lunes, 31 de enero de 2022

Los 10 hallazgos más comunes en una auditoria de ciberseguridad

Iván Rodríguez


La ciberseguridad es una de las mayores preocupaciones de la alta administración de las organizaciones y por supuesto de los auditores. En estos tiempos de pandemia, en que el uso de recursos informáticos se ha incentivado, es conveniente evaluar el tema. No basta con tener herramientas de seguridad y controles en diferentes instancias, si no se hace buen uso de ellas. El factor humano sigue siendo uno de los eslabones más débiles para mantener una estructura de ciberseguridad sólida en una organización. De ahí la necesidad de una capacitación permanente en temas tecnológicos como medida para mitigar los riesgos. Algunos de los hallazgos más frecuentes de los auditores al evaluar el tema de ciberseguridad, son los siguientes:

1. Fallas en la capacitación:

Los temas de tecnología están en constante evolución, por esta razón los auditores deben estar de manera permanente dispuestos a aprender y desaprender. Por su parte, la administración de las organizaciones deben entender que no capacitar al personal no es una medida de reducción de costos, es algo que los perjudica.

2. Debilidades en los controles de acceso lógico:

Las debilidades al crear o usar contraseñas para ingresar a aplicativos, programas y bases de datos son una de las fallas recurrentes. Así mismo, una inadecuada administración de los usuarios, esto es, a quien conceder permisos o privilegios, que se manifiesta de diferentes maneras: privilegios excesivos otorgados a ciertos usuarios, privilegios no revocados de los usuarios que ya no requieren dicho acceso, uso de permisos genéricos que perjudican la responsabilidad del usuario, el intercambio o alteración de contraseñas, etc. Son algunas de las situaciones que se presentan a menudo.

3. Fallas en la documentación:

En ocasiones, las organizaciones no cuentan con una documentación clara acerca de las políticas y procedimientos para el uso de los recursos tecnológicos o la misma no es clara, está desactualizada o incompleta. Como consecuencia, los usuarios desconocen los pasos a seguir o actúan de una manera que puede ser imprudente o riesgosa. Adicionalmente, muchas organizaciones no efectúan la respectiva capacitación ni actualizan los documentos y manuales cuando hay cambios en la infraestructura tecnológica.

4. Desactualización de aplicativos y programas

Los programas, aplicativos, sistemas operativos, motores de bases de datos entre otros, requieren una actualización regular. Con alguna frecuencia quienes producen los programas envían actualizaciones para mejorar su rendimiento o por motivos de seguridad. Es necesario gestionar los parches para evitar ataques de ransomware, por ejemplo.

5. Inadecuada gestión de los riesgos de terceros:

Muchas organizaciones ignoran el impacto que una violación de un proveedor de servicios externo podría tener sobre las operaciones y los activos. Para ello, además de la implementación de Acuerdos de Nivel de Servicio con Terceros, los contratos y relaciones con terceros deben desarrollarse de una manera que garantice que solo accedan a los servicios que necesitan y nada más. Es necesario adelantar labores de monitoreo de las actividades de los proveedores para verificar si los servicios se están prestando según lo acordado y que los proveedores de servicios externos no adelantan acciones que no estén dentro de los límites del acuerdo.

6. Inadecuada gestión de vulnerabilidades

Uno de los principales problemas observados con la gestión de vulnerabilidades está en el alcance; los activos críticos a menudo se pierden porque las organizaciones no conservan un inventario completo de los activos de los sistemas de información. También están los problemas relacionados con los retrasos al implementar las medidas correctivas de las vulnerabilidades identificadas, ya sea debido a las burocracias internas de la organización o a la ausencia de mano de obra calificada. En ocasiones hace falta por parte de la administración, que demuestre un compromiso serio con la efectividad de su programa de gestión de vulnerabilidades

Si bien estos son algunos hallazgos comunes en las evaluaciones de auditoría TI, también hay una serie de recomendaciones que son habituales y cuya implementación puede ser útil para mitigar los riesgos de ciberseguridad de las organizaciones. Entre ellas se cuentan:

7. Probar el plan de continuidad del sistema regularmente:

 Las pruebas del plan de continuidad se realizan para garantizar que el proceso funcione y que su organización pueda continuar operando después de una interrupción del negocio. La organización debe considerar la disponibilidad de personal crítico, el equipo necesario para reanudar las operaciones, los métodos necesarios para restaurar los datos y el tiempo que lleva restaurar los servicios. La prueba debe realizarse al menos anualmente. Tanto el plan de continuidad del negocio como el de recuperación ante desastres deben actualizarse para reflejar las lecciones aprendidas del evento de prueba.

