CASO ENRON

CONSULTA

DEBER DE AUDITORIA DE SISTEMAS

NOMBRE: María Fernanda Bautista

FECHA: 05 de noviembre de 2013

CURSO: 6to Ciclo Análisis “A”

CASO ENRON  

El presente caso describe los principales hechos que provocaron la crisis que la compañía Enron. Este era un banco de energía, que suministraba cantidades garantizadas a precios fijos en el largo plazo. También fue pionera en la compra y venta de energía como si fuera acciones o bonos. Se convirtió en un gran intermediario en el mercado energético, tomando enormes riesgos financieros. En 15 años llegó a ser la séptima mayor empresa de Estados Unidos, empleando a 21.000 personas en más de 40 países.
La reputación de esta empresa comenzó a decaer debido a los insistentes rumores de sobornos y tráfico de influencias para obtener contratos favorables en toda América, África, Filipinas y la India. Lo que desato el caos fue un contrato que tenía Enron con la empresa de energía Maharashtra State Electricity Board. Paralelamente con técnicas fraudulentas, avaladas con su empresa auditora, la prestigiosa firma Arthur Andersen. Además de ello, Enron hacia grandes donaciones a campañas de partidos políticos de Estados Unidos y contribuciones personales para sus representantes. Años atrás se presentaba cotizaciones de US$ 90.56 por cada acción.

Pero en el 2001 una de las quiebras empresariales más significativas en la historia se dio. Las acciones de Enron, la empresa de gas más importante, comenzaron a caer rápidamente, por los rumores de que las ganancias de esta firma estaban maquilladas. Dejó US$ 150 billones de deudas y 21.000 personas alrededor del mundo se quedaron sin empleo. Sin lugar a dudas es el mayor escándalo financiero de la historia

.

El colapso 

Las operaciones comerciales de Enron dependían fuertemente de transacciones comerciales complejas, muchas de ellas a largo plazo. Ellos alegaban que las transacciones estaban perdiendo valor, cosa que era mentira. Para disimular esto Enron creo una red de sociedades que supuestamente trabajaban conjuntamente con esta empresa, pero lo que hacían en realidad era mantener las pérdidas de los balances de la compañía Enron.
En el 2001 se revelo un agujero negro que deprimió el precio de acciones de Enron. La agencia reguladora del sector financiero estadounidense, la Securities Exchange Commission (SEC), inició una investigación de la empresa y sus resultados. Enron admitió que había inflado las utilidades y pidió protección por bancarrota el 2 de Diciembre de ese año.

Razones clave del fracaso 

1. Vacío en la legislación bursátil estadounidense, que permitió radicar el endeudamiento de Enron en otras sociedades. El propósito era no considerar su endeudamiento en el balance consolidado, es decir, aparentar ser una empresa sumamente rentable.

2. El marco legal de la desregulación del sector eléctrico en Estados Unidos, que no puso restricciones a las inversiones de Enron.

 3. Los bancos de inversiones y las agencias de calificación de riesgo no dieron señales de alerta, no se percataron de las irregularidades. Dejaron en evidencia una inadecuada capacidad de reacción.

4. El alto nivel de relación que se observaba desde 1985 entre las autoridades de gobierno y políticos de todos los sectores y Enron, lo que contribuyó a potenciar la característica arrogancia de los ejecutivos de esta empresa frente al mercado.

5. La relación de la empresa con el poder político, ha quedado a la vista de todos que figuras políticas del campo empresarial han pasado a enriquecerse aprovechando los procedimientos de esta empresa.

6. Altas y desproporcionadas remuneraciones de los ejecutivos y el otorgamiento de opción de compra de acciones, muchas veces a un valor menor al de la plaza.
7. La complicidad de las sociedades de auditoría y control para detectar los fraudes de las cuentas de resultado. Ellos cobraban precios muy superiores que pone en duda si lo hacían por la calidad de su trabajo o por no hacer su trabajo éticamente.

Impacto 

 Las pérdidas se acercaron a US$ 150 billones de dólares. Muchos empleados perdieron sus trabajos y se evaporaron sus ahorros de toda una vida. Los acciones de Enron a su vez, pasaron de US$ 85 ha US$ 0 en un año. La fiscalía acuso al ex presidente, Kenneth Lay, y al ex consejero, Jeffrey Skilling de haber manipulado los estados contables de Enron para enriquecerse. Se les acusa, ya que mintieron al público sobre el valor de Enron y beneficiarse en el proceso.

Cronología del éxito y fracaso 

1995                                                                                 
Se forma Enron, una empresa moderna con u gaseoducto de gas natural

1999
Enron lanza “un sistema de transacción globales en Internet” que permitia a los clientes ver en tiempo real los precios en el mercado y realizar transacciones. Esta plataforma llego a comercializar 2.500 millones de dólares diarios.

2000
Enron alcanza la cotización record de US$ 84.87 y se convierte en una de las empresas más valiosas de Estados Unidos.

