lunes, 28 de noviembre de 2016

Percepciones y Perspectivas Globales – Tendencias emergentes

Te gustaría conocer:

¿Cuáles son las tendencias emergentes de la profesión de auditoría interna?

Basado en la encuesta “Global Pulse of Internal Audit” estas son:

1.    Auditar la cultura
2.    Seguir el ritmo a la tecnología
a.    Seguridad cibernética
b.    Macrodatos
3.    Alcanzar la posición de asesor de confianza

De acuerdo con esta nueva guía del IIA Global, los líderes de auditoría interna están avanzando hacia la excelencia en todo el mundo: demuestran que la agudeza en los negocios, los conocimientos técnicos y las habilidades para relacionarse son un recurso invaluable en el avance hacia los objetivos estratégicos, de gestión de riesgos y de gobierno de la organización. Los aumentos previstos en el tamaño del personal y el presupuesto de auditoría interna en muchas partes del mundo reflejan un reconocimiento y respaldo del valor en aumento de auditoría por parte de la dirección ejecutiva y los consejos de administración y permiten que las funciones de auditoría interna incrementen el tiempo que dedican a áreas cruciales como aseguramiento de gestión de riesgos, riesgos de negocios estratégicos y TI. Pero según muchos indicios, necesitamos continuar mejorando.

En busca de los pasos que se están tomando en pos de la excelencia, Global Pulse analizó el estado de la auditoría interna al evaluar temas y prácticas emergentes en la gestión de auditoría interna a nivel global.

Este informe explora dos temas emergentes: auditar la cultura y seguir el ritmo de la tecnología (seguridad cibernética y macrodatos). También exploramos cómo auditoría interna puede (y probablemente debe) elevarse al nivel de un asesor de confianza.

Creemos que este informe respalda la necesidad de que auditoría interna continúe concentrándose en las prácticas y los temas emergentes clave. Nunca más que ahora, las expectativas que recaen sobre auditoría interna continúan aumentando. Sí, hemos avanzado mucho como profesión... pero todavía tenemos mucho trabajo por delante. Eso es lo que hace que auditoría interna sea una profesión tan exigente y aun así gratificante.

Dado que los niveles de presupuesto y personal para respaldar las actividades cruciales de auditoría interna se están manteniendo sin cambios o están aumentando para la mayoría, la oportunidad de que auditoría interna de los pasos extra necesarios para alcanzar y exceder las crecientes expectativas de las partes interesadas podría nunca ser mayor. Dado el apoyo en cuanto a la dotación de recursos, ahora podría ser el mejor momento para aprovechar la oportunidad.

Y, al continuar su búsqueda de excelencia y de la posición de asesor de confianza, auditoría interna debe estar en primera fila para abordar las exposiciones cruciales de la organización. Como indica la encuesta Global Pulse de 2016, las exposiciones apremiantes como la cultura, la seguridad cibernética y los macrodatos están entre temas emergentes a los cuales auditoría interna necesita dedicar, sino aumentar, tiempo, energía y concentración valiosos.

Los líderes de auditoría interna han hecho avances, pero es muy probable que la profesión en su totalidad tenga que acelerar el ritmo y ciertamente no puede permitirse perder el impulso.

Si deseas leer el documento completo lo puedes hacer aquí.


   ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

domingo, 27 de noviembre de 2016

viernes, 25 de noviembre de 2016

¿Qué estructura es mejor?

Debe una empresa tener separadas o no las posiciones de Director Ejecutivo y de Presidente:
         ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

jueves, 24 de noviembre de 2016

miércoles, 23 de noviembre de 2016

Principales errores al implantar la LOPD

Por Albert Salvador LaFuente

Cuando decidimos implantar la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal) en nuestras organizaciones, cometemos una serie de errores que no nos podemos permitir.

Muchas veces estos errores son debidos a la falta de información y conocimiento por parte del personal de la organización, y en otras ocasiones se deben al mal asesoramiento recibido.

