mensaje por parte de la alta dirección a todo el personal ha de ser claro; las responsabilidades del

control han de tomarse en serio. Los empleados tienen que comprender cual es el papel en el

sistema de control interno y como las actividades individuales estén relacionadas con el trabajo de

los demás. Por otra parte, han de tener medios para comunicar la información significativa a los

AUDITORIA III 2012

niveles superiores. Asimismo, tiene que haber una comunicación eficaz con terceros, como

clientes, proveedores, organismos de control y accionistas.

En la actualidad nadie concibe la gestión de una empresa sin sistemas de información. La

tecnología de información se ha convertido en algo tan corriente que se da por descontada. En

muchas organizaciones los directores se quejan de que los voluminosos informes que reciben les

exigen revisar demasiados datos para extraer la información pertinente.

En tales casos puede haber comunicación pero la información está presentada de manera que el

individuo no la puede utilizar o no la utiliza real y efectivamente. Para ser verdaderamente efectiva

la TI debe estar integrada en las operaciones de manera que soporte estrategias proactivas en lugar

de reactivas. 

Todo el personal, especialmente el que cumple importantes funciones operativas o financieras,

debe recibir y entender el mensaje de la alta Dirección, de que las obligaciones en materia de

control deben tomare en serio. Asimismo debe conocer su propio papel en el sistema de control

interno, así como la forma en que sus actividades individuales se relacionan con el trabajo de los

demás.Si no se conoce el sistema de control, los cometidos específicos y las obligaciones en el

sistema, es probable que surjan problemas. Los empleados también deben conocer cómo sus

actividades se relacionan con el trabajo de los demás.Debe existir una comunicación efectiva a

través de toda la organización.El libre flujo de ideas y el intercambio de información son vitales. La

comunicación en sentido ascendente es con frecuencia la más difícil, especialmente en las

organizaciones grandes. Sin embargo, es evidente la importancia que tiene.Los empleados que

trabajan en la primera línea cumpliendo delicadas funciones operativas e interactúan directamente

con el público y las autoridades, son a menudo los mejor situados para reconocer y comunicar los

problemas a medida que surgen.

El fomentar un ambiente adecuado para promover una comunicación abierta y efectiva está fuera

del alcance de los manuales de políticas y procedimientos. Depende del ambiente que reina en la

organización y del tono que da la alta dirección.Los empleados deben saber que sus superiores

desean enterarse de los problemas, y que no se limitarán a apoyar la idea y después adoptarán

medidas contra los empleados que saquen a luz cosas negativas. En empresas o departamentos mal

gestionados se busca la correspondiente información pero no se adoptan medidas y la persona que

proporciona la información puede sufrir las consecuencias.

Además de la comunicación interna debe existir una comunicación efectiva con entidades externas

tales como accionistas, autoridades, proveedores y clientes.

AUDITORIA III 2012

Ello contribuye a que las entidades correspondientes comprendan lo que ocurre dentro de la

organización y se mantengan bien informadas. Por otra parte, la información comunicada por

entidades externas a menudo contiene datos importantes sobre el sistema de control interno.

SUPERVISIÓN O MONITOREO

Los sistemas de control interno requieren supervisión, es decir, un proceso que comprueba que se

mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Esto se consigue mediante

actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas cosas.

La supervisión continuada se da en el transcurso de las operaciones. Incluye tanto las actividades

normales de dirección y supervisión, como otras actividades llevadas a cabo por el personal en la

realización de sus funciones. El alcance y la frecuencia de las evaluaciones periódicas dependerán

esencialmente de una evaluación de los riesgos y de la eficacia de los procesos de supervisión

continuada. Las deficiencias detectadas en el control interno deberán ser notificadas a niveles

superiores, mientras que la alta dirección y el consejo de administración deberán ser informados de

los aspectos significativos observados.

“Todo el proceso debe ser supervisado, introduciéndose las modificaciones pertinentes cuando se

estime necesario. De esta forma el sistema puede reaccionar ágilmente y cambiar de acuerdo a las

circunstancias”.

Es preciso supervisar continuamente los controles internos para asegurarse de que el proceso

funciona según lo previsto. Esto es muy importante porque a medida que cambian los factores

internos y externos, controles que una vez resultaron idóneos y efectivos pueden dejar de ser

adecuados y de dar a la dirección la razonable seguridad que ofrecían antes.

El alcance y frecuencia de las actividades de supervisión dependen de los riesgos a controlar y del

grado de confianza que inspira a la dirección el proceso de control. La supervisión de los controles

internos puede realizarse mediante actividades continuas incorporadas a los procesos empresariales

y mediante evaluaciones separadas por parte de la dirección, de la función de auditoría interna o de

personas independientes. Las actividades de supervisión continua destinadas a comprobar la

eficacia de los controles internos incluyen las actividades periódicas de dirección y supervisión,

comparaciones, conciliaciones, y otras acciones de rutina. 

Luego del análisis de cada uno de los componentes, podemos sintetizar que éstos, vinculados entre

sí:

AUDITORIA III 2012

Generan una sinergia y forman un sistema integrado que responde de una manera dinámica a

las circunstancias cambiantes del entorno. 

Son influidos e influyen en los métodos y estilos de dirección aplicables en las empresas e

inciden directamente en el sistema de gestión, teniendo como premisa que el hombre es el

activo más importante de toda organización y necesita tener una participación más activa en el

proceso de dirección y sentirse parte integrante del Sistema de Control Interno que se aplique.

Están entrelazados con las actividades operativas de la entidad coadyuvando a la eficiencia y

eficacia de las mismas.

Permiten mantener el control sobre todas las actividades.

Su funcionamiento eficaz proporciona un grado de seguridad razonable de que una o más de las

categorías de objetivos establecidas van a cumplirse. Por consiguiente, estos componentes

también son criterios para determinar si el control interno es eficaz.

Marcan una diferencia con el enfoque tradicional de control interno dirigido al área financiera. 

Coadyuvan al cumplimiento de los objetivos organizacionales en sentido general.

RIESGOS DE AUDITORÍA 1

Un riesgo de auditoría es aquel  que existe  en todo momento por lo cual genera la posibilidad de

que un auditor emita una información  errada por el hecho de no haber detectado errores o faltas

significativas que podría modificar  por completo la opinión dada en un informe.

La posibilidad de existencia de errores puede presentarse en distintos niveles, por lo tanto se debe

analizar de la forma más apropiada para observar  la implicación de cada nivel sobre las auditorias

que  vayan a ser realizadas.

Son distintos las situaciones o hechos que conllevan a trabajar de diferentes formas y que permiten

determinar el nivel de riesgo por cada situación en particular.

El riesgo global de Auditoría es el conjunto de:

Aspectos Aplicables exclusivamente al negocio o actividad del ente (Riesgo Inherente)

Aspectos atribuibles a los sistemas de control, incluyendo auditoría interna (Riesgo de

control)

Aspectos originados en la naturaleza, alcance y oportunidad de los procedimientos de

auditoría de un trabajo en particular (Riesgo de detección)

FACTORES DETERMINANTES DEL RIESGO

Factores cualitativos:

AUDITORIA III 2012

Efectividad de los controles internos vigentes (existencia de puntos débiles en el sistema

de control interno).

Complejidad de los procedimientos contables.

Características del negocio: tipos de operaciones y naturaleza de los productos y servicios.

Coyuntura económica general.

Naturaleza de la partida analizada.

Organización del ente a auditar.

Cantidad y calidad del personal.

Integridad de la gerencia.

Cambios en los procedimientos contables.

Conocimiento del cliente (auditoria recurrente o nueva auditoría).

Factores cuantitativos:

Significatividad o importancia relativa de la partida a auditar respecto del conjunto de los

estados contables.

Volumen de transacciones realizadas por la entidad a auditar.

TIPOS DE RIESGOS

Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de Control

Interno, en los cuales se asumen tres tipos de Riesgo:

Riesgo inherente: Este tipo de riesgo tiene ver exclusivamente con la actividad económica

o negocio de la empresa, independientemente de los sistemas de control interno que allí se

estén aplicando.

Si se trata de una auditoría financiera es la susceptibilidad de los estados financieros a la

existencia de errores significativos; este tipo de riesgo está fuera del control de un auditor

por lo que difícilmente  se puede determinar o tomar decisiones para desaparecer el riesgo

ya que es algo innato de la actividad realizada por  la empresa.

Entre los factores que llevan a la existencia de este tipo de riesgos esta la naturaleza   de las

actividades económicas, como también la naturaleza de volumen tanto de transacciones

como de productos y/o servicios, además tiene relevancia la parte gerencial y la calidad de

recurso humano con que cuenta la entidad.

AUDITORIA III 2012

Por ejemplo, en una empresa de alta tecnología el riesgo inherente de la afirmación

“realización de los inventarios de existencia”, será mayor que el nivel de riesgo que se

determine en la revisión de una auditoría para una empresa productora de bienes con

tecnología estándar. Esto es así por el riesgo implícito de obsolescencia que es relevante

para este tipo de industrias.

El riesgo inherente está totalmente fuera de control por parte del auditor. Difícilmente se

puedan tomar acciones que tiendan a eliminarlo, porque es propia de la operatoria del ente.

Riesgo de control: Aquí influye de manera muy importante los sistemas de control interno

que estén implementados  en la empresa  y que en circunstancias lleguen a ser insuficientes

o inadecuados para la aplicación y  detección oportuna de irregularidades. Es por esto la

necesidad y  relevancia que una administración tenga en constante  revisión, verificación y

ajustes  los procesos de  control interno.

Cuando existen bajos niveles de riesgos de control es porque se están efectuando o están

implementados excelentes procedimientos para el buen desarrollo de los procesos de la

organización.

Entre los factores relevantes que determina este tipo de riesgo son los sistemas de

información, contabilidad y control.

Por ejemplo, dentro del componente de Ingresos por ventas y Cuentas a cobrar, distinto

será el nivel de riesgo de control de una empresa con un complejo sistema de verificación

de créditos a los clientes antes de continuar las operaciones de venta que el de otra que no

realiza estos controles y, por lo tanto, está más expuesta a que sus cuentas a cobrar puedan

ser consideradas incobrables.

Este tipo de riesgo también está fuera del control de los auditores. Aunque la existencia de

bajos niveles de riesgo de control, lo que implica la existencia de buenos procedimientos

en los sistemas de información, contabilidad y control puede ayudar a mitigar el nivel de

riesgo inherente evaluado en una etapa anterior.

2Riesgo de detección: Este tipo de riesgo está directamente relacionado con los

procedimientos de auditoría  por lo que se trata de la no detección de la existencia de erros

en el proceso realizado.

AUDITORIA III 2012

La Responsabilidad de llevar a cabo  una auditoria con procedimientos adecuados es total

responsabilidad del grupo auditor, es tan importante este riesgo que bien trabajado  contribuye a

debilitar el riesgo de control y el riesgo inherente de la compañía.

Es por esto  que un proceso de auditoría que contenga problemas de  detección muy seguramente 

en el momento en que no se analice la información de la forma  adecuada no va a contribuir a la

detección de riesgos inherentes y de control a que está expuesta la información del ente y además

se podría estar dando un dictamen incorrecto.

Por ejemplo, errores en la definición de una muestra en la circularización de saldos de proveedores,

o en la definición del período de análisis de pagos posteriores pueden implicar conclusiones

erróneas en cuanto a la validez de la integridad de las cuentas a pagar.

ADMINISTRACIÓN DE RIESGOS

El riesgo es una condición del mundo real en el cual hay una exposición a la adversidad,

conformada por una combinación de circunstancias del entorno, donde hay posibilidad de perdidas.

Por tal razón todas las empresas productoras de bienes o servicios se deben ocupar de estudios que

garanticen la identificación de Riesgos como elemento fundamental para garantizar la calidad del

servicio o del producto final.

TÉCNICAS DE PROCEDIMIENTOS PARA ADMINISTRAR RIESGOS

EVITAR RIESGOS: Un riesgo es evitado cuando en la organización no se acepta. Esta

técnica puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente

el negocio sería privado de muchas oportunidades de ganancia (por ejemplo: arriesgarse a

hacer una inversión) y probablemente no alcanzaría sus objetivos.

REDUCCIÓN DE RIESGOS: Los riegos pueden ser reducidos, por ejemplo con:

programas de seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas

con la asesoría de personas expertas.

CONSERVACIÓN DE RIESGOS: Es quizás el más común de los métodos para

enfrentar los riesgos, pues muchas veces una acción positiva no es transferirlo o reducir su

acción. Cada organización debe decidir cuales riegos se retienen, o se transfieren

basándose en su margen de contingencia, una pérdida puede ser un desastre financiero para

una organización siendo fácilmente sostenido por otra organización.

AUDITORIA III 2012

COMPARTIR RIESGOS: Cuando los riesgos son compartidos, la posibilidad de pérdida

es transferida del individuo al grupo.

DEFINICIÓN DE ADMINISTRACIÓN DE RIESGOS

La administración de riesgos es una aproximación científica del comportamiento de los riesgos,

anticipando posibles pérdidas accidentales con el diseño e implementación de procedimientos que

minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir.

Control de Riesgos

Técnica diseñada para minimizar los posibles costos causados por los riesgos a que esté expuesta la

organización, esta técnica abarca el rechazo de cualquier exposición a pérdida de una actividad

particular y la reducción del potencial de las posibles pérdidas. 2

MEDICIÓN Y EVALUACIÓN DEL RIESGO3

Al concebir los posibles Riesgos en la ejecución de los diferentes subprocesos de la Auditoría de

una organización interna o externa, debe efectuarse la evaluación de los mismos, con el fin de

conocer el Impacto, y el tratamiento que este requiere, así como la Probabilidad de Ocurrencia.

Ello nos daría la posibilidad de conocer anticipadamente la valoración y concebir planes que

coadyuven a la reducción de pérdidas, que en técnicas de auditoría, serían la extensión de pruebas

innecesarias, y gasto de tiempo invertido adicional, lo que implicaría el requerimiento de

tratamientos diferenciados, y por supuesto pérdidas financieras. Si se toman las medidas necesarias

para disminuir la ocurrencia, entonces estaríamos hablando de reducción de pérdidas en la

Auditoría. En este capitulo abordamos anteriormente la necesidad de evaluar los riesgos de control

contable, lo que ayudará al auditor efectuar una adecuada planeación.

Sería entonces preciso el diseño o implementación de un procedimiento interno que minimice el

impacto financiero que pueda ocurrir, el cual pudiera tratarse de excesos de gastos de: dietas de

alimentación, hospedaje, salarios, transportación, materiales de oficina, comunicación, y otros.

Es necesario entonces, luego de conocer los posibles riesgos, tener en cuenta:

a) Probabilidad de ocurrencia del Riesgo

b) Impacto ante la ocurrencia del Riesgo.

Para ello:

AUDITORIA III 2012

las probabilidades de ocurrencia deberán determinarse en:

a. Poco Frecuente (PF)

b. Moderado (M)

c. Frecuente (F)

Poco Frecuente: cuando el Riesgo ocurre sólo en circunstancias excepcionales.

Moderado: Puede ocurrir en algún momento.

Frecuente: Se espera que ocurra en la mayoría de las circunstancias.

El Impacto ante la ocurrencia sería considerado de:

a. Leve (L)

b. Moderado (M)

c. Grande (G)

Leve: Perjuicios tolerables. Baja pérdida financiera.

Moderado: Requiere de un tratamiento diferenciado: Pérdida financiera media.

Grande: Requiere tratamiento diferenciado. Alta pérdida financiera.

La evaluación del Riesgo sería de:

Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales, siguiendo los

procedimientos de rutina.

Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con Medidas de Control. Se deben

acometer acciones de reducción de daños y especificar las responsabilidades de su implantación y

supervisión.

Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de reducción de Impacto y

Probabilidad para atenuar la gravedad del riesgo. Se especificará el responsable y la fecha de

revisión sistemática.

Si quisiéramos evaluar el Impacto de los Riesgos en un subproceso, sólo tendríamos que analizar el

Diagnóstico efectuado.2

AUDITORIA III 2012

LOS EFECTOS DEL RIESGO DE AUDITORÍA SOBRE EL TRABAJO DEL AUDITOR

INDEPENDIENTE

En términos generales podemos decir que el nivel de riesgo de auditoría que un auditorenfrenta,

incide de forma directa sobre todas las fases del proceso de auditoría de estados financieros que

éste lleva a cabo; sin embargo de forma especialmente importante el riesgo de auditoría afecta el

diseño y ejecución de los procedimientos de auditoría que a continuación se detallan:

1. RESPUESTAS GLOBALES A LOS RIESGOS EVALUADOS: dependiendo del nivel de

riesgo deauditoría que un auditor enfrente, así serán las respuestas globales que éste definacon el

propósito de minimizar las posibilidades de emitir una opinión erróneaacerca de la razonabilidad de

los estados financieros sobre los cuales dictamina.

Bajo la suposición de que un auditor enfrenta un nivel alto de riesgo de auditoría,éste implementará

respuestas globales tales como: 1) designar personalexperimentado dentro de su equipo de trabajo

2. PRUEBAS DE CONTROL:el nivel de riesgo de auditoría es básico para la definición dela

naturaleza, extensión y oportunidad de los procedimientos de auditoría cuyoobjetivo es comprobar

la efectividad tanto del diseño como de la operación de lossistemas de control implementados por

la entidad auditada. Si suponemos que elauditor independiente enfrenta un nivel alto de riesgo de

auditoría, éste deberádiseñar diversos procedimientos de auditoría para comprobar lo adecuado

deldiseño y lo eficaz de la operación de los controles (esto implica probar un mismo control de

diversas formas tales como investigando con la administración de laentidad auditada, aplicando

procedimientos analíticos o ejecutando de nuevo losprocedimientos de control establecidos por la

administración), asimismo elauditor deberá también ampliar el tamaño de las muestras que utiliza

para la verificación de dichos controles y deberá extender la aplicación de los procedimientos de

auditoría a lo largo de todo el período auditado.

3. PRUEBAS SUSTANTIVAS: al igual que en los dos casos anteriores, el riesgo de

auditoríaafecta de forma directa la definición de la naturaleza, extensión y oportunidad delas

pruebas de carácter sustantivo, las cuales tienen por objeto determinar si lascifras de los estados

financieros están registradas, valuadas, presentan y reveladasde forma razonable de acuerdo con las

NIIF. En el caso de que el auditorindependiente haya determinado el nivel evaluado de riesgo de

auditoría comoalto, éste deberá utilizar diversos procedimientos para comprobar que el saldo deuna

partida de los estados financieros está razonablemente valuada y presentada.

AUDITORIA III 2012

PERFIL DEL AUDITOR4

EL AUDITOR

La auditoría se deriva del latín audiere, que significa oír y escuchar; por lo que:

El Auditor es el especialista que escucha, interpreta, revisa, analiza e informa los resultados, en una auditoría.