2001
Sherron Watkins envía a Lay una carta previniendo de irregularidades contables que ponían en peligro la compañía.

Paralelamente la firma Arthur Andersen comienza a destruir documentos relacionados con las auditorias relacionadas a Enron.  

A mitad de año, Enron por los rumores de fraudes, comienza a reportar perdidas por US$ 638 millones de dólares y anuncian la reducción de 1200 millones de dólares en su stock de acciones, acciones que correspondían al vicepresidente Andrew Fastow. 

La comisión de Seguridad y comercio se da cuenta de la irregularidad y alega que hay conflictos de intereses. 

Lay trata de defender a Fastow, pero finalmente es retirado de la compañía. 

La comisión de seguridad y comercio se transforma en una investigación formal. 

Enron ante lo complicado de la situación dice perder 586 millones de dólares, pero poco después dice que habían cometido un error y que necesitaban 690 millones de dólares para financias las deudas que tenían. 

Rápidamente las acciones de Enron llega a su punto más bajo en 10 años de crecimiento y los inversores comienzan a preocuparse si podrán superar la crisis financiera. 

A finales de diciembre Enron pide protección ya que estaba en bancarrota. 

2002 

El departamento de Justicia de Estados unidos comienza una investigación criminal en Enron y a los días descubre que el vicepresidente estaba involucrado en el fraude y la firma de contadores a su vez reconoce que sus empleados destruyeron algunos documentos de Enron. 

En ese mismo mes, las acciones de Enron son dadas de baja debido a que la empresa estaba en crisis y los fraudes que se habían hecho. 

A los pocos días Lay renuncia a su cargo y comienza una audiencia donde terminan sentenciándolo. 

La ética y Enron 

1.Enron logro controlar la energía para beneficio de todos. Esto se debía gracias a las influencias políticas poderosas. Se podría de decir que Enron controlaba a muchos estados, ya que tenía bajo su poder la necesidad tan preciada y básica que es la energía. 

2.Al parecer Enron no inculco entre sus ejecutivos la cultura y las normas de toma de decisiones para evitar fraudes tan épicos como el de Enron. Desde Kenneth Lay hasta los ejecutivos se propició una cultura de caos, ya que sus decisiones iban únicamente beneficiosas para ellos. 

3.Las malas prácticas siempre terminan mal. Esta empresa se presentó como un banco de energía, sin embargo, hizo un gran daño a las personas debido al encarecimiento de la energía en el estado de California con múltiples apagones que afectaron principalmente a hospitales y escuelas. No tuvo responsabilidad política corporativa ya que ellos solo buscaban el ganar y no el “ganar-ganar

CONSULTAS

DEBER DE AUDITORIA DE SISTEMAS

NOMBRE: María Fernanda Bautista 

CURSO: 6to Ciclo Análisis “A”.

FECHA: 5 de Noviembre del 2013.

¿QUE ES UN SISTEMA?

Un sistema es un conjunto de partes o elementos organizadas y relacionadas que interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos, energía o materia del ambiente y proveen (salida) información, energía o materia.

Un sistema puede ser físico o concreto (una computadora, un televisor, un humano) o puede ser abstracto o conceptual (un software).
Cada sistema existe dentro de otro más grande, por lo tanto un sistema puede estar formado por subsistemas y partes, y a la vez puede ser parte de un súper.
Los sistemas tienen límites o fronteras (Ver: frontera de un sistema), que los diferencian del ambiente. Ese límite puede ser físico (el gabinete de una computadora) o conceptual. Si hay algún intercambio entre el sistema y el ambiente a través de ese límite, el sistema es abierto, de lo contrario, el sistema es cerrado.

El ambiente es el medio en externo que envuelve física o conceptualmente a un sistema. El sistema tiene interacción con el ambiente, del cual recibe entradas y al cual se le devuelven salidos. El ambiente también puede ser una amenaza para el sistema.
Un grupo de elementos no constituye un sistema si no hay una relación e interacción, que de la idea de un "todo" con un propósito (ver holismo y sinergia).

¿QUE ES RECURSOS?

Un recurso es una fuente o suministro del cual se produce un beneficio.  Normalmente, los recursos son material u otros activos que son transformados para producir beneficio y en el proceso pueden ser consumidos o no estar más disponibles. Desde una perspectiva humana, un recurso natural es cualquier elemento obtenido del medio ambiente para satisfacer las necesidades y los deseos humanos. Desde un punto de vista ecológico o biológico más amplio, un recurso satisface las necesidades de un organismo vivo.  

El concepto de recurso ha sido aplicado en diversos ámbitos, en particular, con respecto a la economía, biología, ciencias de la computación, manejo del recurso tierra y recursos humanos. Además, está relacionado con los conceptos de competencia, sostenibilidad y conservación ambiental.

 En aplicación al interior de la sociedad humana, factores comerciales y no comerciales requieren asignación de recursos por medio de la administración de recursos.