Los principales errores que nos encontramos en las entidades que “creen” que tienen implantada la LOPD son los siguientes:
  • Muchos empresarios piensan que si uno de sus trabajadores hace un curso de protección de datos, ya sea a través de la Fundación Tripartita o bien a través de empresas privadas de formación, ya cumplen con la normativa en materia de protección de datos de carácter personal. Esto es un grave error, ya que realizar una formación no implica poner en marcha los mecanismos de adecuación de la empresa a la LOPD.
  • Avisos legales inexistentes. Los avisos legales son necesarios para informar a los clientes del tratamiento que la organización va a realizar sobre sus datos.
  • No pedir el consentimiento expreso. Actualmente, para poder tratar los datos de carácter personal del afectado, cuando se trata de datos de nivel medio y alto de seguridad, es obligatorio el consentimiento expreso e informado. Con la nueva legislación, este consentimiento expreso se convertirá en todos los casos imprescindible, debiendo de ser fruto de una acción clara y proactiva por parte del afectado, con lo que no será suficiente el hecho de considerar que si una persona no manifiesta lo contrario, está dando su consentimiento. De hecho, será el responsable del tratamiento el encargado de demostrar que ese consentimiento expreso existe considerándose ilícitos los tratamientos en los que no exista.

lunes, 21 de noviembre de 2016

domingo, 20 de noviembre de 2016

Recomendación Informes

Cuando redactes tu próximo informe de auditoría interna ten presente 
la siguiente recomendación de la serie de televisión Mad Men.
Nota al margen: Frase tomada del Curso Taller Diseño Efectivo Informes Auditoría Interna.

¿Te ha gustado la recomendación? ¡Compártela con otro auditor interno!

sábado, 19 de noviembre de 2016

viernes, 18 de noviembre de 2016

Videoconferencia: ¿Cómo Elaborar los Informes de Gestión de Riesgos?

A continuación podrán encontrar el material de la videoconferencia expuesta el día 4 de noviembre, por: Isabel Casares San José-Marti:

          ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

jueves, 17 de noviembre de 2016

miércoles, 16 de noviembre de 2016

Controles proactivos para la prevención y detección del fraude

Por Albert Salvador LaFuente
A continuación se exponen algunos ejemplos concretos de controles antifraude, tanto por información financiera fraudulenta como por una apropiación indebida de activos.

Son sólo ejemplos y, por tanto, pueden no ser los más adecuados o necesarios en cada circunstancia.

Ejemplos:

·         Visitar ubicaciones o realizar determinadas pruebas por sorpresa o sin previo aviso. Por ejemplo, observando el recuento de existencias en ubicaciones en las que no se haya anunciado previamente la visita, o realizando un recuento de efectivo por sorpresa en una fecha determinada.
·         Efectuar una revisión detallada de los asientos de ajuste de final de trimestre o de cierre de ejercicio de la entidad e investigando los que resulten inusuales por su naturaleza o importe.
·         Con respecto a transacciones significativas o inusuales, especialmente las que se producen al cierre del ejercicio o en una fecha cercana a éste, investigar la posibilidad de que existan partes vinculadas y las fuentes de los recursos financieros que sustentan las transacciones.
·         Aplicar procedimientos analíticos sustantivos empleando datos desagregados. Por ejemplo, comparando ventas y costes de ventas por ubicación, línea de negocio o mes con las expectativas del auditor.
·         Realizar entrevistas al personal relacionado con áreas en las que se ha identificado un riesgo de incorrección material debida a fraude, para obtener su opinión sobre el riesgo y sobre si los controles responden al riesgo, o el modo en que lo hacen. (Risk Assestment)
·         Aplicar procedimientos de auditoría para analizar saldos de apertura de determinadas cuentas de estados financieros auditados previamente para valorar, con la ventaja que da la perspectiva temporal, el modo en que se resolvieron determinadas cuestiones que conllevan estimaciones y juicios contables; por ejemplo, una provisión para devoluciones de ventas.
·         Aplicar procedimientos a cuentas u otras conciliaciones preparadas por la entidad, incluido el examen de conciliaciones realizadas en periodos intermedios.
·         Aplicar técnicas asistidas por ordenador, como, por ejemplo, la extracción y posterior tratamiento de datos, para realizar pruebas sobre la existencia de anomalías. Se pueden definir cadenas de transacciones que pueden resultar alertas de operatorias irregulares.
·         Realizar pruebas sobre la integridad de los registros y transaccionesrealizados por ordenador.
·         Aplicar procedimientos analíticos sustantivos con relación a los ingresosempleando datos desagregados; por ejemplo, comparando ingresos registrados mensualmente y por línea de producto o segmento de negocio durante el periodo actual de información con periodos anteriores que sean comparables. Las técnicas de auditoría asistidas por ordenador pueden ser útiles para identificar relaciones o transacciones generadoras de ingresos inusuales o imprevistas.
·         Confirmar con clientes determinados términos contractuales relevantes y la ausencia de acuerdos paralelos, ya que, a menudo, dichos términos o acuerdos influyen en la contabilización adecuada y las bases de los descuentos o el periodo al que se refieren suelen estar poco documentados. Por ejemplo, en tales situaciones suelen ser relevantes los criterios de aceptación, las condiciones de entrega y de pago, la ausencia de obligaciones futuras o continuadas del vendedor, el derecho de devolución del producto, los precios de reventa garantizados y las provisiones de cancelación o devolución.
·         Indagar entre el personal de ventas y marketing de la entidad o ente el asesor jurídico interno sobre ventas o envíos realizados en una fecha cercana a la finalización del periodo y sobre su conocimiento de cualquier término o condición inusual asociados a dichas transacciones.
·         Examinar los registros de existencias de la entidad para identificar las ubicaciones o las partidas que requieren atención específica durante el recuento físico de las existencias, o después de éste.
·         Observar el recuento de existencias en determinadas ubicaciones sin previo aviso o realizar recuentos de existencias en todas las ubicaciones en la misma fecha.
·         Realizar recuentos de existencias en la fecha de cierre del periodo de información o en una fecha cercana a ésta, para minimizar el riesgo de manipulación inadecuada durante el periodo comprendido entre el recuento de existencias y el cierre del periodo.
·         Aplicar procedimientos adicionales durante la observación del recuento; por ejemplo, examinar de forma más rigurosa el contenido de artículos embalados, la forma en que se almacenan (por ejemplo, espacios vacíos) o etiquetan las mercancías, y la calidad (es decir, pureza, grado o concentración) de las sustancias líquidas, como perfumes o productos químicos. Recurrir a los servicios de un experto puede ser útil a este respecto.
·         Comparar las cantidades del periodo actual con las de periodos anteriores por clase o categoría de existencias, ubicación u otros criterios, o comparación de las cantidades del recuento con los registros permanentes.
·         Utilizar técnicas de auditoría asistidas por ordenador para comprobar con más detalle la compilación de los recuentos físicos de existencias. Por ejemplo, ordenar por número de etiqueta para realizar pruebas sobre los controles de etiquetas, o por número de serie de los artículos para realizar pruebas sobre la posibilidad de que se haya omitido o duplicado un artículo.
·         Realizar un cotejo informático de la lista de proveedores con una lista de empleados para identificar coincidencias de direcciones y números de teléfono.
·         Realizar un análisis informático de registros de nóminas para identificar duplicidades de direcciones, de números de identidad o de identificación fiscal de empleados o cuentas bancarias.
·         Revisar los expedientes de personal en busca de aquéllos que contengan poca o ninguna evidencia de actividad; por ejemplo, ausencia de evaluaciones de desempeño.
·         Analizar los descuentos y devoluciones de ventas en busca de patrones o tendencias inusuales.
·         Revisar la adecuación de gastos importantes e inusuales.
·         Revisar la autorización y el valor en libros de préstamos a miembros de la alta dirección y a partes vinculadas a ellos.
·         Revisar el nivel y adecuación de los informes de gastos presentados por la alta dirección.

Este artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoria interna como con cualquier empresario o directivo que no disponga de un departamento de auditoria interna en su organización. Para mayor información debes visitar: https://fraudeinterno.wordpress.com/.