Rol del Auditor en la Sociedad.

La Auditoria es el proceso que efectúa un Auditor al examinar los Estados Financieros realizados

por una sociedad económica, con el propósito de emitir un juicio y/o una opinión profesional sobre

la realidad de dichos Estados Financieros y por la cual la describe en un documento formal

llamado Dictamen. El Auditor emitirá este documento con las demostraciones si una parte

importante de los Estados Financieros presenta errores de exposición no puede someterse a una

auditoria. En el caso de no existir limitaciones ni reservas a la razonabilidad general de los Estados

Financieros del cliente, se denomina un dictamen “limpio” o sin salvedades.

PERFIL ACADÉMICO PROFESIONAL DEL AUDITOR

CONCEPTO DE PERFIL PROFESIONAL:

Detalle de las características o rasgos que implican el modelo de profesional que se requiere, en base a necesidades; y que se enuncia a través de descripciones precisas y claras, sobre: las cualidades, habilidades, destrezas, capacidades, conocimientos, funciones y niveles de desarrollo que se espera alcanzar.

•Perfil básico: Cualidades fundamentales como personal(parte humana) de un profesional.

•Perfil Profesional: Características o rasgos, cualidades y nivel de desarrollo dentro de una profesión.

PERFIL DEL AUDITOR

AUDITORIA III 2012

Las características de un auditor constituyen uno de los tópicos de mayor importancia en el proceso de auditoria, ya que en él recae la responsabilidad de conceptualizarla, practicarla y lograr los resultados necesarios para proponer las medidas tendientes a elevar el desempeño de la organización.

La calidad y el nivel de ejecución de la auditoria dependen:

Del profesionalismo y sensibilidad del auditor Comprensión de las actividades de auditoria que va a realizar Implica una conjunción de conocimientos, habilidades, destrezas y experiencia necesarios

para realizar su trabajo con esmero y competencia.

CARACTERISTICAS DEL AUDITOR

Las características de un auditor constituyen uno de los temas de importancia en el proceso de

realizar una auditoría administrativa dentro de una empresa, ya que en el recae la responsabilidad

de practicarla y lograr los resultados necesarios para proponer las medidas necesarias para elevar el

desempeño de la organización que ha optado por este recurso.

De comunicación, persuasión y convencimiento.

De comunicar en las condiciones de ley.

De mediación y negociación.

Analíticas.

Creatividad y adaptación a nuevas situaciones.

Objetivo – Independiente.

Justo – Honesto.

Inteligente.

Astuto – Sagaz.

Planificador.

Prudente – Precavido.

Intuitivo.

Capaz de Identificar oportunamente cualquier fraude

Una de las características fundamentales que se debe considerar en un Auditor, es la experiencia

laboral y/o personal que tenga, ya que de eso depende en gran manera su trabajo a realizar.

La calidad y el nivel de realización de la auditoria dependen en gran manera del profesionalismo y

carácter del auditor, así como de su comprensión de las actividades que va a revisar; elementos que

involucran el vínculo de conocimientos, habilidades, destrezas y experiencia necesarios para que

realice su trabajo con cuidado y competencia.

AUDITORIA III 2012

En relación al conocimiento que debe tener el auditor, es conveniente que esta persona tenga una

preparación adecuada con los requerimientos que ésta exige, pues eso le permitirá relacionarse de

manera natural con los componentes de estudio que de una u otra manera se emplearán durante su

desarrollo. Es recomendable apreciar algunos de los siguientes niveles de formación:

Formación académica: Estudios a nivel técnico, licenciatura o posgrado en

administración, informática, ingeniería en sistemas, contabilidad, derecho, relaciones

internacionales, etc...

Formación complementaria: Instrucción en la materia obtenida a lo largo de su vida

profesional a través de conferencias, talleres, seminarios, foros o cursos.

Formación empírica: Conocimiento resultante de la implementación de auditorias en

diferentes instituciones, con o sin contar con un grado académico. Entre los conocimientos

idóneos del auditor para ayudar a la preparación y realización de la auditoría destacan:

Finanzas, Liderazgo, Costos, Sistemas y Procedimientos, Comercio Internacional, entre

otras.

FUNCIONES DEL AUDITOR5

Determinar la exactitud de los estados financieros confeccionados por la empresa.

Analizar la aplicación del principio de empresa en funcionamiento o solvencia de la

sociedad.

Determinar la existencia de fraude en la empresa.

Cumplimiento por parte de la sociedad de sus obligaciones legales.

Comprobar la actuación responsable de la sociedad en aspectos medioambientales y

sociales.

DESARROLLO DE HABILIDADES Y DESTREZAS DEL AUDITOR

AUDITORIA III 2012

1. Conocimientos

Un Auditor administrativo debe tener preparación acorde con los requerimientos que la auditoria le exige, pues eso le permitirá interactuar de manera natural con los mecanismos de estudio que se emplearán durante su desarrollo.

Atendiendo a tales necesidades, es recomendable apreciar los siguientes niveles de formación académica.

2. Habilidades y destrezas

En forma complementaria a su formación profesional, teórica, práctica se demanda del auditor otro tipo de cualidades:

Actitud positiva Estabilidad emocional Objetividad Sentido institucional Saber escuchar Creatividad Respeto a las ideas Mente analítica Conciencia de los valores propios y de su entorno Capacidad de negociación Imaginación, claridad de expresión verbal y escrita Capacidad de observación Iniciativa, discreción Facilidad para trabajar en equipo Comportamiento étic

3. Experiencia6

Una de las características fundamentales que se deben considerar en el auditor, es su experiencia personal, ya que de ello depende en gran medida el cuidado y diligencia profesional que empleará y la profundidad con que emitirá sus observaciones.

Por la naturaleza de la función a desempeñar, existen varios campos que tiene que dominar:

1) Conocimiento de las áreas sustantivas de la organización 2) Conocimiento de las áreas adjetivas de la organización 3) Conocimiento por esfuerzos anteriores (otras auditorias). 4) Conocimiento de casos prácticos (capacitación, taller)

AUDITORIA III 2012

5) Conocimiento derivado de otro tipo de estudios organizacionales para mejoramiento administrativo.

6) Conocimiento personal basado en elementos diversos (variedad de conocimientos en sistemas administrativos y otros producto de la experiencia). 2

Conocimiento de las áreas sustantivas de la organización

El dominio de este campo está referido a la experiencia que brinda el contacto día a día con las iniciativas o programas orientados a la producción de resultados, parte OPERATIVA O DE LÍNEA para la organización, de acuerdo con su objeto o atribuciones primordiales.

Conocimiento de las áreas adjetivas de la organización

La competencia en este rubro se deriva de la aplicación continua de las medidas de ORDEN ADMINISTRATIVO, TRAMITES giradas para el empleo puntual de los recursos humanos, materiales, financieros y tecnológicos como soporte a las área o proyectos sustantivos en la organización.

Conocimiento por esfuerzos anteriores

En entendimiento del proceso de aplicación de auditorias anteriores, como producto del conocimiento adquirido en experiencias, puede ser:

a. En la organización bajo estudio Condición que favorece significativamente, porque abre la posibilidad de capitalizar la experiencia adquirida en estudios análogos llevados a cabo previamente.

b. En otras instituciones Factores que permite establecer un marco de referencia basado en la experiencia que otorga el conocimiento de tareas similares realizadas en otras instituciones.

Conocimiento de casos prácticos

Percepción de la naturaleza, alcance y condiciones de las técnicas que se utilizan para auditar una organización, derivada de la capacitación o formación obtenida en los centros de trabajo o estudio, A TRAVES DE TALLERES

Conocimiento derivado de Estudios Organizacionales de otra naturaleza(Casos similares por analogía)

Apreciación de los requerimientos necesarios parainstrumentar una auditoria a partir de la práctica lograda en laparticipación en otro tipo de estudios de mejoramiento administrativo. Conocimiento personal basado en elementos diversos.

Dominio de áreas del conocimiento administrativo, métodos de trabajo, técnicas de estudio, influencia en la organización por posición jerárquica, respeto ,capacidad, interacción con el medio e interés de desarrollo, que proviene de:

b. Liderazgo formal Situación que hace posible la incorporación de experiencias de actuación originadas en el propios contexto.

AUDITORIA III 2012

c. Liderazgo informal Circunstancia basada en la capacidad para influir en el manejo de factoresreconocidos por los individuos y grupos de trabajo.

e. Inteligencia Atributo aceptado por la organización, el cual se considera un factor de peso enlos procesos de decisión.

g. Sentido común Facultad de percibir intuitivamente alternativas de solución a planteamientos específicos.

i.Interés en aprender Apertura al conocimiento que motiva a participar en la exploración de cómo llevara cabo, en términos positivos, una propuesta de estudio.

Responsabilidad profesional

El auditor debe realizar su trabajo utilizando toda su capacidad inteligencia y criterio para determinar el alcance, las estrategias y técnicas que habrá de aplicar en una auditoria y cómo evaluar los resultados y presentar los informes correspondientes. Para este efecto, debe de poner especial cuidado en:

Preservar su independencia mental (Independencia de criterio)

Realizar su trabajo sobre la base de conocimiento y capacidad profesional adquiridos. (Con ética)

Cumplir con las normas o también es necesario que se mantenga libre de impedimentos que resten credibilidad a sus juicios, porque debe preservar su autonomía de imparcialidad al realizar una auditoria. Esto garantizará el valor y consistencia necesarios a su participación.

CUESTIONARIO DE EXPOSICION DE AUDITORIAGRUPO # 1

1. Nombre los tipos de riesgo que existen en la Auditoria?

AUDITORIA III 2012

1. ___________________________________________2. ___________________________________________3. ___________________________________________

2. Que es Riesgo Inherente?______________________________________________________________________________________________________

3. En que se basa el Riesgo de Control?______________________________________________________________________________________________________

4. De la siguiente lista subraye 3 factores cualitativos de Riesgo.

Coyuntura económica general. Integridad de la gerencia. Cambios en los procedimientos contables. Significatividad o importancia relativa de la partida a auditar respecto del conjunto de los

estados contables. Naturaleza de la partida analizada. Volumen de transacciones realizadas por la entidad a auditar. Cantidad y calidad del personal. Organización del ente a auditar.

5. Qué se entiende por perfil del auditor?__________________________________________________________________________________________________________________

6. Indique 3características del auditor.1.- __________________________________________________ 2.- __________________________________________________3.- __________________________________________________

7.La palabra auditoria proviene de:________________________y significa ________________________________________________

AUDITORIA III 2012

El Código de Ética abarca mucho, llegando a incluir dos componentes esenciales:

1. Principios que son relevantes para la profesión y práctica de la auditoría interna.

2. Reglas de Conducta que describen las normas de comportamiento que se espera sean observadas

por los auditores internos. Estas reglas son una ayuda para interpretar los Principios en aplicaciones

prácticas. Su intención es guiar la conducta ética de los auditores.

APLICACIÓN Y CUMPLIMIENTO

PRINCIPIOS

Se espera que los auditores apliquen y cumplan los siguientes principios:

1. Integridad

AUDITORIA III 2012

La integridad de los auditores establece confianza y, consiguientemente, provee la base para

confiar en su juicio.

2. Objetividad

Los auditores exhiben el más alto nivel de objetividad profesional al reunir, evaluar y comunicar

información sobre la actividad o proceso a ser examinado. Los auditores hacen una evaluación

equilibrada de todas las circunstancias relevantes y forman sus juicios sin dejarse influir

indebidamente por sus propios intereses o por otras personas

REGLAS DE CONDUCTA

1. Integridad

Los auditores internos:

1.1. Desempeñarán su trabajo con honestidad, diligencia y responsabilidad.

1.2. Respetarán las leyes y divulgarán lo que corresponda de acuerdo con la ley y la profesión.

1.3. No participarán a sabiendas en una actividad ilegal o de actos que vayan en detrimento de la

profesión de auditoría interna o de la organización.

1.4. Respetarán y contribuirán a los objetivos legítimos y éticos de la organización.

2. Objetividad

2.1 No participarán en ninguna actividad o relación que pueda perjudicar o aparente perjudicar su

evaluación imparcial. Esta participación incluye aquellas actividades o relaciones que puedan estar

en conflicto con los intereses de la organización.

2.2 No aceptarán nada que pueda perjudicar o aparente perjudicar su juicio profesional.

2.3 Divulgarán todos los hechos materiales que conozcan y que, de no ser divulgados, pudieran

distorsionar el informe de las actividades sometidas a revisión.

3. Confidencialidad

3.1 Serán prudentes en el uso y protección de la información adquirida en el transcurso de su

trabajo.

3.2 No utilizarán información para lucro personal o que de alguna manera fuera contraria a la ley o

en detrimento de los objetivos legítimos y éticos de la organización.

4. Competencia

Los auditores internos:

4.1 Participarán sólo en aquellos servicios para los cuales tengan los suficientes conocimientos,

aptitudes y experiencia.

AUDITORIA III 2012

4.2 Desempeñarán todos los servicios de auditoría interna de acuerdo con las Normas para la

Práctica Profesional de Auditoría Interna.

4.3 Mejorarán continuamente sus habilidades y la efectividad y calidad de sus servicios.

NIA 240

Fraude y Error

"El fraude es el delito más creativo: requiere de las mentes más agudas y podemos decir que es

prácticamente imposible de evitar. En el momento en que se descubre el remedio, alguien inventa

algo nuevo"

Esta norma define el fraude y el error e indica que la responsabilidad de la prevención de los

mismos radica en la administración.

RESPONSABILIDAD DE LA GERENCIA:

La responsabilidad por la prevención y detección de fraude y error descansa en la gerencia que

debe implementar y mantener sistemas de contabilidad adecuados.

RESPONSABILIDAD DEL AUDITOR:

El auditor no es y no puede ser responsable de la prevención del fraude o error, sin embargo, el

hecho de que se lleve a cabo una auditoria anual, puede servir para contrarrestar fraudes o errores.

EVALUACIÓN DEL RIESGO:

AUDITORIA III 2012

Al planear la auditoria, el auditor debería evaluar el riesgo de distorsión material que el fraude o

error pueda producir en los estados financieros, y debería indagar ante la gerencia si existe fraudes

o errores significativos que hayan sido descubiertos.

DETECCIÓN:

Basado en la evaluación del riesgo el auditor debería diseñar procedimientos de auditoría para

obtener seguridad razonable que sea detectada las distorsiones producidas por fraude o error

material en los EE.FF.

El Fraude

Definición.- Podemos afirmar que es un engaño hacia un tercero, abuso de confianza, dolo,

simulación, etc. El término "fraude" se refiere al acto intencional de la Administración, personal o

terceros, que da como resultado una representación equivocada de los estados financieros,

pudiendo implicar:

Manipulación, falsificación o alteración de registros o documentos.

Malversación de activos

Supresión u omisión de los efectos de ciertas transacciones en los registros o documentos.

Registro de transacciones sin sustancia o respaldo

Mala aplicación de políticas contables.

TIPOS DE FRAUDE:

Se considera que hay dos tipos de fraudes: el primero de ellos se realiza con la intención financiera

clara de malversación de activos de la empresa.

El segundo tipo de fraude, es la presentación de información financiera fraudulenta como acto

intencionado encaminado a alterar las cuentas anuales.

Los fraudes denominados internos son aquellos organizados por una o varias personas

dentro de una institución, con el fin de obtener un beneficio propio.

Los fraudes conocidos como externos son aquellos que se efectúan por una o varias

personas para obtener un beneficio, utilizando fuentes externas como son: bancos, clientes,

proveedores, etc.

¿Por Que Hay Fraudes?

AUDITORIA III 2012

Se considera que hay fraudes por:

Falta de controles adecuados.

Poco y mal capacitado personal.

Baja / alta rotación de puestos.

Documentación confusa.

Salarios bajos.

Existencia de activos de fácil conversión: bonos, pagares, etc.

Legislación deficiente.

Actividades incompatibles entre sí.

Como se evita un fraude:

La respuesta más sencilla es la de mejorar el control administrativo, implementar practicas y

políticas de control, analizar los riesgos que motiven a un fraude, tener la mejor gente posible, bien

remunerada y motivada.

Como se detecta un fraude:

Existe una infinidad de respuestas a esta pregunta las más comunes son:

Observar, probar o revisar los riesgos específicos de control, identificar los mas

importantes y vigilar constantemente su adecuada administración.

Simular operaciones.

Revisar constantemente las conciliaciones de saldos con bancos, clientes, etc.

Llevar a cabo pruebas de cumplimiento de la eficacia de los controles.

Clasificación del fraude

El fraude puede ser calificado como "un engaño deliberadamente planeado y ejecutado con el

objetivo de privar a otro de su propiedad o derechos". Según Bleger, existen tres tipos de fraude

que pueden ocurrir en cualquier empresa, sin importar su tamaño.

Malversación de activos o fondos: corresponde al robo o uso indebido de recursos de la

compañía, como dinero y bienes.

Informes financieros fraudulentos: implica la modificación o alteración de los estados

contables de una compañía.

AUDITORIA III 2012

Corrupción: implica una colusión entre, por ejemplo, el empleado y un proveedor o entre

el empleado y un cliente, en la cual el defraudador usa indebidamente su influencia en una

transacción comercial con el propósito de obtener un beneficio para él o para un tercero.

PREVENCION DE FRAUDE

El experto plantea algunas medidas que puede adoptar el empresario para protegerse e intentar

prevenir en fraude al interior de las empresas. Estos mecanismos pueden ser aplicados tanto en

grandes como en pequeñas empresas:

Realizar un monitoreo constante, lo que implica realizar controles dentro de la

organización.

Segregar funciones. Una técnica que está siendo usada actualmente es rotar al personal

dentro de cada área de la compañía, con el fin de evitar la colusión entre trabajadores de la

organización

Dar el ejemplo de un comportamiento honesto y ético desde lo más alto de la organización,

partiendo por el dueño o empresario.

Crear un código de ética y aplicarlo al interior de la empresa.

Respecto a los socios, es recomendable que se controlen mutuamente y establezcan en la

escritura de constitución de sociedad o en los estatutos de la misma ciertos compromisos,

por ejemplo, que se requiera la firma de ambos en los cheques.

Qué se está haciendo hoy en día para prevenir fraudes?

Desarrollo e implementación de un código de ética

Desarrollo e implementación de una política formal “Anti-fraudes”

Desarrollo y/o implementado políticas y procedimientos relacionados con el fraude en

áreas claves

- Recursos humanos

- Tesorería

- Informatica

- Finanzas

- Compras

FACTORE QUE PUEDEN CONTRIBUIR A QUE SE SUSCITE UN FRAUDE

Un control interno débil

La gerencia no enfatiza el rol de una estructura de control interno solido.