¿GERENCIA ES IGUAL QUE ADMINISTRACION?

No por que La administración se encarga de realizar el trabajo de

Planeación, organización, ejecución y control, desempeñadas para determinar y alcanzar los objetivos mientras que la gerencia se encarga llevar a cabo las metas o procedimientos trazados por la administración.

Un gerente  es una persona encargada de dirigir las actividades de otros al logro de un objetivo, mediante la asignación óptima de recursos. Un administrador en cambio, posee la autoridad formal, la tiene por decisión de un gobernante, un Consejo o el dueño de un negocio, sin embargo, ello por sí solo no quiere decir que sea el líder de un grupo, podrá tener la autoridad y el poder, pero no necesariamente la capacidad de liderar, por tanto, es deseable que el administrador sepa convertirse en líder, o que la organización para la que trabaja, lo desarrolle como tal.

¿QUE ES LA TEGNOLOGIA?

 Es el conjunto de conocimientos técnicos, ordenados científicamente, que permiten diseñar y crear bienes y servicios que facilitan la adaptación al medio ambiente y satisfacer tanto las necesidades esenciales como los deseos de las personas. Es una palabra de origen griego, formada por (arte, técnica u oficio, que puede ser traducido como destreza) y logia (el estudio de algo).

Aunque hay muchas tecnologías muy diferentes entre sí, es frecuente usar el término en singular para referirse a una de ellas o al conjunto de todas. Cuando se lo escribe con mayúscula, Tecnología, puede referirse tanto a la disciplina teórica que estudia los saberes comunes a todas las tecnologías como a educación tecnológica, la disciplina escolar abocada a la familiarización con las tecnologías más importantes.

¿QUE ES LA TICS?

Las tecnologías de la información y la comunicación (TIC  para nuevas tecnologías de la información y de la comunicación) agrupan los elementos y las técnicas usadas en el tratamiento y la transmisión de las informaciones, principalmente de informática, internet y telecomunicaciones.

Por extensión, designan el sector de actividad económica.

"Las tecnologías de la información y la comunicación no son ninguna panacea ni fórmula mágica, pero pueden mejorar la vida de todos los habitantes del planeta. Se disponen de herramientas para llegar a los Objetivos de Desarrollo del Milenio, de instrumentos que harán avanzar la causa de la libertad y la democracia, y de los medios necesarios para propagar los conocimientos y facilitar la comprensión mutua" (Kofi Annan, Secretario general de la Organización de las Naciones Unidas, discurso inaugural de la primera fase de la WSIS, Ginebra 2003)

El uso de las tecnologías de información y comunicación entre los habitantes de una población, ayuda a disminuir en un momento determinado la brecha digital existente en dicha localidad, ya que aumentaría el conglomerado de usuarios que utilizan las TIC como medio tecnológico para el desarrollo de sus actividades y por eso se reduce el conjunto de personas que no las utilizan.

¿QUÉ ES TECNOLOGÍA DE INFORMACIÓN?

Se conoce como tecnología de información (TI) a la utilización de tecnología – específicamente computadoras y ordenadores electrónicos - para el manejo y procesamiento de información – específicamente la captura, transformación, almacenamiento, protección, y recuperación de datos e información.

Los orígenes de la TI son recientes. Aunque el nombre de tecnología de información se remonta a los años 70, su utilización en los negocios se remonta a mediados del siglo XX, durante la segunda guerra mundial. Sin embargo, ha sido en los últimos 20 años donde ha alcanzado niveles de uso y aplicaciones tan variadas y ubicuas, que se ha convertido en un área de gran amplitud e impacto en todos los aspectos de la vida cotidiana – incluyendo la gerencia de cualquier empresa, en la cual hoy en día es casi indispensable.

AUDITORIA DE SISTEMAS

04 de noviembre del 2013

¿QUÉ ES AUDITORIA

Proceso de revisión, evaluación y presentación de un informe final para la gerencia.

¿QUIÉN ES UN AUDITOR?

Persona que tiene la virtud de oír y revisar, pero debe estar encaminado a un objetivo que es de evaluar eficiencia y eficacia.

¿QUÉ ES LA AUDITORIA DE SISTEMAS?

Es el examen y evaluación de los procesos del Área de procesamiento automático de datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

AUDITORIA EXTERNA

Examina y evalúa una determinada realidad por personal externo al ente auditado, para emitir una opinión independiente sobre el resultado de las operaciones y la validez técnica del sistema de control que está operando en el área auditada.

Ventajas:

• El trabajo del auditor es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada.

• Auditorias apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan técnicas y herramientas que ya fueron probadas en otras empresas con características similares.

Desventajas:

• La información del auditor puede estar limitada a la información que puede recopilar debido a que conoce poco la empresa.

• Dependen en absoluto de la cooperación que el auditor pueda obtener por parte de los auditados.

•  Su evaluación, alcances y resultados pueden ser muy limitados.

• Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y legales

que pueden llegar a crear ambientes hostiles para los auditores que las realizan.