8. Establecer y mantener una lista documentada de protocolos, aplicaciones y servicios para operaciones esenciales

Los firewalls se componen de muchas listas de acceso que permiten que el tráfico fluya dentro y fuera de la red. La lista requerida simplemente debe documentar los puertos y servicios permitidos para comunicarse a través del firewall, qué dispositivos pueden comunicarse y la razón comercial de los puertos. en uso. Si los proveedores tienen acceso a la red privada virtual (VPN), la lista debe indicar los sistemas con los que están aprobados para comunicarse y las direcciones IP permitidas del proveedor

9. Utilizar un cifrado de datos sólido para transmitir información restringida

La mayoría de las organizaciones asumen que la transmisión de datos a través de la red es segura, lo cual no es necesariamente cierto. El cifrado de todos los datos que salen de la organización es la mejor defensa contra la exposición debido a una mala configuración o individuos sin escrúpulos.

10. Analizar en busca de dispositivos de red no confiables o no autorizados

Un dispositivo no confiable es cualquier equipo conectado a la red de la organización que no ha sido autorizado. Dicho dispositivo puede ser un punto de acceso inalámbrico, la computadora portátil personal de un empleado o un interruptor de datos. Hay muchos riesgos asociados con los dispositivos no autorizados, por tanto la protección no autorizada debe bloquear el acceso a la red hasta que el personal de TI haya comprobado el dispositivo y se le haya permitido específicamente conectarse.

No hay que olvidar que tanto en los hallazgos identificados como en las recomendaciones está presente el factor humano. Las personas deben saber las implicaciones y riesgos de realizar ciertas actividades. De ahí la importancia de concientizar y capacitar. La auditoría puede prestar un buen concurso en este tema.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

jueves, 27 de enero de 2022

Curso Taller Presencial Smart Audit (Auditoría Interna Inteli-Gente) Nahun Frett


¡TE GUSTARÍA PARTICIPAR EN NUESTRO CURSO TALLER PRESENCIAL SMART AUDIT EN MARZO 2022!

INFORMACIÓN Y RESERVACIÓN: 

Tel.:(809)-472-0290 Exts.1801, 1802, 1803, 1804, 1805, 1806, 1807,1808 1861 y 1881. Fax.:(809)-472-1925. 

Av. Ortega & Gasset No. 46, Esq. Tetelo Vargas, Ens. Naco, Santo Domingo, D.N. Edificio Profesional Ortega 

E-MAIL:  entrenamientos@bdo.com.do 

DURACIÓN: 16 Horas 

DÍAS: Jueves 31 de marzo y viernes 01 de abril de 2022. 

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

lunes, 24 de enero de 2022

6 Antivalores que impedirán el éxito como auditor interno en el 2022

Cuando trabajaba para una Big Four, uno de los socios me dijo en una ocasión:

“Nahun nunca debes ser ANTI-NADA”.

Desde entonces siempre he tratado de seguir este sabio consejo. Pero actualmente estamos en la era del negacionismo (como si estuviéramos escuchando de forma permanente la canción de Joaquín Sabina "Lo niego todo"), por lo que en todos lados encontramos grupos: 

Antivacunas – Antitrabajo – Anticovid - Antirrestricciones

Basado en esta ola creciente de “ANTI-TODO”, detallamos 6 hábitos antiprofesionales que afectan brutalmente la calidad de nuestro trabajo, por lo que debemos evitar a toda costa ser:

Anticuado: Haber desarrollado una predisposición genética natural al cambio y aferrarse sistemáticamente a la forma habitual como siempre ha realizado el trabajo. Para dejar de ser anticuado lo primero que deberíamos hacer es descansar en la tecnología para optimizar el trabajo, a través de maximizar el uso de la tecnología para fortalecer la eficiencia, efectividad y calidad de la función de auditoría interna.

Antisocial: Preferir trabajar solo, disfrutar el permanecer aislado en tu cubículo u oficina revisando evidencias y documentación, como si fueras un autómata, debido a que has olvidado la importancia que tienen las relaciones interpersonales para el éxito de cualquier proyecto de auditoría.

Antipático: Poseer un sentimiento de desafección, rechazo o ánimo adverso hacia sus clientes. Auditar con una agenda fundamentada en perseguir y castigar basada en la búsqueda solamente de errores o irregularidades. Creer que cada cliente es una victima a la que hay que demostrar que esta cometiendo algún tipo de irregularidad o esta fallando en el cumplimiento de las normas establecidas.