La gerencia no tiene una definición clara con respecto a los conflictos de interés.

AUDITORIA III 2012

Los altos ejecutivos no son prudentes en gastos de representación

El codigo de ética existe en la empres, pero solamente en papel.

Las instancias de fraude no son respondidas con la celeridad consistencia y equidad

INDICADORES DE FRAUDE O “Focos rojos”

Moral bajo o resentimientos

Incongruencias entre el estándar de vida de un empleado y su nivel de remuneración o

cambios súbitos en dicho estándar

Empleados que no toman vacaciones

Relaciones estrechas o poco profesionales con clientes o proveedores

Deudas excesivas o pérdidas financieras

Empleado con un historial profesional inconsistente

Gerencia dominante o “Liderazgo por intimidación”

Estos son algunos ejemplos de fraudes:

AUDITORIA III 2012

1. Ventas y Servicios no contabilizados depositándose a cuentas bancarias personales.

2. Ventas y Servicios no declarados en impuestos.

3. Créditos recuperados no contabilizados.

4. Pagos autorizados a empresas y bienes no ingresados físicamente, estando únicamente

registrados.

5. Pago de sueldos a personal que no labora.

6. Sueldos pagados a jubilados o personas inexistentes.

7. Cuentas por Cobrar en cheques rechazados.

8. Cuentas por cobrar no liquidadas oportunamente

9. Faltantes sin recuperación oportuna, haciendo caso omiso la administración.

10. Ingresos no registrados y pago menor de impuestos.

11. Alteración en facturas y registros contables.

12. Anulación de facturas cobradas.

13. Facturas no autorizadas por entes fiscalizadores.

14. Una persona realiza varias funciones de control y registro cobrando cheques a su nombre.

15. Pasivos registrados sin documentación soporte.

16. Falta de normas internas que castiguen fraudes.

17. Cheques endosados más de una vez.

18. Inventarios registrados sin documentación soporte.

19. Transacciones inusuales a fin de año, ejecutando el gasto y no Recibiendo el bien o servicio.

20. Servicios recibidos en informes y que al ser evaluados no existe el servicio.

AUDITORIA III 2012

21. Doble facturación.

22. Doble contabilidad, financiera y fiscal.

23. Pérdida de libro de inventarios para ocultar faltantes de bienes.

24. Clientes y Proveedores sin cumplir requisitos de calidad del bien o servicio y autorizados por la

Gerencia para su pago.

25. Activos fijos sin tarjetas de kárdex bajo responsabilidad de personas que las usan, perdiéndose

el activo.

26. Destrucción de documentos legales.

27. Ajustes contables a final de año sin contar con documentación soporte, para ocultar ganancias.

28. Ocultamiento contable en sub cuentas de gastos ficticios, pérdidas del ejercicio y ganancias.

29. Transacciones autorizadas por gerencia, sin conocimiento de propietarios.

30. Mermas ficticias en inventarios.

31. Traslado de facturas para ocultar ingresos y evadir impuestos entre empresas relacionadas de

socios.

32. Sobrevaloración de servicios y bienes.

33. Gastos personales pagados con fondos de la empresa.

34. Contratación de empresas que a su vez sub contratan a otras para prestar el servicio o bien.

35. Bienes trasladados a agencias o unidades internas que se registran dos veces en control de

salida y realmente aparece registrado en la unidad únicamente una vez su ingreso.

36. Gastos pagados en teléfono, usándose para otros fines las llamadas.

37. Bienes o servicios pagados, que usualmente no son recibidos.

PREGUNTAS

AUDITORIA III 2012

1. ¿QUE ES FRAUDE?

El fraude es el delito más creativo: requiere de las mentes más agudas y podemos decir que es

prácticamente imposible de evitar. En el momento en que se descubre el remedio, alguien

inventa algo nuevo

2. ¿ENUMERE LOS PRINCIPIOS DEL AUDITOR?

- Integridad

- Objetividad

- Confidencialidad

- Competencia

3. ¿ESCRIBA LOS TIPOS DE FRAUDE?

- Los fraudes denominados internos

- Los fraudes conocidos como externos

4. ¿EN QUE CONSISTE EL FRAUDE INTERNO?

Corresponde al robo o uso indebido de recursos de la compañía, como dinero y bienes.

5. ¿EXPLIQUE EL FRAUDE EXTERNO?

Implica la modificación o alteración de los estados contables de una compañía.

6. ¿ENUMERE ALGUNAS FORMAS D EPREVENIR UN FRAUDE?

- Realizar un monitoreo constante, lo que implica realizar controles dentro de la

organización.

- Segregar funciones. Una técnica que está siendo usada actualmente es rotar al personal

dentro de cada área de la compañía, con el fin de evitar la colusión entre trabajadores

de la organización

- Dar el ejemplo de un comportamiento honesto y ético desde lo más alto de la

organización, partiendo por el dueño o empresario.

Crear un código de ética y aplicarlo al interior de la empresa.

- Respecto a los socios, es recomendable que se controlen mutuamente y establezcan en

la escritura de constitución de sociedad o en los estatutos de la misma ciertos

compromisos, por ejemplo, que se requiera la firma de ambos en los cheques.

7. ¿ESCRIBA ALGUNOS INDICADORES DE UN FRAUDE?

- Moral bajo o resentimientos

AUDITORIA III 2012

- Incongruencias entre el estándar de vida de un empleado y su nivel de remuneración o

cambios súbitos en dicho estándar

- Empleados que no toman vacaciones

- Relaciones estrechas o poco profesionales con clientes o proveedores

- Deudas excesivas o pérdidas financieras

- Empleado con un historial profesional inconsistente

- Gerencia dominante o “Liderazgo por intimidación”

8. ¿EN QUIEN RECAE LA RESPONSABILIDAD DE LA PREVENCION DE UN

FRAUDE?

La prevención del fraude es responsabilidad de la gerencia

9. ¿EN QUE CONSISTE LA OBJETIVIDAD DEL AUDITOR?

Consiste más alto nivel de objetividad profesional al reunir, evaluar y comunicar información

sobre la actividad o proceso a ser examinado. Los auditores hacen una evaluación equilibrada

de todas las circunstancias relevantes y forman sus juicios sin dejarse influir indebidamente por

sus propios intereses o por otras personas.

10. ¿ENUMERE ALGUNOS EJEMPLOS DE FRAUDE?

1. Ventas y Servicios no contabilizados depositándose a cuentas bancarias personales.

2. Ventas y Servicios no declarados en impuestos.

3. Créditos recuperados no contabilizados.

4. Pagos autorizados a empresas y bienes no ingresados físicamente, estando únicamente

registrados.

5. Pago de sueldos a personal que no labora.

MÉTODOS DE FRAUDE

Método: Proceso o camino sistemático establecido para realizar una tarea o trabajo con el fin de alcanzar un objetivo predeterminado.

AUDITORIA III 2012

Fraude: Del latín fraus, un fraude es una acción que resulta contraria a la verdad y a la rectitud. El fraude se comete en perjuicio contra otra persona o contra una organización (como el Estado o una empresa).

Por lo tanto los métodos de fraudes son aquellos pasos que se realizan con la finalidad de cometer una acción prejuiciosa en contra de una persona o empresa es todo lo contrario a la verdad y rectitud.

MÉTODOS DE FRAUDE EN PEQUEÑOS NEGOCIOS

Lo siguiente provee pautas para dueños de pequeños negocios donde enfocar el esfuerzo por la detección del fraude.

El método más común de fraude fue la adulteración o apropiación indebida de cheques de la compañía, que ocurre normalmente cuando el mismo individuo tiene acceso a la chequera de la compañía, la responsabilidad por la registración de los pagos, y/o la conciliación de los extractos bancarios. Esta situación es común en pequeños negocios donde la limitación en el número de personal que se emplea hace difícil una adecuada segregación de funciones.

El dueño de un pequeño negocio puede tomar las siguientes acciones para contrarrestar la falta de una adecuada segregación de funciones en el uso y control de los cheques de la compañía. Firmar personalmente todos los cheques, y/o obtener copias cerradas de los extractos bancarios en su domicilio particular (esto se puede obtener también por internet), de modo tal de permitirle una revisión independiente de los movimientos, depósitos, desembolsos o pagos y una comparación de estos movimientos con los libros y registros de la compañía. ¿Cómo se descubre el fraude? 

El método más común de detección del fraude fue a través de una denuncia anónima, seguido del descubrimiento accidental del hecho. Los mecanismos de reporte de denuncias anónimas resultan altamente efectivos en un programa anti-fraude. Desafortunadamente la mayoría de las organizaciones en el estudio realizado carecían de dicho mecanismo al momento de la ocurrencia del fraude. Es importante recordar que el establecimiento de este tipo de mecanismos del tipo “hotlines” no es el único medio para incentivar las denuncias. Existen factores que deben tenerse en cuenta y considerarse para que el mecanismo sea efectivo.

Las organizaciones deben realizar programas de capacitación anti-fraude para educar a los empleados en la habilidad de detección o reconocimiento cuando ocurre el hecho, y cómo reportar dicha conducta. Un mensaje de no tolerancia al fraude desde la cima de la organización es fundamental en el éxito de cualquier campaña o programa de control que se quiera implementar. En relación a los medios con que el fraude fue descubierto, la detección accidental sucedió de manera más común o frecuente, que la detección por medio de la auditoría interna, auditoría externa o los controles internos de la organización. Lo mencionado sugiere que las

AUDITORIA III 2012

organizaciones deben hacer mejor su tarea de diseñar controles efectivos y asumir una actitud más pro-activa en la detección del fraude.

Las denuncias anónimas fueron las más efectivas en la detección del fraude, y dos de cada tres denuncias se recibieron de empleados de la organización. El resto de las denuncias se recibieron de partes externas, como ser clientes y proveedores, por lo que es importante que la implementación de un canal de denuncias en la organización alcance y sea conocida por las partes externas también. 

DETECCIÓN DE FRAUDES COMETIDOS POR DUEÑOS DE PEQUEÑOS NEGOCIOS O EJECUTIVOS

La detección de fraudes cometidos por dueños o ejecutivos presenta problemas singulares, debido al cargo o posición de autoridad que estas personas ocupan dentro de la organización, lo que les permite saltar o evitar los controles internos que normalmente se aplican para las demás personas en la compañía. Los controles anti-fraude tradicionales resultan poco efectivos aquí. Los datos del estudio muestran que casi la mitad de los casos detectados se debieron a denuncias anónimas.

DETECCIÓN DE FRAUDES EN PEQUEÑOS NEGOCIOS

Los fraudes en pequeños negocios (aquellos con menos de 100 empleados) fueron menos susceptibles de ser detectados por denuncias anónimas, como primer método de detección, en relación con los fraudes estudiados en general.

En el estudio también se analizaron las medidas anti-fraude implementadas en las organizaciones que sufrieron fraudes, con el fin de identificar los mecanismos que resultaron más efectivos en la detección de los hechos.

Los cinco mecanismos anti-fraude más reportados fueron:

Canal de denuncias anónimas o “hotline”; Un programa de capacitación sobre el fraude y ética para empleados y gerentes; Existencia de un departamento de auditoría interna o departamento de investigación de

fraudes; Auditorías sorpresivas de manera regular; y Ejecución de auditorías externas (cuando son obligatorias en el tipo de organización).

La medida más común utilizada por aquellas organizaciones que sufrieron fraude fue la utilización de auditorías externas, en un porcentaje del 75%. Luego, la auditoría interna, en un porcentaje del 59%. La capacitación sobre el fraude y la existencia de un canal de denuncias anónimas fueron utilizadas por menos de la mitad de las organizaciones que sufrieron fraudes, y las auditorías sorpresivas por solamente el 29% de las organizaciones.

Es evidente la discrepancia entre la frecuencia de utilización de ciertas medidas anti-fraude y la efectividad de las distintas medidas anteriormente mencionadas. Por ejemplo, el método más

AUDITORIA III 2012

común de detección del fraude dijimos que era a través de un canal de denuncias anónimas, no obstante este medio conocido también como “hotline” se posiciona cuarto en importancia en términos de su utilización, utilizado por menos de la mitad de las organizaciones estudiadas.

Por otro lado, las auditorías externas fueron los mecanismos de detección más reportados en cuanto a utilización para la detección del fraude, no obstante, su efectividad real se encuentra posicionada como quinta y última en la lista de medidas anti-fraude estudiadas.

PERFIL DE QUIEN COMETE FRAUDE

En general, podemos definir los perfiles dentro de la organización de quien comete fraude según la siguiente clasificación:

Empleado; Gerente; y Dueño/Ejecutivo.

La mayoría de quienes cometieron fraudes eran empleados (41.2%) o gerentes (39.5%). Los dueños/ejecutivos tuvieron una incidencia de menos del 20%, aunque las pérdidas que causaron fueron las más significativas.

La pérdida media de un fraude cometido por un dueño/ejecutivo fue de $1 millón de dólares. Casi cinco veces el monto medio de la pérdida cometida por un gerente, y casi 13 veces en importancia, en relación con la pérdida media cometida por un empleado.

También existe una relación directa entre la antigüedad en el empleo y la importancia o tamaño de la pérdida. Los empleados que han permanecido en la organización víctima del fraude por 10 o más años causaron pérdidas medias de $263,000 dólares, y aquellos empleados con una antigüedad de un año o menos, causaron pérdidas medias por $45,000 dólares. A mayor permanencia dentro de la organización, mayor sería el avance en la estructura hasta alcanzar niveles de autoridad, y por ende, la importancia del monto de la pérdida por fraude. No obstante esto, los factores más críticos en la ocurrencia del fraude son la confianza y oportunidad que normalmente acompañan la antigüedad en el puesto.

Los empleados con mayor antigüedad logran mayor confianza de sus empleadores. También están más familiarizados con las operaciones y controles de la organización, incluyendo los puntos vulnerables del control. Lo mencionado, no necesariamente quiere decir que este grupo vaya a cometer fraude aunque si se lo propusiera contaría con mejores elementos o conocimientos dentro de la organización para cometer fraude, en relación con los empleados más nuevos.

Por otro lado, la pérdida media causada por los hombres fue de $250,000 dólares, más del doble del monto de pérdida media causada por mujeres. La incidencia de los casos de fraude en el estudio producidos por hombres fue del 61%. Una interpretación de esto podría ser que, entre otras explicaciones posibles, los hombres tienden a ocupar más puestos gerenciales y ejecutivos dentro de las organizaciones.

AUDITORIA III 2012

PREVENCIÓN, DETECCIÓN Y REPORTE DEL FRAUDE

Los auditores pueden tomar numerosos pasos para combatir el fraude, muchos de los cuales están listados en la “lista de control para la prevención del fraude”.

Las necesidades y las circunstancias específicas de cada organización individual típicamente determinará qué medidas serán de mayor beneficio y llevarán a lograr los resultados más efectivos. Siete pasos en particular, sin embargo, pueden ser de valor casi para cualquier organización, sin importar su tamaño, industria o ubicación. Estas medidas proactivas pueden servir como una parte integrante del régimen de prevención, detección y reporte del fraude del departamento de auditoria.

REALIZAR CHEQUEOS AMBIENTALES DE LOS EMPLEADOS

Una de las claves para mitigar la actividad fraudulenta es asegurar que la organización está compuesta de empleados de alta moral y ética. Realizando chequeos de referencia a los empleados, las organizaciones pueden ayudar a minimizar las amenazas de robos y otras conductas fraudulentas. Un empleado con historia de perpetración de fraude puede moverse de una organización a otra, dejando detrás de sí una pista de inconductas y abusos. Empleados deshonestos pueden defraudar a una organización inadvertida por decenas de miles de dólares y cambiarse a un nuevo trabajo antes que su fraude sea descubierto. Cuando las referencias de los empleados no son chequeadas, los malhechores pueden deslizarse en un proceso de selección. Antes de contratar a un empleado nuevo, las organizaciones no deberían confiar en listas de teléfonos de previos empleadores provistas por ellos mismos, ya que podrían ser falsas. En cambio, deberían ser obtenidos en forma independiente. Además, las credenciales profesionales deben ser chequeadas y los títulos académicos confirmados.

Los empleadores también deben considerar realizar un segundo chequeo de referencias a los seis meses de comenzado su trabajo en la organización. La razón por la cual se hubiera despedido a un empleado de un trabajo reciente, pudo no haber tenido tiempo de convertirse en parte de sus antecedentes durante la búsqueda inicial.

Por último, los empleadores deben realizar un chequeo ambiental y criminal que permita identificar cualquier acto criminal u ofensa llevadas a cabo por el individuo. Cualquier información obtenida de la investigación permite al empleador formular preguntas directamente al candidato para obtener una evaluación completa y adecuada antes de tomar una decisión.

Los auditores pueden resultar de gran ayuda con respecto a los chequeos ambientales y otras investigaciones. Como se explica en la Ley de Créditos…” siguiente, las organizaciones pueden asegurar su cumplimiento con los requerimientos legales empleando los servicios de un auditor interno en lugar de contratar a alguien de afuera.

INCREMENTAR EL USO DE REVISIONES ANALITICAS

El fraude puede afectar los estados financieros en sus tendencias e indicadores, y las cuentas que son manipuladas para ocultar fraudes pueden manifestar relaciones inusuales con otras cuentas que no han sido manipuladas. Más aún, los delincuentes pueden estar comprometidos sólo

AUDITORIA III 2012

esporádicamente en actividades fraudulentas, creando patrones erráticos en saldos de cuentas periódicamente. A través de un análisis financiero, los auditores internos pueden revelar relaciones inesperadas o la ausencia de relaciones que debieron estar presentes. Los auditores deberían considerar el analizar unos cuantos años de información de los estados financieros para obtener un panorama claro del impacto de cualquier esquema de fraude. Varias técnicas de revisión analítica pueden ser utilizadas, incluyendo el análisis de tendencias (horizontal), análisis de indicadores (vertical), o estados similares, comparaciones presupuestarias, comparaciones con promedios de la industria, y revisiones de los sistemas contables y sus registros de entrada. Cualquier ítem inusual que se encuentre debe ser analizado para determinar si el fraude pudo o no ser la causa de la aberración.

REALIZAR REVISIONES DE LOS CONTRATOS

Revisar los contratos y acuerdos de la compañía puede ayudar a identificar posibles fraudes contractuales, incluyendo coimas, sobornos, o conflictos de intereses entre los empleados de la organización. Los fraudes en los contratos pueden ocurrir cuando un proveedor toma fraudulentamente ventajas de un contrato para tener ganancias ilegales. También puede involucrar una conspiración entre personal de la entidad y un proveedor, o entre dos o más proveedores. Los auditores pueden investigar fraudes en los contratos a través de la búsqueda de patrones inusuales en los registros o la actividad contractual. Un potencial signo de fraude, por ejemplo, podría ser un contratista que rutinariamente oferta último, o licita más bajo, u obtiene la recompensa contractual. Los contratos también pueden ser revisados para detectar evidencias de proveedores que siempre consiguen los contratos sin una legítima razón – la revisión puede revelar que las coimas o sobornos están motivando las adjudicaciones. Además, una revisión de los registros públicos puede revelar si un empleado tiene algún interés encubierto con un contratista.