AUDITORIA INTERNA

Es una función de control al servicio de la alta dirección empresarial. El auditor interno no ejerce autoridad sobre quienes toman decisiones o desarrollan el trabajo operativo, no revela en ningún caso la responsabilidad de otras personas en la organización.

El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan.

Visión Global de la Auditoria de Sistemas

Reacción ante la Auditoria

•         A nadie le justa ser evaluado

•         Pocos comprenden la labor del Auditor

•         Las expectativas de una auditoria no son bien atendidas

•         Estereotipos del Auditor

•         Comunique los beneficios de una auditoria

“La palabra auditoria proviene del latín auditorius, y de ella se deriva AUDITOR, que significa todo aquel que tiene la virtud de oír”

“La exacta observación del ambiente, la lógica implacable y la asombrosa agudeza psicológica con que Holmes reconstruye sus casos justifican sobradamente que se haya convertido en uno de los seres de ficción más <<vivos>> y populares de la literatura de todos los tiempos”

www.isaca.org

www.isaca.org.ec

El Proceso de Auditoria de Sistemas de Información

Introducción
* Organización de la Función de Auditoria de SI

• Estatuto de Auditori

- Autoridad                                                          

- Alcance

- Responsabilidades

•         Aprobación del Estatuto

•         Modificación del Estatuto

Introducción
* Administración de los Recursos de Auditoria de SI

       •   Los Auditores de SI son un recurso limitado.

       •   La Tecnología de SI está cambiando constantemente.

       •   Los Auditores de SI deben mantener su competencia                  técnica.

       •    La dirección de Auditoria debería:

             - Asignar recurso humano (habilidades y conocimiento)

             - Asignar recursos tecnológicos

                                                                   - Elaborar un plan de capacitación

Introducción
* Administración de los Recursos de Auditoria de SI

•         ¿Qué factores determinan cuantos auditores de SI se necesitan?

Introducción
* Planeación de la Auditoria

Introducción
* Planeación de la Auditoria

•     Lograr un entendimiento de la misión, los objetivos, el propósito y los procesos del    negocio

•   Identificar contenidos específicos (políticas, estándares y directrices requeridos,     procedimientos y estructura de la organización)

•         Evaluar el análisis de riesgos y todo análisis de impacto sobre la privacidad

•         Realizar un análisis de riesgos

•         Llevar a cabo una revisión de control interno

•         Establecer el alcance y los objetivos de la auditoria

•         Desarrollar el enfoque o la estrategia de auditoria

•         Asignar recursos humanos a la auditoria y dirigir la logística de trabajo

Introducción
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI

Regulaciones legales:

            - Establecimiento de los requerimientos regulatorios

            - Organización de los requerimientos regulatorios

            - Responsabilidades asignadas a las entidades correspondientes

            - Correlación con las funciones de auditoría financiera, operacional y de TI

 

Introducción
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI

Áreas de Interés:

- Requerimientos legales (leyes, acuerdos regulatorios y contractuales) aplicables a la Auditoria de SI.

- Requerimientos legales aplicables al auditado y a sus sistemas, administración de datos, informes, etc.

Introducción
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI 

Pasos para determinar el cumplimiento con los requerimientos externos:

- Identificar los requerimientos gubernamentales u otros externos relevantes

- Documentar las leyes y regulaciones pertinentes

- Determinar si la administración y la función de SI han considerado los requerimientos externos relevantes

- Revisar los documentos internos del departamento de SI que se ocupan del cumplimiento de las leyes que le son aplicables

- Determinar el cumplimiento con los procedimientos establecidos  

04 de noviembre del 2013

CASO ENRON:

Antecedentes

•   1985

•   Actividades iniciales exitosas en conducción de gas natural y electricidad

•  Comercializadora de energía más poderosa del mundo

•   Se lanza a los mercados de carbón, papel, acero, agua

•  Gozaba de gran prestigio y gran crédito gracias al enorme poderío que le daba su capitalización en el mercado

CASO ENRON:

Antecedentes 

            

•      1999 funda Enron online

•      Lo más valioso, sus acciones

•    En Agosto de 2000 alcanza el mayor valor de venta de sus acciones    ($90.56)

•     Ocupaba el lugar No. 7 en la lista de las 500 empresas más importantes de EE.UU (Fortune) 

CASO ENRON:

En picada

•         Compensaciones excesivas a altos ejecutivos y socios

•         Despilfarro de fondos por las grandes contribuciones a la financiación   de campañas políticas

•         Posibles sobornos

•         Recursos mal empleados por la dirección

•         Inversiones torpes y poco planificadas

CASO ENRON:

En picada

•        En Marzo de 2001 la cotización por acción baja a $60.00

•        Incursiona con un rotundo fracaso en el terreno de las          telecomunicaciones

•       En el tercer trimestre de 2001 reporta una pérdida de más de $1000 millones

•      El 2 de Diciembre de 2001 la empresa se declara en suspensión de pagos

CASO ENRON:

En picada

•         Despide a más de 4.500 empleados

•         El valor por acción cae a menos de 26 centavos

•         Deja de cotizar por rebasar el límite inferior de $1

•         La compañía acumula deudas de más de $30.000 millones

•         Pierde a su Vicepresidente ejecutivo por suicidio

CASO ENRON:
¿Dónde estaban los auditores?