¿Te ha gustado la información? ¡Compártela con otro auditor interno!

martes, 15 de noviembre de 2016

domingo, 13 de noviembre de 2016

sábado, 12 de noviembre de 2016

viernes, 11 de noviembre de 2016

Ciberseguridad: Una guía de supervisión

El nuevo aporte del Equipo de la Fábrica de Pensamiento del IIA España, es invaluable, debido que esta nueva guía llega repleta de ejemplos, mejores prácticas y consejos para todos los que nos dedicamos a ejercer la profesión de auditor interno.
Este documento te sumerge en técnicas que representan todo un nuevo mundo, tales como:
 
·         Ingeniería social
·         Fingerprinting
·         Enumeración y escaneo
·         Ataques de días cero (0-Day)
·         Spam y Phishing;
·         Hijacking
·         DoS (Denegación de Servicios)
·         SQL Injection
·         Cross-site scripting (XSS)
·         Virus, malware, gusanos y troyanos
·         Botnet (Redes zombis)

Es importante señalar el incremento en el número de ataques directos a personas (empleados, clientes, simples usuarios de Internet), puesto que representan el eslabón más débil de la cadena de seguridad. La popularización y extendido uso de Internet en casi todos los ámbitos de la sociedad actual (público, profesional, compras, comunicación, noticias, viajes, cultura,…) ha incrementado notablemente la superficie de ataque disponible para los cibercriminales; y debido a su alta efectividad y la falta de medidas de protección adecuadas que en muchas ocasiones presentan los dispositivos (smartphones, tablets, ordenadores personales,…) son cada vez más habituales este tipo de ataques, habiendo crecido su impacto de manera exponencial durante los últimos años.

Se puede afirmar incluso que el cibercrimen se ha profesionalizado, contando actualmente los atacantes con elevados conocimientos y recursos, tanto humanos como técnicos y financieros. Se trata, por tanto, de grupos bien organizados y preparados. Hasta tal punto es así, que también el cibercrimen se ha convertido en un negocio (Cybercrime as a Service), siendo posible actualmente contratar a través de Internet (principalmente en la Deep-web / Dark-Web11) la realización de un ataque de DoS, spam, phishing, el alquiler de una botnet o los servicios de un hacker.

jueves, 10 de noviembre de 2016

miércoles, 9 de noviembre de 2016

Sobornos: una lacra económica

Por Albert Salvador LaFuente

Según un estudio de Transparencia Internacional, el 27% de los 3,000 hombres de negocios que fueron encuestados informaron de que habían perdido negocios debido a los sobornos por parte de sus competidores.

Algunos de los daños causados por el soborno a los países, organizaciones y/o individuales:

·         Reduce el crecimiento económico
·         Desanima a la posible inversión
·         Margina y limita los mercados globales
·         Deteriora el apoyo a la ayuda económica
·         Aumenta la carga económica para los más desfavorecidos
·         Disminuye el nivel de vida de las personas

En relación con tema o factores legales, distintas convenciones internacionales han trasladado que requieren a los países que tipifiquen como delito el soborno y tomen medidas eficaces para prevenirlo y tratarlo.

Algunas instituciones u organizaciones de relevancia internacional son la Convención de las Naciones Unidas contra la Corrupción, y la Organización para la Cooperación y el Convenio para el Desarrollo (OCDE) sobre el Soborno de Funcionarios Públicos Extranjeros en Transacciones Comerciales Internacionales.

La mayoría de los países han incluido o fortalecido su legislación contra el soborno, y esto hace que sea una ofensa para las organizaciones y los individuos pagar o recibir sobornos. La responsabilidad de los individuos puede incluir encarcelamiento, multas y destitución del empleo, mientras que para las organizaciones supone multas, inhabilitación y extinción de contratos. Agencias de la Fiscalía en todo el mundo están empezando a investigar y procesar a las compañías e individuos por soborno.

Este artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoria interna como con cualquier empresario o directivo que no disponga de un departamento de auditoria interna en su organización. Para mayor información debes visitar: https://fraudeinterno.wordpress.com/.


¿Te ha gustado la información? ¡Compártela con otro auditor interno!