CONDUCIR UN ANALISIS ECONOMICO DE LAS AMENAZAS DE ESPIONAJE

Para proteger su información sensible, las organizaciones deberían llevar a cabo un análisis que convierta las amenazas en activos intelectuales. El análisis debe incluir una evaluación de los activos que se poseen y cómo podrían ser objeto de fraude. Para las entidades involucradas con e-commerce (comercio electrónico), servicios o campos orientados a la tecnología, el análisis de amenazas también debe incluir una evaluación de la exposición al espionaje económico, que involucra el robo, el mal uso, o el abuso de los secretos comerciales y de la información confidencial del negocio (activos fuera de Balance). La ley americana sobre los Secretos Comerciales define un secreto comercial como “aquella información, incluyendo una fórmula, modelo, compilación, programa, dispositivo, método, técnica, o proceso, que (i) genera un valor económico independiente, real o potencial, el cual es preservado de que no sea divulgado, y de que no pueda ser fácilmente descubierto por otras personas que puedan obtener un valor económico por su revelación o uso, y (ii) está sujeta a esfuerzos razonables para mantenerla en secreto”. Son ejemplos de secretos comerciales la información sobre ventas y marketing, información sobre el desarrollo de productos, listas de clientes, y planes estratégicos de negocio. Los pasos claves para proteger los secretos comerciales son, primero, identificar los conocimientos de la compañía que pueden constituir un secreto comercial, y luego implementar los pasos necesarios para asegurar que esta información sea guardada confidencialmente.

INCREMENTAR LAS EVALUACIONES Y TESTEOS DE CONTROLES INTERNOS

AUDITORIA III 2012

Muchos ejemplos de fraudes de alto perfil han sido, al menos en parte, resultado de debilidades en los sistemas de control interno. En algunos casos, los controles necesarios no existían; en otros, los controles estaban anulados, frecuentemente por la alta gerencia.El control interno debe ser integral para lograr un gobierno corporativo efectivo, y representa un área en la cual el departamento de auditoría interna puede agregar real valor y ayudar a la organización a cumplir con sus metas y objetivos.

MEJORAR LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

Los fraudes que involucran sistemas de información pueden ser categorizados como manipulación de los registros de entrada, de los registros de procesamiento, o los registros de salida. La manipulación de los datos de entrada consiste en el ingreso de datos falsos o fraudulentos en los sistemas de información, mientras que la manipulación de los registros de salida es robar datos – como listas de clientes, planes de fusión, y secretos comerciales – de los sistemas. La manipulación de los datos en el procesamiento incluye la alteración de los programas de computación o sus códigos. Muchos controles no físicos en los sistemas de información son claves para prevenir fraudes que puedan brotar de aquellos tipos de actividades.

CONTRASEÑAS. El explosivo crecimiento de Internet ha conducido a un incremento en el número de puertos de salida para las redes de computación. Los auditores internos deberían asegurar que sólo los usuarios legítimos tengan acceso a las redes y datos asociados. Aunque las contraseñas son la línea más antigua de defensa, seguirán siendo el método más efectivo para el control de acceso. Para asegurar su efectividad, sin embargo, las contraseñas deben ser utilizadas apropiadamente. Idealmente, las contraseñas deben ser generadas al azar por el sistema y contener una combinación de letras, números y caracteres especiales. La seguridad efectiva requiere que las contraseñas sean cambiadas periódicamente, ya que la frecuencia en su cambio depende de los niveles de riesgo. Por ejemplo, las instituciones financieras y agencias gubernamentales, que son blanco frecuente de delincuentes, deberían requerir el cambio de passwords más seguido. Los sistemas operativos de las organizaciones deben llevar registro de los intentos fallidos para acceder y limitar los intentos de acceso hasta que el usuario quede automáticamente inhabilitado. Además el empleado no debe compartir su contraseña con otros usuarios o mostrarla en cualquier lugar en que pueda ser vista por otros usuarios. La nueva tecnología es habilitar formas de protección biométrica de passwords, como registros de voz, huellas digitales, patrones de retina, y firmas digitales. Los auditores internos, que estén al tanto de estos avances, estarán en una posición privilegiada para que su organización incremente sus controles de seguridad.

ENCRIPCIÓN. Los datos almacenados en archivos y transmitidos a través de líneas de comunicación están sujetos a invasión por empleados no autorizados y otros individuos. Un control que combate este problema es la encriptación, o traducción de la información a un código secreto. El esquema de encriptación más popular para la transmisión de datos basados en la web es SSL – Secure Sockers Layer --, un protocolo para la transmisión de documentos privados para Internet. Los sistemas de comunicación más comunes para transmisión de paquetes de información contienen la habilidad para encriptar los datos, y las organizaciones deberían tomar ventaja de estos controles cuando estén disponibles.

AUDITORIA III 2012

CONSOLE LOGS. Los auditores internos deberían evaluar la posibilidad de que los sistemas operativos de sus organizaciones mantengan un registro seguro de cada transacción o ingreso en el sistema. La identificación del usuario, la hora y fecha de los ingresos, y la transacción misma deberían ser capturadas. Con las recientes mejoras que han tenido las tecnologías de guardado de datos, los registros de consola se han convertido en un control efectivo. Un registro de consola bien mantenido puede ayudar a los auditores internos a testear combinaciones de usuarios y transacciones, así como proveer soporte para la detección de futuros posibles fraudes. El log también puede servir como un disuasor de fraudes, si los empleados saben de la existencia de registros de toda la actividad que se realiza.

CONTROLES DE SEGURIDAD DE REDES.

Los auditores internos – o nuestros especialistas en fraude con habilidades en seguridad informática – deberían realizar una revisión periódica de los controles de seguridad en los sistemas o redes. Los auditores pueden identificar los controles de seguridad establecidos realizando un cuestionario preliminar sobre todos los aspectos de los sistemas operativos de una entidad, incluyendo las políticas y prácticas del personal. Obtener información sobre los procedimientos también puede ayudar a entender las razones para incluir o no ciertos controles, así como a determinar la efectividad de los mismos. Esta revisión también puede revelar qué pasos adicionales deben seguir los auditores para reducir la posibilidad de fraude informático.

BACKUPS. Los archivos de datos y los sistemas deben estar protegidos de delitos o destrucción por parte de empleados infieles o agentes externos. Una de las formas más efectivas de asegurar los datos importantes es establecer un sistema de resguardo (backup). Aunque muchas firmas tienen procedimientos de backup, los auditores internos deben periódicamente evaluarlos. Los auditores deben determinar si los archivos de datos actualizados están a buen resguardo, en lugar seguro, alejado del acceso por agentes operacionales de la empresa.

CREAR Y MANTENER UNA POLITICA SOBRE FRAUDE

Toda organización debería crear y mantener una política escrita sobre fraude, para dejar en claro su posición ante comportamientos fraudulentos. La política debe ser un documento separado, diferenciado del código de conducta o de ética de la organización, estableciendo allí que el fraude es una preocupación que merece una atención especial. El contenido de la política sobre fraude debe ser explícito y claro. Deben establecerse claramente las actitudes específicas que constituyen fraude y abuso, como así también las acciones que serán tomadas contra los perpetradores de fraude. La organización debe sustentar esta política consistentemente y asegurar que sea distribuida y comunicada a todos los empleados. Una política de fraude transmite a los empleados que la organización está con los ojos atentos en el fraude, y puede servir como disuasivo para los posibles perpetradores.

UN POCO DE PREVENCIÓN

Los auditores internos están perfectamente posicionados para contribuir a la detección y prevención de actividades fraudulentas. No sólo los auditores están bien calificados en esta área, sino que

AUDITORIA III 2012

pueden ayudar a la compañía a evitar potenciales conflictos con requerimientos legales asociados con la investigación. Más aún, la participación de la auditoria interna en iniciativas anti-fraude ayuda a la organización a sacar ventaja de los expertos internos que conocen mejor a la compañía. Los siete pasos proactivos descriptos representan sólo una pequeña muestra de las áreas en las cuales la auditoria interna puede agregar valor y asistir en la prevención y detección del fraude. Existen numerosas oportunidades para individuos deshonestos para cometer fraudes, y los auditores deberían trabajar en conjunto con la gerencia para considerar las mejores alternativas para mantener a la organización al resguardo de posibles daños. Cuando resultan exitosas para combatir el fraude, las medidas pre activas cosechan su mejor resultado. Como dice el viejo adagio, una onza de prevención es mucho más valiosa que una libra de cura.

SEÑALES DE FRAUDE

Alteración de documentos

Pagos duplicados

Segundo endoso en cheques

Partidas pendientes en conciliaciones bancarias

Asientos contables sin documentación respaldatoria

Ajustes no explicados a cuentas a cobrar, a pagar, ingresos o gastos

No salida de vacaciones de ciertos empleados

Falta de seguimiento de cuentas a cobrar vencidas

Faltantes en mercaderías entregadas

Empleados en la nómina que no suscriben beneficios

Quejas de clientes

Incrementos o disminuciones excesivas en ciertas cuentas

Relaciones inusuales en los estados financieros, como

Incremento de ingresos con disminución de cuentas a cobrar

Incremento de ingresos con disminución de compras de inventario

Incremento de inventario con disminución de compras o cuentas por pagar

Cancelaciones inusuales de cuentas a cobrar

Productos o servicios comprados en exceso a las necesidades

Gastos o rembolsos irracionales

Faltantes o sobrantes de caja

Nombres comunes, números de teléfono y direcciones en proveedores

Documentación extraviada

Excesivas anulaciones de créditos

Propinas de empleados

Cambios significativos en los índices de liquidez, apalancamiento, rentabilidad o retorno.

AUDITORIA III 2012

CONTROL DE SISTEMAS

Auditoria de sistemas

Definición:

Según la definición de Eurípides rojas “la auditoría de sistemas es la parte de la auditoria interna que se encarga de llevar a cabo la evaluación de normas. Controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se proceda a través de computadores, es decir, en estas evaluaciones se están involucrando tanto los elementos técnicos como humanos que intervienen en el proceso de información”.

También es pertinente conocer el concepto de José Echenique que al respecto expone lo siguiente “la auditoria en informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática; de los equipos de computo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información a fin de que por medio del señalamiento de cursos alternativos se logre una utilización mas eficiente y segura de la información que servirá para una adecuada toma de decisiones”.

¿Qué es la seguridad en los sistemas de información?

Entendemos por ella el asegurar los recursos del sistema de información en cuestión de una organización, el cual incluye programas; se resguarda de esta forma los datos que se consideran importantes para que no sean vistos por cualquier persona no autorizada. Desde que la tecnología ha evolucionado son muchas las facilidades que obtenemos cuando se trata de almacenar, analizar o procesar datos, pero también todos estos beneficios conllevan muchas veces a riegos que, en ocasiones, pueden ser críticos para diversas empresas. Día tras días los técnicos más experimentados desarrollan distintas innovaciones en los aspectos de seguridad de sistemas de información para que éstos sean lo menos vulnerable posible; entendemos por “peligro” todo aquello que pueda afectar al funcionamiento de un sistema. El concepto de seguridad informática sigue siendo, para varios entendidos, de carácter utópico, ya que no se ha revelado en la actualidad un sistema que pueda ser 100% seguro, para que la seguridad en sistemas de información sea eficiente debe cumplir con los siguientes requisitos. Un sistema seguro debe constar de disponibilidad, es decir, la información debe estar disponible cuando se la necesita; debe ser íntegro, dicha información no puede ser modificada por personal no autorizado; debe ser confidencial, la información debe ser legible sólo por quienes están autorizados y por último, debe ser irrefutable, su autoría no puede negarse. Para que se pueda establecer seguridad en sistemas de información es necesario intervenir técnicamente a varios niveles, en algunos casos se debe recurrir acriptografía para firmar, cifrar y autentificar; esta es una alternativa para no permitir  el robo de la información almacenada.

Riesgos posibles ante la falla de la seguridad en los sistemas de información.

Para comprender cómo funciona la seguridad informática debemos entender primero qué es la información y cómo se almacena, es así como delimitamos los riegos; primero debemos ser conscientes de que dicha información se encuentra almacenada y procesada en computadoras, puede ser confidencial para algunas personas que trabajen en empresas y por eso, en afán de conocerla cuando ésta es de índole privada, puede ser robada, mal utilizada o divulgada por

AUDITORIA III 2012

personal no autorizado. El activo más importante de cualquier compañía es la información aunque pueda sonar extraño y es esta característica la que hace que los técnicos más eficientes trabajen constantemente en fortalecer la seguridad en sistemas de información; las técnicas desarrolladas para este objetivo otorgan seguridad lógica que consisten en barreras y procedimientos que resguardan el acceso a los datos, permitiendo que solo sean vistos por personal autorizado. Cuando se diseñan los aspectos de la seguridad informática, se hacen pensando en los siguientes factores: se deben actualizar las contraseñas de forma constante, se restringe el acceso a los programas y archivos, los técnicos se aseguran de que los operadores puedan trabajar con cierta información pero que no puedan modificarla, etc. Pero la mala manipulación de datos no sólo puede estar dentro de la empresa sino también de manera virtual; la seguridad en sistemas de información contempla hoy la batalla con los virus informáticos; estos son programas elaborados intencionalmente que se introducen y transmiten mediante discos o redes de comunicación entre los ordenadores causando diversos tipos de daños en las máquinas. A veces, estos daños pueden ser solo físicos, es decir, se daña un componente del equipo, mientras que en ocasiones resulta ser físico en informático, se deteriora una pieza de la máquina conllevando a la pérdida de información que ésta albergaba.

CONCEPTO CONTROL DE SISTEMAS

Los sistemas de información son un conjunto de elementos orientados al tratamiento y de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad u objetivo.Los sistemas de información deben ser controlados con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones.

La calidad del proceso de toma de decisiones en un organismo descansa fuertemente en sus sistemas de información. Un sistema de información abarca información cuantitativa, tal como los informes de desempeño que utilizan indicadores, y cualitativa, tal como la atinente a opiniones y comentarios.

El sistema deberá contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas.Los sistemas de información deben ser flexibles y susceptibles de modificaciones rápidas que permitan hacer frente a necesidades cambiantes de la Dirección en un entorno dinámico de operaciones y presentación de informes. El sistema ayuda a controlar todas las actividades del organismo, a registrar y supervisar transacciones y eventos a medida que ocurren, y a mantener datos financieros.

Las actividades de control de los sistemas de aplicación están diseñadas para controlar el procesamiento de las transacciones dentro de los programas de aplicación e incluyen los procedimientos manuales asociados.

Tipos de Delitos Informáticos.

La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos:

1. Fraudes cometidos mediante manipulación de computadoras

AUDITORIA III 2012

Manipulación de los datos de entrada: este tipo de fraude informático conocido

también como sustracción de datos, representa el delito informático más común ya que

es fácil de cometer y difícil de descubrir.

La manipulación de programas: consiste en modificar los programas existentes en el

sistema o en insertar nuevos programas o rutinas. Es muy difícil de descubrir y a

menudo pasa inadvertida debido a que el delincuente tiene conocimientos técnicos

concretos de informática y programación.

Manipulación de los datos de salida: se efectúa fijando un objetivo al funcionamiento

del sistema informático. El ejemplo más común es el fraude del que se hace objeto a los

cajeros automáticos mediante la falsificación de instrucciones para la computadora en la

fase de adquisición de datos.

Fraude efectuado por manipulación informática: aprovecha las repeticiones

automáticas de los procesos de cómputo. Es una técnica especializada que se denomina

"técnica del salchichón" en la que "rodajas muy finas" apenas perceptibles, de

transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a

otra.

2. Manipulación de los datos de entrada.

Como objeto: cuando se alteran datos de los documentos almacenados en forma

computarizada.

Como instrumento: las computadoras pueden utilizarse también para efectuar

falsificaciones de documentos de uso comercial.

3. Daños o modificaciones de programas o datos computarizados.

Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización

funciones o datos de computadora con intención de obstaculizar el funcionamiento

normal del sistema.

Acceso no ha autorizado a servicios y sistemas informáticos: estos accesos se

pueden realizar por diversos motivos, desde la simple curiosidad hasta el sabotaje

o espionaje informático.

Reproducción no autorizada de programas informáticos de protección legal:

esta puede entrañar una pérdida económica sustancial para los propietarios

legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad

y la han sometido a sanciones penales.

AUDITORIA III 2012

Delincuente y Victima.

Sujeto Activo

Sujeto Pasivo

Sujeto Activo

Se llama así a las personas que cometen los delitos informáticos. Son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos.

Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que "entra" en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.

El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encontrarse en un empleado del sector de procesamiento de datos.

Sujeto Pasivo

Este, la víctima del delito, es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo. Las víctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc. que usan sistemas automatizados de información, generalmente conectados a otros.

El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los delitos informáticos, ya que mediante él podemos conocer los diferentes ilícitos que cometen los delincuentes informáticos.

En el mismo sentido, podemos decir que con:

La divulgación de las posibles conductas ilícitas derivadas del uso de las computadoras;

Alertas a las potenciales víctimas, para que tomen las medidas pertinentes a fin de prevenir la delincuencia informática;

Creación de una adecuada legislación que proteja los intereses de las víctimas;

Una eficiente preparación por parte del personal encargado de la procuración, administración y la impartición de justicia para atender e investigar estas conductas ilícitas; Se estaría avanzando mucho en el camino de la lucha contra la delincuencia informática, que cada día tiende a expandirse más.

FRAUDES EN SISTEMAS DE CÓMPUTO

AUDITORIA III 2012

El fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición de Delito puede ser más compleja.

Muchos estudiosos del Derecho Penal han intentado formular una noción de delito que sirviese para todos los tiempos y en todos los países. Esto no ha sido posible dada la íntima conexión que existe entre la vida social y la jurídica de cada pueblo y cada siglo, aquella condiciona a ésta.

Para entender más sobre el tema tenemos que hay 3 clasificaciones de este tipo:

Fraude por identificación falsa: Es aquel en el cual se falsifica la identidad de una entidad financiera a través de correos electrónicos, aparentando ser confiable, logrando de esta manera, obtener por parte de los usuarios claves que conducen al acceso de información confidencial.

Fraude por modificación de programas: Refiere a la alteración de algún tipo de registro computarizado para apropiarse de bienes de manera indebida, por ejemplo, el denominado "robo hormiga" en el cual el delincuente modifica un sistema financiero para que el mismo desvíe pequeñas cantidades de dinero a una cuenta fantasma.