•      Arthur Andersen fue una de las firmas auditoras más importantes del   mundo

•      Enron era el segundo cliente más importante de AA

•      El trabajo de AA para Enron superaba los $50 millones anuales

•      Si AA hubiese hecho sonar el silbato en su momento ante las dudosas transacciones financieras, Enron se habría visto obligada a poner freno al crecimiento descontrolado de su deuda

CASO ENRON:
Responsabilidades

•     Comportamientos despiadados y completamente inmorales imperaban en los niveles superiores de la dirección (desenfreno y avaricia)

•      Prácticas habituales de ocultar enormes deudas, engaño a los accionistas sobre la posición de liquidez

•      Gran cantidad de “auto-operaciones”

CASO ENRON:
Responsabilidades

•     La firma AA destruyo papeles y archivos electrónicos correspondientes a las auditorias (1997-2000)

•     La actuación de AA dio origen a una demandada de las autoridades por obstrucción a la justicia, destrucción y alteración de documentos

CASO ENRON:
El fin

•         La gran estafa de Enron a sus empleados y accionistas concluyó en penas de cárcel para sus directivos

•         Su ex-presidente falleció antes de cumplir los 45 años de sentencia

CASO ENRON:

El fin 

•      La firma AA admitió que se destruyeron algunos documentos, pero dijo que era un procedimiento normal

•      Los miembros del jurado tras diez días de deliberaciones no lograban  llegar a una decisión unánime sobre la inocencia o culpabilidad

•       Finalmente el tribunal falló en contra de la firma auditora

•       La firma auditora AA es sentenciada a entregar su licencia de operaciones

CASO ENRON:
Política y Legislación

•         La actitud política general estaba menos preocupada por proteger los   intereses de los accionistas que los de los directivos

•         El sistema político y legislativo permitió que se extendiera esta cultura

•         Florecimiento de la filosofía de la avaricia

CASO ENRON:
Política y Legislación

•   La Ley Sarbanes-Oxley, pretende:

          - Aumentar las penas por delitos societarios

          - Aumentar la autoridad y responsabilidad de los comités de    auditoria

            - Definir estándares de responsabilidad profesional para los        abogados

          - Limitar el alcance de los servicios que los auditores pueden prestar a sus clientes

          - Eliminar los préstamos a directivos y administradores

Estándares y Directrices para la Auditoria de Sistemas de Información
* Código de Ética Profesional

•         Apoyar la implementación y fomentar el cumplimiento de las normas, los procedimientos y los controles apropiados en los SI.

Ejecutar sus labores con objetividad, diligencia y cuidado profesional, de conformidad con las normas y mejores prácticas profesionales.

Estándares y Directrices para la Auditoria de Sistemas de Información
* Código de Ética Profesional (Cont.)

•     Servir en el interés de los accionistas en una forma legal y honesta, y al mismo tiempo mantener altos estándares de conducta y de carácter, y no involucrarse en actos que puedan desacreditar la profesión.

•     Mantener la privacidad y la confidencialidad de la información obtenida en el curso de su función a menos que la autoridad legal requiera su revelación. Dicha información no será usada para beneficio personal ni será revelada a terceros. 

Estándares y Directrices para la Auditoria de Sistemas de Información
* Código de Ética Profesional (Cont.)

•     Mantener competencia en sus respectivos campos y se comprometerá a emprender únicamente las actividades que puedan realizar con competencia profesional.

•     Informar a las personas adecuadas los resultados del trabajo realizado, revelando todos los hechos significativos de los que tengan conocimiento.

•     Apoyar la educación profesional de los accionistas para mejorar su comprensión sobre seguridad y control de los sistemas de información.

Estándares y Directrices para la Auditoria de Sistemas de Información
* Estándares para la Auditoria de Sistemas de Información

•         Estándares.

•         Directrices.

•         Procedimientos.

Estándares y Directrices para la Auditoria de Sistemas de Información
* Estándares para la Auditoria de Sistemas de Información

•         S1 Estatuto de Auditoria

•         S2 Independencia

•         S3 Ética y Estándares Profesionales

•         S4 Competencia profesional

•         S5 Planeación

•         S6 Ejecución del Trabajo de Auditoria

•         S7 Informe

•         S8 Actividades de Seguimiento

•         S9 Irregularidades y Actos Ilícitos

•         S10 Gobierno de TI

•         S11 Uso de la Evaluación de riesgos en la planeación de Auditoria

Estándares y Directrices para la Auditoria de Sistemas de Información
* Directrices para la Auditoria de Sistemas de Información

•         Considerarlas para determinar cómo implementar los estándares.

•         Usar el juicio profesional para aplicarlas.

•         Poder justificar cualquier diferencia.

            - G1 Uso del trabajo de otros auditores, 01/06/1998

            - G7 Debido cuidado profesional, 01/09/1999

            - G19 Irregularidades y actos ilegales, 01/07/2002 

Estándares y Directrices para la Auditoria de Sistemas de Información
* Relación entre Estándares, Directrices y Procedimientos

Uso del juicio profesional

Análisis de Riesgos

“El potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos, ocasionando pérdida o daño a los activos”

Directrices para la Administración

de Seguridad de TI (ISO)

Análisis de Riesgos

•         Categorías de Activos:

            - Información:

                        Tipo de soporte: papel, electrónico

                        B/D, ficheros, manuales, contratos, etc

            - Software:

                        Aplicaciones, S.O., utilidades, etc

            - Físicos:

                        Ordenadores (PC, servidores, portátiles…)

                        Comunicaciones (router, switch, hub…)

                        Soportes (discos, cintas…)

            - Servicios

                        Energía, telefonía, etc

            - Personas

                        Conocimiento

            - Imagen

Análisis de Riesgos

•         Amenaza:

               - Declaración intencionada de infligir un daño (robo, acceso no autorizadad)

               - Potencial de que un incidente no querido pueda producir daños a la información (humano, técnico)

               - Desastre natural, intencional o accidental (inundación, terremoto, incendio )

Análisis de Riesgos

•         Vulnerabilidad

               - Debilidad o agujero en la seguridad de la organización (falta de control de acceso, equipos en lugares inadecuados, cables desprotegidos, falta de personal clave, mantenimiento inexistente, puertas abiertas)

                     “Una vulnerabilidad, por si misma, no produce daños. Es una condición                para que la amenaza afecte al activo”

                    

Análisis de Riesgos

•         Riesgo y Planeación de la Auditoria

“El análisis de riesgos es parte de la planeación de la auditoria y ayuda a identificar riesgos y vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigar esos riesgos”

30 de noviembre del 2013

COBIT

Es un conjunto de mejores prácticas para la administración IT creado por ISACA, e ITGI en 1992.

COBIT brinda a managers, auditores y usuarios IT, un conjunto de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximar los beneficios derivados del uso de las tecnologías de información y para obtener un control de conocimiento apropiado de IT en la organización.

ISACA

Es el acrónimo de information Systems Audit and Control Association( Asociacion de información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoria y control en sistemas de información.

IT Governance Institute (ITGI, en inglés: IT  Governance Institute) Tecnologia de la información de gobierno es una disciplina subconjunto de gobierno corporativo centrado en la informática de sistemas (IT) y de su rendimiento y la gestión de riesgos.

EDICIONES

la primera edición fue publicada en 1996;  la segunda edición en 1998; la tercera edición en 2000(la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 esta disponible desde mayo de 2007. En la actualidad el ISACA lanzo COBIT 5 el dia 10 de Abril.

Cobit 4.1

En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control(específicos o detallados) clasificados en cuatro: dominios: Planificacion y Organización, Adquisición e Implementación, Entrega y Soporte, y Supervision y E valuación. En ingles: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and E valuate.

COBIT 5

Isaca lanzo el 10 de abril del 2012 la nueva edicion de este marco de referencia. COBIT 5 es la última edicion del framework mundialmente aceptado, el cual proporciona una visión empresarial de del Gobierno de TI que tiene a tecnología y a la informacion como protagonista en la creación de valor para las empresas.

COBIT 5 se basa en COBIT 4,1 y a su vez lo amplia mediante la integración de otros importantes marcos y normas como VALT IT, Information Technology Infrastructure Library 

( ITIL ) y las normas ISO relacionadas.

MISION

Investigar, desarrollar, publicar y promover un conjunto de objetivos de control de TI rectores, actualizados, internacional, y generalmente aceptados para ser utilizadas diariamente por gerentes de negocio y Auditores.

VISION

Consolidar como líder mundialmente conocido en materia de gobierno, control y aseguramiento de la gestión de TI

.

VAL IT

Recientemente, ISACA ha publicado VAL IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requerimiento en tecnologías de la informacion.

Como satisface las necesidades:

¿Para quienes?

•     Gerentes de negocio
• ·   Gerentes de TI
• ·   Gerentes de riesgos
• ·   Usuarios de TI
• ·   Auditores

    Para que?   

•     Alineación de objetivos de TI y del negocio.
• ·   Establecer una orientación a procesos.
• ·   Ser consistente con las mejores practicas y estándares control  (COSO) y de  TI, independiente de tecnologías especificas.
• ·   Proporcionar un lenguaje común para todos los interesados.