Sabotaje Informático: Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema.

Entre los fraudes más comunes que se presentan en los sistemas automatizados de información, figuran entre otros los siguientes:

a) Manipulación de datos: ha sido el método más utilizado para la comisión de fraudes, en ambientes automatizados;

b) La técnica de salami: que consiste en sustraer pequeñas cantidades de un gran número de registros, mediante la activación de rutinas incluidas en los programas aplicativos corrientes;

c) Técnica del caballo de Troya: consiste en insertar instrucciones de programación, en los programas aplicativos, con objetivos de fraude, de manera que, además de las funciones propias del programa, también ejecuten funciones no autorizadas por la administración;

d) Bombas lógicas: son una técnica de fraude, en ambientes computarizados, que consiste en diseñar instrucciones fraudulentas en software autorizado, para ser activadas cuando se cumpla una condición o estado específico;

AUDITORIA III 2012

e) Juego de la pizza: es un método relativamente fácil para lograr el acceso no autorizado a los centros de procesamiento de datos, así estén adecuadamente controlados;

f) Ingeniería social: esta técnica de fraude informático consiste en planear la forma de abordar a quienes puedan proporcionar información valiosa o facilitar de alguna forma la comisión de hechos ilícitos;

g) Trampas-puertas: son deficiencias del sistema operacional desde las etapas del diseño original. Son deficiencias en el diseño de los computadores y sus sistemas operacionales.

Expertos programadores del sistema pueden sacar ventajas de estas trampas puerta, para insertar instrucciones mal intencionado que ejecuten funciones no autorizadas;

h) "Superzaping": permite adicionar, modificar y/o eliminar registros de archivos, datos de registros o agregar caracteres dentro de un archivo maestro, sin dejar rastro y sin modificar ni correr los programas normalmente usados para mantener los archivos;

i) Evasiva astuta: se trata que los programadores de sistemas se inventaron la forma de comunicarse con la computadora a través del lenguaje de máquina (es un método fácil para entrar en la computadora, cambiar las cosas, hacer que algo suceda y hasta recambiarlas para que vuelvan a su forma original sin dejar rastros para auditoría);

j) Recolección de basura: es una técnica utilizada para obtener información abandonada dentro o alrededor del sistema de computación, después de haber realizado una operación cualquiera;

k) Ir a cuenta para tener acceso no autorizado: es una técnica para lograr el acceso no autorizado a los recursos del sistema, entrando detrás de alguien influyente ("piggyback") o por imitación (suplantación);

i) Puertas levadizas: consiste en la utilización de datos sin la debida autorización, mediante rutinas involucradas en los programas o en los dispositivos de hardware:

l) Técnica del taladro: consiste en utilizar una computadora para llamar con diferentes códigos hasta cuando uno de ellos resulte aceptado y permita el acceso a los archivos deseados; y

m) Intercepción de líneas de comunicación: esta técnica de fraude consiste en establecer una conexión secreta telefónica o telegráfica para interceptar mensajes, también es técnicamente posible la intercepción de comunicaciones por micro-ondas y vía satélite.

Espionaje informático: Comprende aquellas figuras delictivas que atienden al modo operativo que se ejecuta y que pueden ser, en primer lugar, delitos de apoderamiento, uso y conocimiento indebido de la información, cometidos interfiriendo, interceptando o meramente accediendo al sistema de tratamiento de datos. En un segundo lugar, comprende también los delitos de revelación indebida y difusión de datos contenidos en un sistema de tratamiento de la información. Comprende lo comúnmente conocido como “Hacking”, siendo ésta la acción de invadir sistemas informáticos ajenos.

Robo de identidad: Ocurre cuando alguien obtiene, de forma ilícita, datos de información personal lo que permite el acceso a la información de un individuo y en consecuencia cometer diferentes tipos de fraude, incluyendo el acceso a cuentas bancarias, obtener préstamos, hacer compras, etc.

AUDITORIA III 2012

PREGUNTAS

1. ¿Cuál e el método más común de fraude?

El método más común de fraude fue la adulteración o apropiación indebida de cheques de la compañía, que ocurre normalmente cuando el mismo individuo tiene acceso a la chequera de la compañía, la responsabilidad por la registración de los pagos, y/o la conciliación de los extractos bancarios

2. ¿Cómo se descubre el fraude? 

El método más común de detección del fraude fue a través de una denuncia anónima, seguido del descubrimiento accidental del hecho.

3. ¿Cuáles son los 5 mecanismos anti-fraude más reportados?

Los cinco mecanismos anti-fraude más reportados fueron:

Canal de denuncias anónimas o “hotline”;

Un programa de capacitación sobre el fraude y ética para empleados y gerentes;

Existencia de un departamento de auditoría interna o departamento de investigación de fraudes;

Auditorías sorpresivas de manera regular; y

Ejecución de auditorías externas (cuando son obligatorias en el tipo de organización).

4. ¿En qué consiste la manipulación de datos?

La manipulación de los datos de entrada consiste en el ingreso de datos falsos o fraudulentos en los sistemas de información, mientras que la manipulación de los registros de salida es robar datos – como listas de clientes, planes de fusión, y secretos comerciales – de los sistemas.

5. Mencione 5 señale de fraude?

Alteración de documentos

Pagos duplicados

Partidas pendientes en conciliaciones bancarias

Asientos contables sin documentación respaldatoria

Ajustes no explicados a cuentas a cobrar, a pagar, ingresos o gastos

6. ¿Qué es la auditoría de informática?

La auditoria en informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información.

7. ¿Qué es un sistema de información?

AUDITORIA III 2012

Un sistema de información es un conjunto de elementos orientados al tratamiento y de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad u objetivo.

8. ¿Cuál es el objetivo de un control de sistemas?

Garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones.

9. ¿En que consiste un fraude de sistema de cómputo?

Se refiere a actividades ilícitas realizadas por medio de ordenadores o del internet que tienen como objetivo la destrucción y el daño de ordenadores, medios electrónicos y redes de computadoras.

10. Cuáles son los tipos de delitos informáticos?

Fraudes cometidos mediante manipulación de computadoras

Manipulación de los datos de entrada.

Daños o modificaciones de programas o datos computarizados.

11. Mencione 4 tipos de fraude de sistemas de cómputo?

Manipulación de datosTécnica de salamiTécnica del caballo de TroyaBombas lógicas

12.Qué es el espionaje informático?

Comprende también los delitos de revelación indebida y difusión de datos contenidos en un sistema de tratamiento de la información.

AUDITORIA III 2012

CONCEPTO.- El control es la función administrativa por medio de la cual se evalúa el

rendimiento. Para Robbins (1996) el control puede definirse como "el proceso de regular

actividades que aseguren que se están cumpliendo como fueron planificadas y corrigiendo

cualquier desviación significativa"

Sin embargo Stoner (1996) lo define de la siguiente manera: "El control administrativo es el

proceso que permite garantizar que las actividades reales se ajusten a las actividades proyectadas"

Robert B. Buchele: El proceso de medir los actuales resultados en relación con los planes,

diagnosticando la razón de las desviaciones y tomando las medidas correctivas necesarias.

Chiavenato: El control es una función administrativa: es la fase del proceso administrativo que

mide y evalúa el desempeño y toma la acción correctiva cuando se necesita. De este modo, el

control es un proceso esencialmente regulador.

OBJETIVOS

El objetivo principal de este trabajo es estudiar el control como elemento clave de

la administración, que permite detectar errores a tiempo y corregir fallas en su debido momento,

aplicando así los mecanismos de control adecuado para cada caso.

Los objetivos son los programas que desea lograr la empresa, los que facilitarán alcanzar la meta de

esta. Lo que hace necesaria la planificación y organización para fijar qué debe hacerse y cómo.

PRINCIPIOS

Principios Generales de Administración Aplicados al Control

Entre los principios generales de administración aplicados al control, pueden citarse:

Principio de garantía del objetivo. El control debe contribuir a la consecución de los

objetivos mediante la verificación oportuna de las discordancias con los planes para

emprender la acción correctiva. Todas las funciones administrativas tienen por finalidad

alcanzar los objetivos. El control debe localizar e identificar las fallas o distorsiones

AUDITORIA III 2012

existentes en los planes para indicar las correcciones que deban aplicarse para conseguir

los objetivos.

Principio de definición de los estándares. El control debe basarse en estándares

objetivos, precisos y establecidos de manera conveniente. La fijación de estándares de

desempeño y de calidad, cuando éstos se establecen con objetividad y se definen con

precisión, facilita la aceptación de quien debe responder por la tarea y permite emprender

una acción de control más fácil y seguro.

Principio de excepción. Este principio fue formulado por Taylor. Cuanto más concentre

un administrador sus esfuerzos de control en desvíos y excepciones, más eficientes serán

los resultados de este control. El administrador debe preocuparse más por los desvíos

importantes que por las situaciones relativamente normales.

Principio de acción. El control sólo se justifica cuando indica disposiciones capaces de

corregir los desvíos detectados o comprobados, respecto de los planes. Estas disposiciones

deben justificar la acción de control, que generalmente implica

cierta inversión de tiempo, personal y otros elementos más. Este principio también se halla

correlacionado con el costo del control. Cuando éste es mayor que costo ocasionado por los

desvíos de la situación controlada, no se justifica el control. El control es una acción

eminentemente utilitaria y pragmática: sólo debe realizarse cuando vale la pena.

“En cualquier sistema de información “si entra basura sale basura””.

El costo de detectar y corregir los errores una vez que ingresaron al SI es mucho mayor que el

costo de establecer controles internos adecuados para prevenir esos errores. La información debe

cumplir con todas sus características fundamentales (exactitud, completitud, pertinencia,

legitimidad, confidencialidad, oportunidad, no duplicación, etc.)

La captura de los datos puede dividirse en tres momentos: la captura en sí, la validación de los

mismos y el almacenamiento. Los problemas pueden presentarse en cualquiera de estos tres

momentos. En la entrada de datos se tiende a la introducción de tecnología para reducir errores. En

la validación de los datos será fundamental la exactitud en las reglas de programación (rangos,

tipos de datos, contadores, sumadores, dígito verificador).

AUDITORIA III 2012

Si bien se trata de automatizar la captura, debe existir un medio alternativo ante cualquier

contingencia.

Descripción de Tareas a Realizar

Son los aspectos a ser tenidos en cuenta por el auditor, desde los siguientes puntos de vista:

Ambiente de sistema

Recabar información sobre el grado de utilización del procesamiento electrónico de datos

en aquellas aplicaciones financieras significativas. Principales temas a considerar para

adquirir conocimientos sobre el ambiente, son los siguientes:

- Conocimiento de la estructura organizativa de los sistemas

- Conocimiento de la naturaleza de la configuración de sistemas

- Alcance del procesamiento computarizado de la información

Ambiente de Control

Conjunto de condiciones dentro de las cuales operan los sistemas de control. Está referido

al enfoque que tiene la gerencia superior y el directorio con respecto al objetivo de control

y el marco en que ejerce ese control. Los aspectos a considerar para evaluar la efectividad

del ambiente de control son:

El enfoque de control por parte del directorio y la gerencia superior

La organización gerencial: posición del gerente de sistemas

El gerente de sistemas tiene como función crear y mantener un adecuado

ambiente de control.

Hecha la planificación estratégica, se documentan las decisiones preliminares para cada uno de los

componentes con un enfoque tentativo de auditoría.

Planificación detallada

Es la selección de los procedimientos de auditoría, que comúnmente se traducen en la preparación

de los programas de trabajo. El auditor se concentra en obtener y documentar una comprensión

sobre los controles directos y generales para los componentes significativos de los estados

financieros-

Seguridad de sistemas con procesamiento en tiempo real

AUDITORIA III 2012

Los controles vistos anteriormente, deben aplicarse también en procesos en tiempo real, per

o además deben agregarse otros que son propios de este tipo de procesamiento.

Problemas que pueden presentarse en procesamiento en tiempo real

Medidas de seguridad que demanda el proceso en tiempo real

Técnicas de control físico Dispositivos de protección para terminales (cerraduras, lectoras)

Ubicación de terminales en áreas supervisadas

Desconexión de terminales en determinado horario

Acceso a archivos en determinado horario

Desconexión automática de terminales no usadas

Técnicas de control lógico Contraseñas para el acceso

No-display de contraseñas

Establecer parámetros de niveles de autorización

Desconexión automática de terminales ante “X” intentos

infructuosos de acceso

Técnicas de control de

telecomunicaciones

Transmisiones cifradas o codificadas

Usar detectores de intercepción de información

Distribución y control de número telefónico para estaciones de

llamada

Control y validación de la

entrada

Instrucciones escritas para guiar a operadores

Validación de la entrada (pruebas programadas)

El operador debe revisar los datos ingresados

En cuanto al proceso Se puede encarecer una aplicación, por no precisar

ésta necesariamente de actualización en tiempo real

(Sueldos)

En cuanto al manejo

administrativo

Es más difícil detectar errores, ya que la

actualización modifica el archivo en el momento

En cuanto al uso Desarrollo e implantación son más costosos

Es más difícil implementar control interno, pues se

minimiza la documentación del procesamiento,

entrada

Relación directa entre el usuario y el equipo

AUDITORIA III 2012

Se concilian totales de control (manuales vs computador)

Marcas de tiempo y fecha de entrada de la transacción

Controles de

archivo

Mantenimiento Quien ejecuta o aprueba el mantenimiento no rinde cuenta de los

hechos

Controlar el acceso para mantenimiento

Informe del “era y es” sobre los archivos maestros

Integridad Informe de “era y es” revisado por personal apropiado

Balanceo de conteo de registros y totales de control

Controles de

Procesamient

o

Control del

balanceo de las

transacciones

- conteo de registros, totales de control

- informe de datos que no balancean

- esos errores deben corregirse antes de reprocesar

Aptitud de

procesamiento

- familiarización del operador con los procedimientos del sistema

- familiarización del operador con los procedimientos alternativos

- registro de fecha y hora en las transacciones

Controles de

la Salida

Pruebas de

resultado de

procesos

comprobaciones de razonabilidad de resultados(por programa)

utilizar informes de gerencia para detectar errores importantes

identificar e informar desbordamientos de capacidad

Prueba de salida informes diseñados para evitar errores de interpretación

VERIFICACIÓN

Ya definidos cuáles deben ser los controles que una organización debe aplicar en cada uno de los

componentes de sus SI, debemos analizar los diferentes circuitos que existan para comprobar que

esos controles sean cumplidos.

Se pasa entonces a las etapas de verificación en las cuales se debe obtener evidencia

comprobatoria, válida y suficiente de que los controles funcionan adecuadamente. Son las

denominadas pruebas de cumplimiento, que determinarán la naturaleza, el alcance y oportunidad de

los procedimientos de auditoría a aplicar en la información almacenada en el sistema de

información.

Debe comprobarse la existencia de una estructura organizativa adecuada, mediante

inspección de manuales, perfiles de usuario, entrevistas, etc.

AUDITORIA III 2012

Debe comprobarse la existencia escrita y correcta actualización de normas y

procedimientos de programación y tecnología.

Debe verificarse la continuidad del procesamiento (planes de contingencia, políticas de

back-up, etc)

Deben verificarse los controles del teleprocesamiento (funciones del administrador de

red, criptografía)

Los controles en las aplicaciones pueden verificarse a través de medidas de documentación, niveles

medios de fallas, calidad de diseño, cantidad de usuarios, complejidad, cantidad de transacciones,

modalidades del procesamiento, estabilidad, escalabilidad, etc (para reflejar estas medidas puede

usarse una matriz de riesgo con sus respectivas ponderaciones).

Para llevar a cabo las pruebas de cumplimiento de un sistema puede o no utilizarse una

computadora. Las pruebas de cumplimiento con el uso de una computadora pueden clasificarse en:

POSTOPERACIÓN (si se verifican los controles luego del procesamiento)

1) Puede usarse el sistema real con transacciones reales: se comparan resultados predeterminados

con resultados reales.

2) Puede usarse el sistema real con transacciones simuladas: en este caso se comparan resultados

predeterminados con resultados simulados. La técnica se denomina lote de prueba. Se podrá

utilizar el mismo lote para probar todas las funcionalidades del sistema pero el mismo tendrá

que estar actualizado y debe ser pensado de tal forma que represente todas las condiciones de

posible ocurrencia.

3) Puede usarse un sistema simulado construyendo un sistema paralelo al real con las

funcionalidades que se desean probar. La técnica se denomina simulación en paralelo y se

comparan resultados de transacciones reales en el sistema real con resultados de transacciones

reales en el sistema simulado. Este método permite saber si la información resultante del

sistema real fue modificada “por el costado” del sistema pero tiene como desventaja que sólo

se pueden realizar pruebas parciales y que requiere la suficiente pericia técnica para construir el

sistema simulado.

AUDITORIA III 2012

EN LA OPERACIÓN (pruebas concurrentes)

En el sistema real se ingresan transacciones reales y transacciones simuladas. La técnica se

denomina ITF (integrated test facilities o minicompañía).

Se generan registros especiales de auditoría dentro de los registros principales del procesamiento

(debiendo estar debidamente identificados).

La técnica sólo es aplicable en organizaciones que cuentan con organismos de superintendencia

que lo permiten, de otro modo podría ser considerada como fraude).

Requiere baja pericia técnica y le aporta al auditor el factor sorpresa pero puede tener

inconvenientes en su implementación o en su control si las transacciones simuladas no son

debidamente identificadas

PRUEBAS SUSTANTIVAS

Una vez realizadas las pruebas de cumplimiento se debe analizar la información almacenada en el

SI. Si la misma se encuentra en soportes informáticos puede ser analizada en su totalidad (el

alcance será total) puesto que ello puede hacerse rápidamente. La información que no es encuentre

almacenada digitalmente puede ser muestreada según el diagnóstico hecho sobre los controles

generales y los controles particulares.

Se pueden encontrar las siguientes herramientas para la realización de pruebas sustantivas:

Programa o sistema especial de auditoría

Paquete o software de auditoría

Aplicativos en general (ej. planillas de cálculo)

Lenguajes de consulta

SEGURIDAD FÍSICA Y LÓGICA

La seguridad física y la seguridad lógica se relacionan con medidas preventivas de impactos en la

organización. La información debe ser clasificada de acuerdo a sus principales características y se

debe plantear el impacto de distintos acontecimientos (en lo posible de forma cuantitativa).

Adicionalmente se debe plantear la probabilidad de ocurrencia de cada hecho fortuito a los efectos

de tratar de minimizar todos los riesgos.

Seguridad física – RIESGOS

Propios de la zona geográfica: incendios, inundaciones, tormentas, epidemias, terremotos

AUDITORIA III 2012

Propios de la vecindad: pueden ser permanentes (por ej. que la organización se encuentre

lindando a una estación de servicio) o transitorios (por ej. que existan obras en la cercanía de

la organización)

Propios del ente: son los riesgos del edificio, como los materiales con los que está construido,

la disposición física del equipamiento eléctrico, la insonorización, etc.