1.        Orientado al negocio
   2.    Procesos orientados
   3.    Basados en controles
   4.    Generador de mediciones

Orientado al negocio

Es el tema principal de COBIT. Esta diseñado para ser utilizados no solo por proveedores de servicios, usuarios y auditoriores de TI, sino también y principalmente, como guía integral para la gerencia  y para los propietarios de los procesos de negocio.

• Principio básico

Proporcionar la informacion que la empresa necesita para logro de sus objetivos, requiere administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de informacion.

• CRITERIOS DE INFORMACION

Para satisfacer los objetivos del negocio la informacion necesita adaptarse a ciertos criterios de control, los cual son referidos por COBIT como requerimientos de calidad, fiduciarios y de seguridad, se definieron las siguientes siete áreas:

 

 

 

• METAS DE NEGOCIOS Y DE TI.

Mientras que los criterios de información proporcionan un método genérico de negocios y de TI ofrece una base mas refinada y relacionada con el negocio para establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas.

 

PROCESOS ORIENTADOS 

 

Cobit define las actividades de TI en un modelo genérico de procesos en cuarto dominios. Estos dominios son:

 

•   Planear y Organizar.
•   Adquirir e Implementar
•   Entregar y Dar Soporte              
•  Monitorear  y Evaluar  

 

• Planear y Organizar

 

 

• Adquirir e Implementar 

 

 

• Entregar y soportar

 

 

• Monitorear y Evaluar 
  

 

BASADOS EN CONTROLES

 

Control: Politicas, Procedimientos, practicas diseñadas para brindar seguridad razonable que los objetivos serán alcanzados.

 

OBJETIVOS DE CONTROL DE 

 

COBIT: son los requerimientos mínimos para un control efectivo de cada proceso de ITademas brinda un modelo genérico de procesos que representa tdos los procesos que normalmente se encuentran en las funciones de TI.

 

• Procesos COBIT

       1. Dueño del proceso

       2. Reiterativo

       3. Metas y objetivos

       4. Roles y Responsabilidades

       5. Desempeño del proceso

            6. Políticas, Planes, y Procedimientos. 

• CONTROLES DEL NEGOCIO Y CONTROLES DE TI

1. AL NIVEL DE DIRECCION JECUTIVA: fijar objetivos políticas, tomar decisiones de como administrar los recursos.
2. AL NIVEL DE PROCESO DE NEGOCIO: Aplicar controles para actividades específicas del negocio.
3. PARA SOPORTAR DEL NEGOCIO: TI provee un servicio común (redes, bases de datos, sistemas operativos, almacenamiento).

GENERADORES DE MEDICION   

 

• Una necesida básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir que nivel de administración y control debe proporcionar la empresa. ¿Qué  se debe medir y cómo?
• Modelo de Madurez: por medio del Benchamarking identificación de las mejores prácticas en la capacidad.
• Metas y Mediciones de desempeño para procesos TI: demuestran como los procesos satisfacen las necesidades del negocio y de TI y como se usan para medir el desempeño de los procesos interno.

Indicadores de desempeño

 

Los indicadores clave de desempeño (KPI) definen mediciones que determinan que tan bien se está desempeñando el proceso de TI  para alcanzar la meta. Son los indicadores principales que indican si será factible lograr una meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para logar un efectivo desempeño del proceso.

Mediciones de desempeño 

 

• COBIT utiliza dos tipos de métrica : indicadores de metas e indicadores de desempeño. 
• Los indicadores clave de metas( KGI) definen mediciones para onformar a la gerencia- después del hecho. Si un proceso TI alcanzo sus requerimientos del negocio, y se expresan por lo general en términos de criterios de información:
• Disponibilidad de información necesaria para dar soporte a las necesidades del negocio. Ausencia de riesgos de integridad y de confidencialidad.
• Rentabilidad de procesos y operaciones 
• Confirmación de confiabilidad, efectividad y cumplimiento.   

Las métricas efectivas dben de tener las siguientes características: 

 

• Una alta proporción entendimiento esfuerzo (esto es, el entendimiento del desempeño y del logro de las metas en contraste con el esfuerzo de logralos). 
• Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o números en el tiempo).
• Deben ser comparables externamente sin tomar en cuenta el tamaño de la empresa o la industria.  

CASO PRÁCTICO

• Se comienza a preparar el software para el trabajo

 

• Tarea 2

 

 

• Consiste en definir primero los niveles jerarquico y posteriormente crear el organigrama.

 

• Se ingresan los procesos de negocio que son de interés. Menu: centro de Analisis.

 

 

• Se identifica cuales son los requerimientos de la información necesarios que debe disponer TI y las áreas de negocio, para cumplir con los procesos del negocio.

 

• Se ingresa la información de los diversos recursos de TI.

• Se asigna el proceso COBIT

 

• Mediante el boton "Comenzar con la Auditoria" iniciara las etapas para auditar los Procesos de COBIT (Objetivos de alto nivel) seleccionados. A partir de aqui COBIT asiste al auditor en el procesos de arribar a una conclisión sobre el Objetivo de Control de alto nivel (en este caso).

 

 

ETAPAS 

 

•  Etapa 1: Entrevista

Las entrevistas permiten tener una primera visión del objeto de la auditoria. En este caso son con los usuarios del sistema para entender su visión en en cuanto al funcionamiento.

Asimismo se entrevistara a la gerencia de Sistemas y a la persona encargada del mantenimiento del aplicativo.

 

• Etapa 2: Documentación

 

 

 

En este caso se obtienen los manuales técnicos y de usuarios de la aplicación.

 

• Etapa 3: Emisión de una primera opinion

 

 

A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación.

• Etapa 4: Verificar el cumplimiento de los control

 Aquí se revisa que esos controles estén funcionando.

• Etapa 6: Emisión de una conclusion final

 

La conclusión se respalda en todos los pasos anteriores del proceso de auditoría. Además debe tener en cuenta los hallazgos. Es bueno usar escalas uniformes para las evaluaciones de modo de poder comparar los juicios.

 

EJEMPLOS 

 

 

03 de diciembre del 2013

Gobierno Corporativo

•  “La distribución de derechos y responsabilidades entre los diferentes participantes en la

       corporación, tales como la Junta, los gerentes, los accionistas y otras partes interesadas, 

        y explica las reglas y procedimientos para tomar decisiones sobre los asuntos 

       corporativos”

Organización para la Cooperación y el Desarrollo Económico (OECD)

Gobierno Corporativo

• Conjunto de responsabilidades y prácticas ejercidas por el personal y la dirección ejecutiva  con el objetivo de:

               - Proveer dirección estratégica.

               - Asegurar que los objetivos son alcanzados.

               - Controlar que los riesgos son manejados de manera apropiada.

               - Verificar que los recursos de la empresa son usados con responsabilidad.

Gobierno Corporativo

• Estructura a través de la cual se fijan los objetivos de la compañía y los medios para lograr dichos objetivos y monitorear el desempeño
• Requiere de un sistema de control interno para monitorear los riesgos
• Provee una plataforma para la protección de las partes interesadas definiendo las responsabilidades de la Junta Directiva, en un marco de transparencia 

Gobierno Corporativo

• Objetivos principales:

             - Velar por la transparencia

             - Permitir el conocimiento de cómo los directivos gestionan los recursos

             - Proveer de instrumentos de resolución de conflictos de interés entre los distintos grupos que conforman el gobierno

Prácticas de Monitoreo y Aseguramiento para la Junta y 

la Gerencia Ejecutiva

• Las empresas están regidas por las mejores prácticas generalmente aceptadas, cuyo aseguramiento está garantizado por ciertos controles
• La TI es también gobernada por las mejores prácticas, que aseguran que la información y la tecnología relacionada de la organización soportan los objetivos del negocio, que sus recursos sean utilizados de manera responsable, y sus riesgos sean administrados de manera apropiada

Prácticas de Monitoreo y Aseguramiento para la Junta y la Gerencia Ejecutiva

•               ¿Qué espera el negocio de TI?

                                    - Mantener los sistemas ejecutándose

                                    - Administrar complejidad

                                    - Alinear la TI con el negocio

                                    - Cumplimiento de regulaciones

                                   - Seguridad

•              Las organizaciones requieren de un enfoque estructurado para administrar estas y otras demandas.

Prácticas de Monitoreo y Aseguramiento para la Junta y 

la Gerencia Ejecutiva

•  El Gobierno de TI:

           - Es una parte integral del gobierno corporativo y consiste en la dirección, estructura y los procesos organizacionales que aseguran que la TI corporativa soporta la consecución de la estrategia de la organización y sus objetivos

             - La responsabilidad del Gobierno de TI es de los ejecutivos y el directorio de la organización

Prácticas de Monitoreo y Aseguramiento para la Junta y

la Gerencia Ejecutiva

* Mejores prácticas de ITGI para el Gobierno de TI

• Áreas de enfoque del Gobierno de TI

Prácticas de Monitoreo y Aseguramiento para la Junta y la Gerencia Ejecutiva

* Mejores prácticas de ITGI para el Gobierno de TI

• Alineación Estratégic

              - Se enfoca en garantizar el vínculo entre los planes del negocio y de TI, alinear las operaciones de TI con las operaciones de la empresa

•Dar Valor

            - Se enfoca en asegurar que TI genere los beneficios prometidos en la estrategia

•Gestión de Riesgos

            - Requiere conciencia de los riesgos por parte de los altos ejecutivos, un claro                                entendimiento del apetito al riesgo

•Administración de Recursos
              - Se trata de la inversión óptima, así como la administración adecuada de los recursos                 críticos de TI, aplicaciones, información, infraestructura y personas

•Medición del desempeño

             - Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el

               uso de los recursos, el desempeño de los procesos y la entrega del servicio

  “Los recursos de TI deben usarse responsablemente, y los

 riesgos relacionados con TI deben ser administrados de

 manera apropiada”