Controles: construcciones adecuadas, desagües aptos, bombas de desagote, sensores de línea,

generadores propios, instalaciones antiincendios, UPS, grupos electrógenos, utilización de cable

canal, cableado eléctrico adecuado, realización de back-ups, separación física de copias de

seguridad y equipos de contingencia,

identificación del personal afectado y no afectado al área de sistemas, etc.

Seguridad lógica

Los datos pueden sufrir consultas y modificaciones no autorizadas, además de destrucciones.

Por ello se deben implementar medidas de seguridad lógica que hacen a la:

Identificación: de la persona que quiere acceder a esos datos

Autenticación: de esa persona. Se debe certificar que quien se identifica es quien dice

ser (“algo que uno sabe, algo que uno tiene, algo que uno es”). Si se utilizan claves las

mismas deben ser únicas, fáciles de memorizar, expirables luego de un lapso

determinado y deben aceptar una cantidad mínima de intentos fallidos. Es

recomendable contar con un sector que se encargue de la administración de todas las

claves.

Autorización: se deben limitar las autorizaciones en el uso de los recursos del SI (tanto

de los datos como de las funciones que puedan realizarse con esos datos)

Documentación: se deben llevar registros de todos los acontecimientos para tareas de

vigilancia y seguimiento estadístico.

PLAN DE CONTINGENCIA

La organización debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales

o actos intencionales que pongan en peligro su normal operatoria. Siempre se debe asegurar el

COB (continuity of business). Las principales causas de la falta de prevención son:

“No nos puede pasar a nosotros”

Apatía en los cargos jerárquicos

Desconocimiento de cómo preparar un plan

Difícil cuantificación de beneficios

AUDITORIA III 2012

Se deben analizar todos los riesgos, establecer los recursos críticos, elaborar un proyecto,

desarrollar el plan y realizar las pruebas pertinentes

Fase de emergencia : si se produce algún hecho grave, se debe establecer el ambiente de

reconstrucción y recuperación y minimizar los daños ocurridos (las medidas de prevención

serán fundamentales para evitar daños graves).

Fase de enlace : se deben brindar alternativas de procesamiento para mantener la capacidad

operativa y se deben facilitar las tareas de recuperación del ambiente.

Fase de back-up : es necesario continuar operando con el procesamiento alternativo

proveyendo los sets de copias de resguardo necesarios para ello.

Fase de recupero : se debe restaurar totalmente el SI a su normal funcionamiento,

discontinuando la operación con el procesamiento alternativo y convirtiendo las

operaciones y archivos del modo de enlace al modo normal.

Sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de

las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar

los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.

AUDITORIA III 2012

El control interno que se  realice a los sistemas informáticos, permite obtener diagnósticos de las

diferentes dependencias, indicando riesgos y debilidades que una vez detectados nos ahorran

recursos humanos, físicos y financieros de la entidad, si son corregidos a su debido tiempo.

El control interno informático controla diariamente que todas las actividades de sistemas de

información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la

dirección de la organización y/o dirección de informática, así como los requerimientos legales.

CLASIFICACIÓN DE LOS CONTROLES INTERNOS INFORMÁTICOS.

Controles Preventivos: Sirve para tratar de evitar un evento no deseado de todas las áreas

de departamento como son: Equipo de cómputo, sistemas, telecomunicaciones.

Ejemplo: Contar con un software de seguridad que impida los accesos no autorizados al

sistema.

Controles Detectivos: Trata de descubrir a posteriori errores o fraudes que no haya sido

posible evitarlos con controles preventivos.

Ejemplo: registros de intentos de acceso no autorizados, el registro de la actividad diaria

para detectar errores u omisiones.

Controles Correctivos: Tratan de asegurar que se subsanen todos los errores identificados,

mediante los controles preventivos; es decir facilitan la vuelta a la normalidad ante una

incidencia. Es un plan de contingencia.

Ejemplo: Back up supondría un control correctivo.

Las áreas de control en los centros de cómputo son:

1- Control de entrada y salida

2- Biblioteca de medios magnéticos

3- Operación del equipo de procesamiento

4- Controles ambientales y de seguridad física

5- Recuperación de desastres

6- Reportes de mal funcionamiento

7- Cambios de software operacional

8- Seguridad lógica

9- Manuales de documentación

De acuerdo con lo anterior, algunos puntos de inspección y comprobación que se deben realizar en

el centro de cómputo son los siguientes:

AUDITORIA III 2012

Que los códigos de identificación y autorización de los usuarios estén adecuadamente

controlados para prevenir accesos no autorizados.

Que las terminales que permiten el acceso  al sistema cuenten con los controles adecuados

para prevenir el uso fraudulento.

Que las alteraciones de seguridades accidentales o intencionales sean reportadas a la

administración de procesamiento electrónico de datos.

Que las intervenciones de los operadores del centro de cómputo sean registrados en el log

del sistema y que este registro sea cuidadosamente revisado.

Que se cambien los códigos de acceso, cuando se retiren empleados claves.

Que constantemente se revise por un experto en seguridad  todos los procesos de

informática.

Que existan U.P.S. contra fallas de energía y protección contra incendio.

Que se cuente con detectores de humo, calor y se les haga mantenimiento preventivo y

correctivo.

Que las copias de respaldo o backups se mantengan bajo estrictas medidas de seguridad.

Que se lleve un registro cronológico de los cambios efectuados a los sistemas y a todas las

fallas y mensajes de error que presente el equipo de cómputo.

Que haya procedimientos adecuados para la recuperación de desastres y otras amenazas.

NORMAS GENERALES A CUMPLIR PARA ASEGURAR UN BUEN

FUNCIONAMIENTO

ORGANIZACIÓN

El dpto. de sistemas debe estar organizado.

Debe existir segregación de funciones entre sistemas y otros dptos.

Supervisión competente y completa, revisión de tareas por gerencia.

Deben existir procedimientos administrativos y de operación

Objetividad e independencia de los usuarios.

SEGURIDAD

Protección de equipo, software, documentación.

HARDWARE

Mantenimiento del equipo en buen funcionamiento.

ACCESO

Restringido a personal autorizado (Hard, doc., archivos).

AUDITORIA III 2012

PROCESAMIENTO

Procesamiento rápido y exacto de la información.

Controles internos en la operación de SI.

Instrucciones de operación.

Programas de ejecución.

Lista de mensajes y paradas programadas (acciones ligadas).

Procedimientos de recupero y reinicio.

Tiempos estándar/estimados.

COMUNICACIONES

Control y supervisión de las operaciones y los dispositivos de comunicación.

En cada uno de los componentes de un SI deben existir controles internos. Como objetivo principal

de todo control interno, lo primordial es tratar de disminuir riesgos. En las comunicaciones de un SI

deben establecerse controles en:

Hardware: debe haber controles que impidan el fácil acceso físico a las terminales y al

equipamiento de la red (instalaciones, modems, hubs, cables, etc.)

Software: deben utilizarse protocolos para controlar la calidad de los mensajes y la no

presencia de errores en cualquier transmisión de información. Deben controlarse el acceso

a las aplicaciones y datos que residan en el/los servidores de la organización

Datos: deben utilizarse técnicas de encriptación (procedimiento generalmente público que

logra convertir un texto claro en un texto confuso o desordenado sólo descifrable con una

clave, un método criptoanalítico o a fuerza bruta). Ej. de algoritmos de encriptación: DES,

3DES, RSA, IDEA (se diferencian según la cantidad de bytes de las claves de encriptación

y los algoritmos utilizados).

POLITICAS

Control externo que asegure el seguimiento de políticas y procedimientos fijados.

Los controles del departamento de sistemas involucran a más de una aplicación. Existen 3 tipos de

riesgo:

Estructura organizativa y procedimientos operativos no confiables

AUDITORIA III 2012

Riesgo: cambios no autorizados en programas o en archivos de datos. Las medidas de

prevención se tornan críticas para asegurar la confiabilidad de la información

Medios de Control: separar las principales responsabilidades de las actividades de

operación y programación. Diferentes personas deben desempeñar las funciones de:

Gerencia del departamento, análisis - diseño y programación de aplicaciones,

mantenimiento de software de sistemas, operaciones, control de datos, seguridad de

datos. Controles sobre acceso físico y sobre el desarrollo de los programas.

Procedimientos no autorizados para cambios en los programas

Riesgo: los programadores pueden realizar cambios incorrectos en el software de

aplicación.

Medios de Control: los posibles controles son: los cambios deben ser iniciados y

aprobados por los usuarios, las modificaciones deben ser revisadas y aprobadas por la

superioridad.

Acceso general no autorizado a los datos o programas de aplicación

Riesgo: personas no autorizadas pueden tener acceso directo a los archivos de datos o

programas de aplicación utilizados para procesar transacciones permitiéndoles realizar

cambios no autorizados a los datos o programas.

Medios de Control: los posibles controles son: software de seguridad, registro de

operaciones (consola), informes gerenciales especiales.

AUDITORIA III 2012

SISTEMA MANEJADOR DE BASES DE DATOS (SMBD)

El sistema manejador de bases de datos es un conjunto de programas que se encargan de manejar la creación y todos los accesos a la base de datos. Se compone de un lenguaje de definición de datos (DDL), un lenguaje de manipulación de datos (DML) y de un lenguaje de consulta (SQL).El SMBD sirve como interfaz entre la base de datos física y las peticiones del usuario. El SMBD interpreta las peticiones de entrada/salida del usuario y las manda al sistema operativo para la transferencia de datos entre la unidad de memoria secundaria y la memoria principal. En resumen, un SMBD es el corazón de la base de datos ya que se encarga del control total de los posibles aspectos que la puedan afectar.

OBJETIVOS DE UN SMBD

• Permitir la definición de todos los datos

• Permitir manipular los datos

• Establecer controles para la seguridad de los datos

• Permitir accesos concurrentes

FUNCIONES DE UN SMBD

• Manejo de diccionario de datos: Definiciones y relaciones entre los datos

• Transformación y presentación de los datos: Transformación de los datos nuevos para que satisfaga la estructura definida

• Seguridad: Fortalecer la seguridad y privacidad de la información

• Control de Concurrencia: Controla el acceso multiusuario. Consiste en controlar la interacción entre los usuarios concurrentes para no afectar la consistencia de los datos

• Integridad de datos: Minimiza la redundancia y maximiza la consistencia. Consiste en contar con mecanismos que permiten el control de la consistencia de los datos, evitando que estos se vean perjudicados por cambios no autorizados o previstos

• Lenguaje de acceso a la base de datos: Interfaz para la programación de aplicaciones. Provee acceso a los datos vía lenguaje de consulta SQL y vía lenguaje procedural (pascal, c, etc)

• Interfaz de comunicación de datos: Permite el requerimiento de usuarios en ambiente de red. Crea y organiza la base de datos, establece y mantiene las trayectorias de acceso a la base de datos para que puedan ser accesados rápidamente. Maneja los datos de acuerdo a las peticiones de los usuarios. Registra el uso de la base de datos

• Interacción con el manejador de archivos: Esto la hace a través de sentencias en DML al comando del sistema de archivos. Así el SMBD es el responsable del verdadero almacenamiento de la información

• Respaldo y recuperación: Consiste en contar con mecanismos implantados que permiten la recuperación fácilmente de los datos en caso de ocurrir fallas en el sistema

AUDITORIA III 2012

NIVELES EN UN SMBD

Los niveles definen una arquitectura que sirva como referencia, también llamada arquitectura referencial de tres niveles.

Los niveles son:

• Nivel Interno

• Nivel Externo

• Nivel Conceptual

IMPLEMENTACION DEL ESQUEMA INTERNO

El nivel interno es el más bajo de abstracción, describe que datos son almacenados realmente en la base de datos y las relaciones que existen entre los mismos, es decir, describe la base de datos completa en términos de su estructura de diseño. El diseño físico es el proceso de producir la descripción de la implementación de la base de datos en memoria secundaria: estructuras de almacenamiento y métodos de acceso que garanticen un acceso eficiente a los datos. Entre el diseño físico y el lógico hay una retroalimentación ya que las decisiones que se tomen durante el diseño físico para mejorar las prestaciones pueden afectar la estructura del esquema lógico.

La implementación del esquema interno consiste en:

• Obtener un conjunto de relaciones (tablas) y las restricciones que se deben cumplir sobre ellas

• Determinar las estructuras de almacenamiento y los métodos de acceso que se van a utilizar para conseguir las prestaciones óptimas

• Diseñar el modelo de seguridad del sistema

IMPLEMENTACION DEL ESQUEMA EXTERNO

Es el nivel más alto de abstracción, es lo que el usuario final puede visualizar del sistema terminado, describe sólo una parte de la base de datos al usuario acreditado para verla. El sistema puede proporcionar muchas visiones para la misma base de datos. Este esquema maneja las vistas, que son una especie de tablas virtuales; es decir, no existen físicamente sino que se forman mediante la selección y/o

3. filtrado de los componentes de otras tablas. Una vista puede ser definida con base en otra vista. Las vistas son una forma lógica de ver los datos físicos almacenados en tablas. Cuando creamos una vista seleccionamos un formato que incluye datos que pueden ser tomados de una o más tablas. Aunque un usuario puede consultar una vista y manipularla, las vistas no están almacenadas físicamente. Las vistas son dinámicas porque los cambios que se realicen sobre las tablas base que afectan una vista se reflejan inmediatamente sobre ella. Asimismo, cualquier operación que se realice sobre las vistas se traducen automáticamente a operaciones sobre las relaciones de las que se deriva

IMPLEMENTACION DEL ESQUEMA CONCEPTUAL (LOGICO)

AUDITORIA III 2012

El nivel conceptual describe la estructura lógica global de la base de datos mediante un modelo abstracto de datos comprensible por el SMBD. Se definen la descripción de atributos de entidades, las conexiones y las restricciones de integridad asociadas a la semántica (significados). Podemos decir que describe que datos son almacenados realmente en la base de datos y las relaciones que existen entre los mismos, describe la base de datos completa en términos de su estructura de diseño.

El esquema conceptual consta de las siguientes definiciones:

Definición de los datos

Se describen el tipo de datos y la longitud de campo de todos los elementos. Los elementos en la definición de datos son:

• Atributos: Identificador que permite manipular en forma individual las características de un objeto (entidad). Cada atributo tiene un conjunto de valores asociados denominado dominio. Existen diferentes características en los atributos:

Atributo Simple Tiene un solo componente, no se puede dividir en partes más pequeñas que tengan un significado propio.

Atributo Compuesto Tiene varios componentes, cada uno con un significado por sí mismo. Un grupo de atributos se representa mediante un atributo compuesto cuando tienen afinidad en cuanto a su significado o en cuanto a su uso.

Atributo Monovalente

Es aquel que tiene un solo valor para cada ocurrencia de la entidad o relación a la que pertenece.

Atributo Polivalente o Multivaluado: Es aquel que tiene varios valores para cada ocurrencia de la entidad o relación a la que pertenece.

• Llaves: Atributos o conjunto de atributos mediante los cuales puede hacerse referencia a una entidad específica, deben reconocerse y definirse con claridad. Los diferentes tipos de llaves son:

Superllave: Conjunto de dos o más atributos que tomados colectivamente nos permiten identificar de forma única una entidad dentro de un conjunto de entidades.

Llave Candidata: Son atributos por medio de los cuales podemos reconocer una entidad dentro de un conjunto de entidades, sin ser este la llave principal.

Llave Primaria Atributo: considerado clave para la identificación de los atributos que describen una entidad. Es aquella llave que el diseñador de la base de datos selecciona entre las llaves candidatas encontradas.

• Entidades: Una entidad es un objeto que existe y se distingue de otros objetos de acuerdo a sus características (atributos). Existen entidades que deben su existencia a otras entidades, a éste tipo de entidades se les conoce como entidades débiles. Las entidades que existen sin depender de ninguna otra entidad son llamadas entidades fuertes.

• Especialización y Generalización: La generalización es el resultado de la unión de dos o más entidades, consideradas de bajo nivel, para producir una entidad de más alto nivel. Se usa para hacer resaltar los parecidos entre tipo de entidades de nivel bajo y ocultar las diferencias. La

AUDITORIA III 2012

especialización es el resultado de tomar un conjunto de entidades de alto nivel para formar un conjunto de entidades de más bajo nivel. Es la partición de entidades con el objeto de optimizar el espacio de almacenamiento.

SEGURIDAD QUE PROPORCIONA UN SMBD

Un SMBD cuenta con un subsistema de seguridad y autorización que se encarga de garantizar la seguridad de la base de datos contra el acceso no autorizado. Para proveer la seguridad necesaria cuenta con:

• Identificación y autorización de usuarios: Uso de códigos de acceso y palabras clave, impresiones digitales, reconocimiento de voz, barrido de retina, etc.

• Autorización: Usar derechos de acceso dados por el Terminal, por las operaciones a realizar o por la fecha u hora del día.

• Uso de técnicas de cifrado: Para proteger las bases de datos distribuidas, o con acceso por red o Internet.

• Diferentes tipos de cuentas: Cada cuenta tiene permisos diferentes según el perfil creado por el administrador, quien también necesita la creación de su cuenta para tener las concesiones y privilegios requeridos.

• Manejo de tabla de usuarios: Cada usuario tiene código y contraseña, en la tabla se controlan las operaciones efectuadas en cada sesión de trabajo por cada usuario, lo cual facilita una auditoria a la base de datos.

CRITERIOS PARA LA SELECCIÓN DE UN SMBD

• Tamaño de la base de datos (número de registros)

• Cantidad de usuarios concurrentes

• Desempeño

• Integración

• Características

• Proveedor

• Costo

PRINCIPALES MANEJADORES DE BASE DE DATOS

1.- SQL Server: Es un sistema manejador de base de datos que por sus siglas en ingles SQL (structured query language) es un lenguaje declarativo de acceso a bases de datos relacionales que permite especificar diversos tipos de operaciones en éstas. También   es un sistema para la gestión de bases de datos producido por Microsoft basado en el modelo relacional. Sus lenguajes para consultas son T-SQL y ANSI SQL.  Constituye la alternativa de Microsoft a otros potentes sistemas gestores de bases de datos como son Oracle o MySQL. Y posee algunas

AUDITORIA III 2012

características tales como Soporte de transacciones, Escalabilidad, estabilidad y seguridad, Soporta procedimientos almacenados, entre otras.

Características:

Escalabilidad, estabilidad y seguridad. Soporta procedimientos almacenados. Incluye también un potente entorno gráfico de administración, que permite el uso de comandos

DDL y DML gráficamente. Permite trabajar en modo cliente-servidor, donde la información y datos se alojan en el servidor

y las terminales o clientes de la red sólo acceden a la información. Además permite administrar información de otros servidores de datos.

Es común desarrollar completos proyectos complementando Microsoft SQL Server y Microsoft Access a través de los llamados ADP (Access Data Project). De esta forma se completa la base de datos (Microsoft SQL Server), con el entorno de desarrollo (VBA Access), a través de la implementación de aplicaciones de dos capas mediante el uso de formularios Windows.

En el manejo de SQL mediante líneas de comando se utiliza el SQLCMD.

Para el desarrollo de aplicaciones más complejas (tres o más capas), Microsoft SQL

Server incluye interfaces de acceso para varias plataformas de desarrollo, entre ellas .NET, pero el servidor sólo está disponible para Sistemas Operativos Windows.

OBJETIVOS

Evaluar el funcionamiento de la Base de Datos SQL Server. Identificar debilidades. Analizar funcionamiento de tablas, campos, etc. 2.- Microsoft Access: Es una herramienta de Microsoft para la definición y manipulación de bases de datos, teniendo en cuenta que una base de datos es un sistema informatizado cuyo propósito principal es mantener información y hacer que esté disponible en el momento requerido. Esta información es persistente dentro del sistema, es decir, una vez introducida en él, se mantiene hasta que el usuario decida eliminarla. Access es un programa del sistema operativo creado y modificado por Microsoft para uso personal en pequeñas organizaciones.

3.- MySQL: Es el SQL más popular en la plataforma UNIX. Es rápido y eficiente, aunque no es tan fácil de usar como otros productos similares, este como software libre en un esquema de licenciamiento dual. Es un sistema de gestión de base de datos relacional, multihilo y multiusuario.

Aplicaciones

MySQL es muy utilizado en aplicaciones web, como Drupal o phpBB, en plataformas (Linux/Windows-Apache-MySQL-PHP/Perl/Python), y por herramientas de seguimiento de errores como Bugzilla. Su popularidad como aplicación web está muy ligada a PHP, que a menudo aparece en combinación con MySQL. MySQL es una base de datos muy rápida en la lectura cuando utiliza el motor no transaccional MyISAM, pero puede provocar problemas de integridad en entornos de alta concurrencia en la modificación. En aplicaciones web hay baja concurrencia en la

AUDITORIA III 2012

modificación de datos y en cambio el entorno es intensivo en lectura de datos, lo que hace a MySQL ideal para este tipo de aplicaciones.

Características de la versión 5.0.22

Un amplio subconjunto de ANSI SQL 99, y varias extensiones. Soporte a multiplataforma Procedimientos almacenados Disparadores (triggers) Cursores Vistas actualizables Soporte a VARCHAR INFORMATION_SCHEMA Modo Strict Soporte X/Open XA de transacciones distribuidas; transacción en dos fases como parte de esto, utilizando el motor InnoDB de Oracle Motores de almacenamiento independientes (MyISAM para lecturas rápidas, InnoDB para

transacciones e integridad referencial) Transacciones con los motores de almacenamiento InnoDB, BDB Y Cluster; puntos de

recuperación (savepoints) con InnoDB Soporte para SSL Query caching Sub-SELECTs (o SELECTs anidados) Réplica con un maestro por esclavo, varios esclavos por maestro, sin soporte automático para

múltiples maestros por esclavo. Soporte completo para Unicode Conforme a las reglas ACID usando los motores InnoDB, BDB y Cluster Shared-nothing clustering through MySQL Cluster

OBJETIVOS

Evaluar el funcionamiento de la Base de Datos MySQL. Identificar debilidades. Analizar funcionamiento de tablas, campos, etc. Es muy utilizado en aplicaciones Web, como

Drupal o phpBB, en plataformas (Linux/Windows-Apache-MySQL-PHP/Perl/Python) Drupal o phpBB, en plataformas (Linux/Windows-Apache-MySQL-PHP/Perl/Python), y por herramientas de seguimiento de errores como Bugzilla.

4.- InterBase: Es un Sistema de Administración y gestión de Base de Datos Relacionales, desarrollado y comercializado por la compañía Borland Software Corporation y actualmente desarrollado por su ex-filial CodeGear. InterBase se destaca de otros sistemas administrativos por su bajo consumo de recursos, su casi nula necesidad de administración y su arquitectura multi-generacional. InterBase corre en plataformas Linus, Microsoft Windows y Solaris. Los servidores InterBase normalmente no requieren de administradores a tiempo completos.

5.- Oracle: Es básicamente una herramienta cliente/servidor para la gestión de Bases de Datos. Es un producto vendido a nivel mundial. Para desarrollar en Oracle utilizamos PL/SQL un lenguaje de 5ª generación, bastante potente para tratar y gestionar la base de datos, también por norma general se suele utilizar SQL al crear un formulario. Fue desarrollado por Oracle Corporation, se considera como uno de los sistemas de bases de datos más completos, destacando soporte de transacciones,

AUDITORIA III 2012

estabilidad, estabilidad, entre otras. Y las últimas versiones de Oracle han sido certificadas para poder trabajar bajo GNU/Linux.

Se considera a Oracle como uno de los sistemas de bases de datos más completos, destacando:

Soporte de transacciones. Estabilidad. Escalabilidad. Soporte multiplataforma.

Este manejador de base de datos relacional hace uso de los recursos del sistema informático en todas las arquitecturas de hardware, para garantizar su aprovechamiento al máximo en ambientes cargados de información.

Es el conjunto de datos que proporciona la capacidad de almacenar y acudir a estos de forma recurrente con un modelo definido como relacional. Además es una suite de productos que ofrece una gran variedad de herramientas.

Es el mayor y más usado Sistema Manejador de Base de Dato Relacional (RDBMS) en el mundo. La Corporación Oracle ofrece este RDBMS como un producto incorporado a la línea de producción. Además incluye cuatro generaciones de desarrollo de aplicación, herramientas de reportes y utilitarios.

Oracle corre en computadoras personales (PC), microcomputadoras, mainframes y computadoras con procesamiento paralelo masivo. Soporta unos 17 idiomas, corre automáticamente en más de 80 arquitecturas de hardware y software distinto sin tener la necesidad de cambiar una sola línea de código. Esto es porque más el 80% de los códigos internos de Oracle son iguales a los establecidos en todas las plataformas de sistemas operativos.

6.-   DB2: DB2 es una marca comercial, propiedad de IBM, bajo la cual se comercializa un sistema de gestión de base de datos. La automatización es una de sus características más importantes, ya que permite eliminar tareas rutinarias y permitiendo que el almacenamiento de datos sea más ligero, utilizando menos hardware y reduciendo las necesidades de consumo de alimentación y servidores. Y la memoria se ajusta y se optimiza el rendimiento del sistema, con un interesante sistema que permite resolver problemas de forma automática e incluso adelantarse a su aparición, configurando automáticamente el sistema y gestión de los valores. También Permite el manejo de objetos grandes (hasta 2 GB), la definición de datos y funciones por parte del usuario, el chequeo de integridad referencial, SQL recursivo, soporte multimedia, entre otros.

Ventajas:

Recuperación utilizando accesos de sólo índices. Predicados correlacionados. Tablas de resumen Tablas replicadas Uniones hash DB2 utiliza una combinación de seguridad externa y control interno de acceso a proteger

datos. DB2 proporciona un juego de datos de acceso de las interfaces para los diferentes tipos de

usuarios y aplicaciones.

AUDITORIA III 2012

DB2 guarda sus datos contra la pérdida, acceso desautorizado, o entradas inválidas. Usted puede realizar la administración de la DB2 desde cualquier puesto de trabajo. La tecnología de replicación heterogénea en SQL Server permite la ubicación automática

de los datos en otros sistemas que no sean SQL Server, entre los que se incluyen DB2. La mayoría de los que utilizan equipos IBM utilizan DB2 porque es confiable y tiene un

muy buen soporte técnico". El DB2 se basa en dos ejes que lo hacen fuerte en su rendimiento: utiliza un sistema

multiprocesador (SMP) simétrico y un sistema de procesador paralelo masivo.7.- DBase: Este fue el primer Sistema de gestión de base de datos usado ampliamente para microcomputadoras, publicado por Ashton-Tate para CP/M, y más tarde para Apple II, Apple Macintosh, UNIX e IBM PC bajo DOS donde con su legendaria versión III Plus se convirtió en uno de los títulos de software más vendidos durante un buen número de años. DBase nunca pudo superar exitosamente la transición a Microsoft Windows y terminó siendo desplazado por productos más nuevos como Paradox, Clipper, y FoxPro.

8.-   Paradox: Base de datos relacional para entorno MS Windows, anteriormente disponible para MS-DOS y Linux, desarrollada actualmente por Corel e incluida en la suite ofimática WordPerfect Office. Si se compara con otras bases de datos que usan lenguajes más avanzados. Con su Runtime se puede desarrollar una aplicación usando una sola licencia sin limitación de puestos.

9.-PROSTGRESS: PostgreSQL es un potente sistema de base de datos relacional libre (opensource, su código fuente está disponible) liberado bajo licencia BSD. Tiene más de 15 años de activo desarrollo y arquitectura probada que se ha ganado una muy buena reputación por su confiabilidad e integridad de datos. Funciona en todos los sistemas operativos importantes, incluyendo Linux, UNIX (AIX, BSD, HP-UX, SGIIRIX, Mac OSX, Solaris, Tru64) y Windows.

El desarrollo de PostgreSQL es realizado por un equipo de desarrolladores (voluntarios en su mayoría) dispersos alrededor del mundo y comunicados vía Internet. Este es un proyecto de la comunidad y no es controlado por ninguna compañía. Para integrarse al proyecto vea el FAQ de los desarrolladores:

http://www.postgresql.org/files/documentation/faqs/FAQ_DEV.html.

PostgreSQL es un servidor de base de datos relacional libre, liberado bajo la licencia BSD. Es una alternativa a otros sistemas de bases de datos de código abierto (como MySQL, Firebird y MaxDB), así como sistemas propietarios como Oracle o DB2.

Soporta casi toda la sintaxis SQL tiene soporte total para foreign keys, joins, views, triggers, y stored procedures (en multiples lenguajes).

Características

Integridad transaccional, obedece completamente a la especificación ACID. Acceso concurrente multiversión, MVCC Control de Concurrencia MultiVersión

(MultiVersion Concurrency Control), no se bloquean las tablas, ni siquiera las filas, cuando un proceso escribe. Es la tecnología que PostgreSQL usa para evitar bloqueos innecesarios. Mediante el uso de MVCC, PostgreSQL evita el problema de que procesos lectores estén

AUDITORIA III 2012

esperando a que se termine de escribir. En su lugar, PostgreSQL mantiene una ruta a todas las transacciones realizadas por los usuarios de la base de datos. PostgreSQL es capaz entonces de manejar los registros sin necesidad de que los usuarios tengan que esperar a que los registros estén disponibles.

Cliente / Servidor: PostgreSQL usa una arquitectura proceso-por-usuario cliente / servidor. Esta es similar al método del Apache 1.3.x para manejar procesos. Hay un proceso maestro que se ramifica para proporcionar conexiones adicionales para cada cliente que intenteconectar a PostgreSQL.

Write Ahead Logging (WAL): La característica de PostgreSQL conocida como Write Ahead Logging incrementa la dependencia de la base de datos al registro de cambios antes de que estos sean escritos en la base de datos. Esto garantiza que en el hipotético caso de que la base de datos se caiga, existirá un registro de las transacciones a partir del cual podremos restaurar la base de datos. Esto puede ser enormemente beneficioso en el caso de caída, ya que cualesquiera cambios que no fueron escritos en la base de datos pueden ser recuperados usando el dato que fue previemante registrado. Una vez el sistema ha quedado restaurado, un usuario puede continuar trabajando desde el punto en que lo dejó cuando cayó la base de datos.

Lenguajes Procedurales: PostgreSQL tiene soporte para lenguajes procedurales internos, incluyendo un lenguaje nativo denominado PL/pgSQL. Este lenguaje es comparable al lenguaje procedural de Oracle, PL/SQL. Otra ventaja de PostgreSQL es su habilidad para usar Perl, Python, o TCL como lenguaje procedural embebido. Además de en C, C++ y Java.

Interfaces con lenguajes de programación. La flexibilidad del API de PostgreSQL ha permitido a los vendedores proporcionar soporte al desarrollo fácilmente para el RDBMS PostgreSQL. Estas interfaces incluyen Object Pascal, Python, Perl, PHP, ODBC, Java / JDBC, Ruby, TCL, C/C++, Pike, etc.

Herencia de tablas: Incluye la mayoría de los tipos de datos SQL92 y SQL99 (INTEGER, NUMERIC, BOOLEAN, CHAR, VARCHAR, DATE, INTERVAL y TIMESTAMP), soporta almacenamiento de objetos grandes binarios, además de tipos de datos y operaciones geométricas.

Puntos de recuperación a un momento dado, tablespaces, replicación asincrónica, transacciones jerarquizadas (savepoints), backups en línea.

Un sofisticado analizador / optimizador de consultas. Soporta juegos de caracteres internacionales, codificación de caracteres multibyte.

ELABORACIÓN Y ESTRUCTURA DE ARCHIVOS

Almacenamiento y estructura de archivos*

1. VISIÓN GENERAL DE LOS MEDIOS FÍSICOS DE ALMACENAMIENTO:

En la mayor parte de los sistemas informáticos hay varios tipos de almacenamientos de datos. Estos medios de almacenamiento se clasifican según la velocidad con la que se puede acceder a los datos, por el coste de adquisición del medio por unidad de datos y por la fiabilidad del medio. Entre los medios disponibles habitualmente figuran:

Caché. Es la forma de almacenamiento más rápida y costosa. La memoria caché es pequeña; su uso lo gestiona el hardware del sistema informático.

Memoria principal. El medio de almacenamiento utilizado para operar con los datos disponibles es la memoria principal. Las instrucciones de la máquina de propósito general

AUDITORIA III 2012

operan en la memoria principal. El contenido de la memoria principal suele perderse si se produce un fallo del suministro eléctrico o una caída del sistema.

Memoria flash. También conocida como memoria sólo de lectura programable y borrable eléctricamente (Electrically Erasable Programmable Read-Only Memory, EEPROM), la memoria flash se diferencia de la memoria principal en que los datos pueden sobrevivir a los fallos del suministro eléctrico.

Almacenamiento en discos magnéticos. El principal medio de almacenamiento a largo plazo de datos en conexión es el disco magnético. Generalmente se guarda en este tipo de discos toda la base de datos. Para tener acceso a los datos hay que trasladarlos desde el disco a la memoria principal. Después de realizar la operación hay que escribir en el disco los datos que se han modificado.

Los medios de almacenamiento más rápidos (por ejemplo, caché y memoria principal) se denominan almacenamiento primario. A continuación un ejemplo ilustrativo:

2. ORGANIZACIÓN DE LOS ARCHIVOS:

Los archivos se organizan lógicamente como secuencias de registros. Estos registros se corresponden con los bloques del disco. Los archivos se proporcionan como un instrumento fundamental de los sistemas operativos, por lo que se supondrá la existencia de un sistema de archivos subyacente. Hay que tomar en consideración diversas maneras de representar los modelos lógicos de datos en términos de archivos.

Un enfoque de la correspondencia entre la base de datos y los archivos es utilizar varios y guardar los registros de cada una de las diferentes longitudes fijas existentes en cada uno de esos archivos.

3. ORGANIZACIÓN DE LOS REGISTROS EN ARCHIVOS:

Dado un conjunto de registros, la pregunta siguiente es la manera de organizarlos en archivos. A continuación se indican varias de las maneras de organizar los registros en archivos:

Organización de archivos en montículo. En esta organización se puede colocar cualquier registro en cualquier parte del archivo en que haya espacio suficiente. No hay ninguna ordenación de los registros. Generalmente sólo hay un archivo por cada relación.

Organización de archivos secuenciales. En esta organización los registros se guardan en orden secuencial, basado en el valor de la clave de búsqueda de cada registro.

Organización asociativa (hash) de archivos. En esta organización se calcula una función de asociación (hash) de algún atributo de cada registro. El resultado de la función de asociación especifica el bloque del archivo en que se deberá colocar el registro.

4. ALMACENAMIENTO PARA LA BASE DE DATOS ORIENTADAS A OBJETOS:

AUDITORIA III 2012

a) Correspondencia de los objetos con los archivos:

La correspondencia de los objetos con los archivos tiene gran parecido con la correspondencia de las tuplas con los archivos de los sistemas relacionales. En el nivel inferior de la representación de los datos, tanto las partes de tuplas de los objetos como las de datos, son sencillamente secuencias de bytes. Por tanto, se pueden guardar los datos de los objetos utilizando las estructuras de archivos descritas en los apartados anteriores con algunas modificaciones que se indican a continuación. Los objetos de las bases de datos orientadas a objetos pueden carecer de la uniformidad de las tuplas de las bases de datos relacionales. Por ejemplo, los campos de los registros pueden ser conjuntos, a diferencia de las bases de datos relacionales, en los que se suele exigir que los datos se encuentren (por lo menos) en la primera forma normal. Además, los objetos pueden ser muy grandes. Hay que tratar estos objetos de manera diferente de los registros de los sistemas relacionales. Se pueden implementar campos de conjuntos que tengan un número pequeño de elementos que utilicen estructuras de datos como las listas enlazadas. Los campos de conjuntos que tienen un número de elementos mayor pueden implementarse como relaciones en la base de datos. Los campos de conjuntos también pueden borrarse en el nivel de almacenamiento mediante la normalización: se crea una relación que contenga una tupla para cada valor del campo de conjunto de un objeto.

CREACIÓN DE RUTINAS DE AUDITORIA DE ISTEMAS CONTABLES

Antes de hablar de “rutinas de auditoría de sistemas contables”, es bueno entender el alcance que tiene dicha tarea específicamente la auditoria de sistemas pues no se trata únicamente de inspeccionar una plataforma o software que tenga un fin especifico en este caso únicamente los sistemas contable, sino que todo el paquete de software que necesariamente una empresa tiene que utilizar y que para ello necesita adquirir un derecho de utilización o llamado licencia, sería un error por parte del auditor inspeccionar únicamente cierto software y no todo el equipo o estación de trabajo, pues como indique antes un computador no solo maneja un programa sino varios, estos a su vez son propensos a ser obtenidos de forma ilegal, dado que representa un menor costo que adquirir los programas con su respectiva licencia de uso, por ello sugiero que el proceso debe llamarse “Auditoria de estación o terminal de trabajo”.

Al igual que los videos de películas o los CD de música, videojuegos y cualquier material que se almacene en medios físicos digitales, los programas de software son propiedad intelectual de sus creadores. Es ilegal utilizar software sin la autorización expresa del fabricante o editor, sin importar cómo se obtuvieron. Casi siempre, esa autorización adquiere la forma de una licencia del editor que viene adjunta a las copias autorizadas de los programas. Cuando usted "compra" software, lo que está realmente haciendo, en casi todos los casos, es comprar una licencia para poder usar el programa de software. En lugar de ser el dueño del programa informático, usted adquiere derechos limitados de uso, reproducción y distribución en virtud de los términos establecidos en la licencia.

Generalmente, una copia autorizada de un programa sólo se puede instalar y utilizar en una computadora a la vez, aunque usualmente existen disposiciones que permiten realizar una copia de respaldo para archivo o su empleo en caso de que sea necesaria una recuperación de datos por desastre. Si usted no cumple con los términos establecidos en la licencia (por ejemplo, instalando la misma copia de un programa de usuario único en varias computadoras), está incurriendo en piratería de software. En ese caso, el editor puede iniciar acciones legales contra usted o su empresa.

AUDITORIA III 2012

La licencia no es la única forma en que se protegen los programas de software. Los derechos de autor, y a veces la ley de patentes, protegen al software de la copia, distribución y venta no autorizadas. La ley también contempla el Internet y prohíbe a los usuarios cargar, descargar o transmitir copias no autorizadas de software en línea. Un individuo que quebranta estas leyes, o una empresa que no toma medidas cuando un empleado lo hace, tiene responsabilidad civil y penal. Las consecuencias van desde la aplicación de importantes sanciones civiles y penales, hasta incluso la posibilidad de ir a la cárcel.

El uso de copias ilegales de software tiene otras graves consecuencias. Los editores de programas de software ofrecen a sus clientes legítimos una amplia gama de servicios además del programa propiamente dicho: manuales de usuario y otros documentos, notificación de problemas, capacitación, servicios de respaldo y soporte técnico, reparaciones y actualizaciones. Una copia legítima garantiza la obtención de un producto de calidad producido por el propietario legítimo del programa.

Es importante educar a los empleados acerca del rol que juegan a la hora de proteger a su empresa de violaciones a la seguridad. Además, los directivos necesitan desempeñar un rol activo en los programas de seguridad de la información de sus organizaciones para que resulten eficaces. Es importante recordar los siguientes consejos sobre la seguridad:

Instale un programa antivirus: asegúrese de que todas las computadoras cuenten con un programa antivirus y la función de actualización automática se encuentre activada.

Tenga seguridad informática: informe de los ataques informáticos a los organismos locales de cumplimiento de la ley y al proveedor de IT.

Instale un firewall o sistema de seguridad: el firewall protegerá su(s) computadora(s) del acceso no autorizado y el uso por parte de hackers.

Controle las actualizaciones en materia de seguridad: las actualizaciones de seguridad deberían controlarse cada 30 días en los programas instalados en las computadoras y los sistemas operativos. Realice la actualización automática y/o suscríbase al servicio de notificación que ofrece el proveedor.

Contraseñas: cambie las contraseñas de las computadoras cada 120 días y asegúrese de que sean confiables y contengan números y símbolos.

Comunicación con los empleados: hable con sus empleados sobre la importancia de la seguridad informática.

SOFTWARE Y LICENCIAS

Ya hemos hablado acerca del software que necesita indispensablemente una empresa para poder desarrollar sus actividades, pero también es importante saber cuál y que tipo son los que cumplen con las necesidades de la empresa o usuario, y para ellos vamos a distinguir entre el tipo de software y su respectiva licencia

CLASES DE SOFTWARE

Bien empecemos por recordad o mencionar que el software es el programa propiamente dicho, el cual lo podremos adquirir de diversas formas tanto en línea mediante una descarga legal o través de un medio físico como: un cd, pendrive, memory flash, etc. Este Software se clasifica en dos tipos: los LIBRE, OEM y RETAIL.

AUDITORIA III 2012

Software LIBRE

Este tipo de software es desarrollado sin ningún tipo lucro en primera instancia se sustenta en base a donaciones que realizan los beneficiarios, se puede distribuir libremente por la red o por cualquier medio ya que no existe prohibición por parte de de los desarrolladores.

Software OEM

Este clase de programas viene asociado a un dispositivo y viene junto al cuando se lo adquiere y está casi siempre restringida su venta por sus características es muy limitado dando paso que si el usuario necesita más prestaciones puede optar por comprar una versión RETAIL con mejores características, por ejemplo cuando se compra una impresora esta incluye en software para instalar y que opere en un computador.

Software RETAIL

El software RETAIL es comercial y tiene precio es el que los desarrolladores ponen en venta y no está asociado a ningún dispositivo de forma gratuita salvo que el fabricante del dispositivo este ofertando alguna promoción donde se lo incluya, suele ser una versión mejorada del OEM, por ejemplo pensemos en una de las aplicaciones que vienen dentro del cd de la impresora que mencionamos en el ejemplo anterior, si el usuario desea mas prestaciones entonces obtendrá una licencia que le permitirá convertir su programa gratuito en uno de paga.

CLASES DE LICENCIAS

Todo software sea OEM o RETAIL tiene asociado una licencia, clave o serie que lo identifica, así mismo existen variantes de licencias según las condiciones del usuario imaginemos una empresa pequeña donde se manejen unos cinco computadores a una empresa grande con sucursales donde tendrán muchas computadoras ahora hagamos una distinción entre las licencias corporativas y finales.

Licencia Final

Esta licencia que se incluye en el software RETAIL, tiene limitaciones ya que permite que solo un usuario haga uso de ella en un solo computador, su precio es bajo y se ajusta a las necesidades de una persona que tenga pocos computadores en su empresa.

Licencia Corporativa

Esta licencia también viene en el software RETAIL, pero a diferencia de la final tiene la característica que permite con una misma serie activar muchos computadores sin incurrir en piratería, dado que está adquiriendo una licencia que dentro del contrato estipula que se puede usar en más de un equipo.

LA ADMINISTRACIÓN ADECUADA DE LOS PROGRAMAS DE SOFTWARE ES UN PROCESO DE CUATRO PASOS

Primer paso: desarrollo de políticas y procedimientos

AUDITORIA III 2012

Antes que nada, la cultura de su empresa debe hacer que todos sus empleados entiendan el valor del software comercial, conozcan la diferencia entre el uso legal e ilegal, y se comprometan a utilizar adecuadamente el software. Para lograrlo, su organización debe tener una declaración de política clara que exprese los objetivos de la empresa en cuanto al uso de los programas de software, la utilización exclusiva de software legal y el detalle del procedimiento de la empresa para adquirir software legal. Un proceso eficaz de adquisición de programas de software debe incluir los siguientes lineamientos:

Centralizar todas sus compras a través de un departamento de compras u otra área con autoridad designada dentro de la empresa;

Exigir que todas las solicitudes de compra de software se efectúen por escrito y cuenten con la aprobación del director de departamento;

Verificar que los programas solicitados integren la lista de software utilizado en la empresa;

Comprar programas únicamente a vendedores autorizados, de buena reputación;

Trabajar solamente con Proveedores de Servicios de Aplicación (ASP) de buena reputación y garantizar el mantenimiento de toda la documentación y licencias importantes con dicho ASP;

Obtener materiales de usuario (por ejemplo: manuales, tarjetas de registro, etc.), licencias y recibos originales por cada compra de software;

No permitir que los empleados compren programas de software en forma directa ni los carguen a sus cuentas de gastos;

Garantizar que los empleados no puedan bajar los programas de software legales de Internet sin una aprobación especial; y

No permitir que los empleados descarguen aplicaciones de software para operar sistemas de peer-to-peer (P2P) que puedan utilizarse para comercializar trabajos protegidos por el derecho de autor.

A la hora de desarrollar procedimientos internos para la administración de los programas de software, todas las empresas deben hacerse la siguiente pregunta:

"¿Qué software necesitamos?" La respuesta siempre será valiosa para garantizar que tanto los procesos de compra como de utilización de software sean efectivos y eficientes, y para guiar sus esfuerzos en relación al establecimiento y mantenimiento de las políticas de administración de software.

Como regla general, su análisis debe responder a las siguientes preguntas:

• ¿Está utilizando los programas de software adecuados en términos de eficacia y efectividad?

• ¿El personal está satisfecho con sus actuales aplicaciones de software?

• ¿Existen otros programas de software que permitirían al personal operar de forma más eficiente y eficaz?

AUDITORIA III 2012

• ¿Tiene algún software en su poder que ya no necesita?

Los procedimientos de su organización deberían incluir la identificación del perfil de programa informático adecuado para cada computadora, evaluando si los miembros del departamento/personal necesitan aplicaciones de software alternativas o adicionales. Además, los programas de software que no se estén utilizando deberían identificarse para determinar si su empresa desea conservarlos.

Segundo paso: auditoría de su software

Una vez que cuenta con una política y un conjunto de procedimientos, el próximo paso consiste en realizar un inventario de su activo en software. Sólo sabiendo cuáles son los programas que se encuentran instalados en todas las computadoras de su organización (sistemas de escritorio, portátiles y cualquier copia de programas de trabajo instalada por los empleados en las computadoras que tienen en sus hogares), usted puede determinar cómo proceder.

Un inventario preciso puede responder a las siguientes preguntas:

• ¿Estamos utilizando las versiones más recientes o convenientes de los programas que necesitamos?

• ¿Estamos utilizando programas desactualizados o innecesarios que puedan eliminarse?

• ¿Existen otros programas que deberíamos obtener para volvernos más productivos o eficientes?

• ¿Tiene cada empleado el conjunto adecuado de programas disponibles?

• ¿Están los empleados adecuadamente capacitados para utilizar nuestros programas de software?

• ¿Tenemos programas o copias ilegales, no autorizadas o sin licencia en nuestra empresa?

Para completar el inventario puede utilizar alguna de las diversas herramientas disponibles o hacerlo en forma manual. El sitio web de BSA, www.bsa.org, ofrece a su empresa herramientas de auditoría de software en forma gratuita. Independientemente de las herramientas que utilice, asegúrese de obtener la siguiente información para cada copia de programa informático instalada en cada computadora:

• Nombre del producto

• Número de la versión

• Número de serie

Además, debería realizar un inventario de los materiales vinculados a los programas de software en sus computadoras, incluidos:

• Todos los disquetes, CD, u otros medios de almacenamiento de información, utilizados para instalar los programas en sus computadoras;

• Todos los manuales originales y la documentación de referencia;

• Toda la documentación vinculada a la licencia; y

AUDITORIA III 2012

• Todas las facturas, pruebas de compra y otros documentos que prueben la legitimidad de sus programas de software. Esto incluye las facturas por la compra de computadoras que usted adquirió con los programas ya instalados.

Una vez finalizado el inventario, debería guardar cuidadosamente la documentación, las copias originales de su software y otros materiales, en un lugar seguro. De esta forma, puede aprovechar los servicios, las ofertas de actualización y otros beneficios que ofrecen los editores de programas, y reinstalar los programas de software de forma más sencilla.

Tercer paso: determinación de qué es legal y qué no lo es

Con su inventario, usted puede comparar los programas de software que se encuentran instalados en las computadoras de su empresa con lo que está permitido en virtud de los términos establecidos en las licencias adquiridas. Recuerde que algunas licencias le permiten efectuar un determinado número de copias de un programa a partir de una única fuente o tener una cantidad limitada de usuarios de red que pueden utilizar software en forma simultánea. La licencia original establece cuántos son los usuarios autorizados.

Al identificar copias ilegales de software en su organización debería eliminarlas de sus computadoras. Este es también el momento ideal para recordar a los empleados la política de software de la empresa y los peligros vinculados al uso de programas de software no autorizados.

En este momento puede comparar las copias legítimas de software que permanecen en sus computadoras con las necesidades empresariales identificadas al realizar el inventario. Usted puede tomar decisiones informadas sobre qué software legal tiene y quiere mantener, actualizar o eliminar. Los programas se pueden mover, no copiarse, de una computadora en la que ya no son necesarios a otra que sí los necesita. De ser necesario, los programas se pueden actualizar de forma que todos utilicen la versión del programa más adecuada para su empresa. Además, usted puede comprar únicamente los programas de software nuevo y legítimo que necesite.

Sobre la base del inventario, las actualizaciones, las nuevas adquisiciones y la información suministrada por sus empleados, usted puede realizar una lista formal de los programas de software que su empresa autorizará a sus empleados a utilizar. La lista debería incluir los nombres de los programas, los números de serie, los números de versión, la cantidad de copias o usuarios permitidos por la licencia, las computadoras en las que se encuentran instaladas las copias y los planes para agregar, actualizar o eliminar software en el futuro.

Cuarto paso: establecimiento de una auditoría de rutina

La administración eficaz de los programas de software es un proceso continuo. Usted necesita controlar la observación de las normas, protegerse contra la instalación de programas de software ilegales, mantener actualizada la lista de software que utiliza y planificar para los tres próximos años. Es apropiado que alguien dentro de su empresa se haga responsable del proceso para centralizar la tarea.

Es conveniente realizar controles periódicos en cada computadora para asegurarse de que no se han instalado programas de software ilegales por descuido o en forma deliberada. También es conveniente realizar un inventario al menos una vez al año, tal como se hace con otros activos valiosos de la empresa. Cuando un empleado deje la empresa, asegúrese de que los programas de software con los que trabajaba permanezcan en su lugar y no se lleve copias consigo.

AUDITORIA III 2012

Consejos para evitar la piratería

A continuación se muestran algunos consejos de BSA para ayudar al público y las empresas a la hora de adquirir software en línea ofrecidos por vendedores en sitios de subastas, minoristas de descuentos o en respuesta a solicitudes de correo electrónico:

Si el precio de un programa de software parece "demasiado bueno para ser verdad", probablemente se trate de un programa pirata;

Desconfíe de los programas de software que vienen sin ningún tipo de documentación o manuales;

Sea precavido con los productos que no parezcan genuinos, como los que vienen con etiquetas escritas a mano;

Desconfíe de los vendedores que ofrecen hacer copias "de respaldo";

Tenga cuidado con los productos marcados como académicos, OEM, NFR o CD-R;

Sea cuidadoso con las compilaciones de títulos de software de diversos editores presentados en un único disco;

No divulgue la información de su tarjeta de crédito a menos que sepa que se trata de una transacción segura; y

Denuncie ante organizaciones como BSA si ha sido víctima de un fraude en relación a programas de software.

La administración adecuada de los programas de software requiere de tiempo y esfuerzo, pero las recompensas justifican la tarea. Si usted siguió el proceso detallado en esta guía, ha tomado las medidas necesarias para obtener el mayor provecho de su software y eliminar el riesgo de que su empresa reciba sanciones por el uso ilegal de programas de software.

BSA ofrece recursos, herramientas y consejos sobre la importancia del cumplimiento de las reglas de licenciamiento de software y el empleo de programas que cuenten con las licencias apropiadas.

PREGUNTAS

1. ¿Qué es sistema manejador de bases de datos?

El sistema manejador de bases de datos es un conjunto de programas que se encargan de

manejar la creación y todos los accesos a la base de datos.

2. ¿Escriba cuatro funciones de Los Sistemas Manejadores de base de datos?

Transformación y presentación de los datos: Transformación de los datos nuevos para

que satisfaga la estructura definida

Seguridad: Fortalecer la seguridad y privacidad de la información

AUDITORIA III 2012

Control de Concurrencia: Controla el acceso multiusuario. Consiste en controlar la

interacción entre los usuarios concurrentes para no afectar la consistencia de los datos

Integridad de datos: Minimiza la redundancia y maximiza la consistencia. Consiste en

contar con mecanismos que permiten el control de la consistencia de los datos, evitando

que estos se vean perjudicados por cambios no autorizados o previstos.

3. ¿A qué se refiere la Implementación del esquema interno?

El nivel interno es el más bajo de abstracción, describe que datos son almacenados realmente en la base de datos y las relaciones que existen entre los mismos, es decir, describe la base de datos completa en términos de su estructura de diseño

4. ¿Qué es un Atributo Compuesto? Tiene varios componentes, cada uno con un significado por sí mismo. Un grupo de atributos se representa mediante un atributo compuesto cuando tienen afinidad en cuanto a su significado o en cuanto a su uso.

5. ¿Cuál es la importancia de un manejador de datos?

Las bases de datos, hoy en día, ocupan un lugar determinante en cualquier área del quehacer humano, comercial, y tecnológico. No sólo las personas que están involucradas en el área de Informática, sino todas las personas administrativas, técnicas y con mayor razón los profesionales de cualquier carrera, deben de tener los conocimientos necesarios para poder usar las bases de datos.

6. ¿Cuáles son las características de la base de datos SQL? estabilidad y seguridad. Soporta procedimientos almacenados. Además permite administrar información de otros servidores de datos. 7. ¿Cuál es la característica del Microsoft Access:?

Es una herramienta de Microsoft para la definición y manipulación de bases de datos

8. ¿Cómo se organizan los archivos?

Los archivos se organizan lógicamente como secuencias de registros. Estos registros se corresponden con los bloques del disco. Los archivos se proporcionan como un instrumento fundamental de los sistemas operativos, por lo que se supondrá la existencia de un sistema de archivos subyacente.

9. ¿De qué manera se organizan los registros en archivos?

Los registros se pueden almacenar en archivos de las siguientes maneras:

o Organización de archivos secuenciales. o Organización de archivos en montículo.o Organización asociativa (hash) de archivos.

10. ¿A qué se refiere la Organización asociativa (hash) de archivos?

En esta organización se calcula una función de asociación (hash) de algún atributo de cada registro. El resultado de la función de asociación especifica el bloque del archivo en que se deberá colocar el registro.

AUDITORIA III 2012

11. ¿Cuáles son los tipos de software que hay?

Software LIBRE Software OEM Software RETAIL

12. ¿Qué es el Software OEM?Este clase de programas viene asociado a un dispositivo y viene junto al cuando se lo adquiere y está casi siempre restringida su venta por sus características es muy limitado dando paso que si el usuario necesita más prestaciones puede optar por comprar una versión RETAIL con mejores características, por ejemplo cuando se compra una impresora esta incluye en software para instalar y que opere en un computador.

13. ¿Qué es la licencia final?

Esta licencia que se incluye en el software RETAIL, tiene limitaciones ya que permite que solo un usuario haga uso de ella en un solo computador, su precio es bajo y se ajusta a las necesidades de una persona que tenga pocos computadores en su empresa.

14. ¿Enumere los pasos para la administración adecuada de los programas?

Desarrollo de políticas y procedimientos Auditoría de su software Determinación de qué es legal y qué no lo es Establecimiento de una auditoría de rutina

15. ¿Qué comprende la auditoria de rutinas?

La auditoria de rutinas comprende la realización controles periódicos en cada computadora para asegurarse de que no se han instalado programas de software ilegales por descuido o en forma deliberada.