Antivalor: Olvidarnos de la importancia del agregar valor. El valor se genera mediante la mejora de oportunidades para alcanzar los objetivos de la organización, la identificación de las mejoras operativas, y/o la reducción de la exposición al riesgo, tanto con servicios de aseguramiento como de consultoría. Como auditores internos para agregar valor real debemos desarrollar conocimientos profundos de su organización, incluyendo: cultura, actores claves, ambiente competitivo, sector o industria en la que opera la empresa y tendencias del mercado.

Antiético: La falta de integridad, ética, objetividad, o la ocurrencia de problemas en la confidencialidad o peor aún la violación de los procedimientos organizacionales de un solo de los auditores afecta la imagen completa de todo el equipo de trabajo; y podría crear un daño irreparable a la marca y buen nombre del departamento. En innumerables ocasiones he manifestado que se espera que cada auditor interno desempeñe su trabajo con honestidad, diligencia y responsabilidad. 

Anticreativo: No promover la creatividad e innovación. Tienes que tener el coraje para innovar en formas que los clientes y partes relacionadas no esperan. Creatividad para adaptar las innovaciones a la organización en forma que exceda las expectativas de los clientes y logre resultados sorprendentes, estamos seguros que producto de la pandemia su organización esta desarrollando cambios tecnológicos sustanciales y auditoría debe ser parte de este proceso.

Me gustaría saber su opinión sobre estos puntos y si tienen algunos otros temas que entienden deberían ser incluidos en el listado de antivalores.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!


domingo, 23 de enero de 2022

viernes, 21 de enero de 2022

El auditor y la productividad en 2022

Iván Rodríguez


En los comienzos del año, es habitual que las personas establezcan sus propósitos para los siguientes meses. Se plantean aquellos hábitos que desean cambiar y cómo actuar frente a diferentes situaciones. Uno de los propósitos más recurrente es ser más productivo, lo que implica ser más eficiente con el tiempo en casa y en el trabajo.

Algunas de las maneras en que se inicia el logro de la productividad son las siguientes:

Dividir un objetivo grande en otros más pequeños

Planificar las acciones del día

Evitar la multitarea

Usar recompensas como motivación

Evita fantasear con tu futuro

Estas maneras se explican así:

Dividir objetivos

Todos los grandes objetivos pueden dividirse en objetivos más pequeños, y éstos en tareas y subtareas, cada vez más fáciles y pequeñas. Así funciona el trabajo de auditoría. Un gran objetivo es un informe anual, por ejemplo. Dicha meta se divide en diferentes objetivos, que corresponden a las actividades relacionadas en la planeación. Así mismo, las actividades de la planeación se subdividen en tareas específicas, procedimientos y pruebas. Esta misma estrategia se aplica a cualquier gran objetivo, basta con dividirlo en otros más pequeños que sean fáciles y rápidos de completar, lo que permite crear un plan específico para lograrlos, paso a paso.

Planificar las acciones

Uno de los mayores factores de éxito, consiste en programar las acciones del día. Es aconsejable hacerlo todos los viernes después del trabajo o todos los lunes antes de comenzar la semana. Para el efecto, hay que destinar tiempo para revisar la lista de tareas pendientes y asignar un período de tiempo a cada una. Es necesario tener una lista de tareas clara y saber que tarea debe ejecutarse antes que otra. No hay que pensar demasiado en los pequeños detalles. Se puede ejecutar mucho más trabajo, cuando se sabe exactamente qué tareas deben completarse. Esta es la manera en que funciona una planeación de auditoría.

Evitar la multitarea

Algunas personas asocian la multitarea con productividad, pero eso no es necesariamente cierto. Muy pocas personas logran ser productivas desarrollando varias actividades a la vez. Normalmente, un cambio de tareas afecta la productividad disminuyéndola y por tanto aumenta el tiempo que lleva completar la tarea original. Luego de interrumpir una tarea se tarda cierto tiempo para reanudarla. Si esta situación se repite varias veces al día, se pierde tiempo valioso. Si a esto se suma que muchas personas tienen problemas de concentración, la situación puede ser más compleja dificulta la optimización del tiempo.

En las labores de auditoría, las pruebas y procedimientos se ejecutan buscando objetivos específicos y evaluando temas particulares. No se suelen hacer pruebas que abarquen muchos componente y procesos. Es por ello que el trabajo se distribuye a lo largo del tiempo, abarcando pocos temas cada vez hasta cubrir lo necesario para concluir la labor contratada.

Uso de recompensas

Una de las maneras en que las personas suelen ser más productivas es recibir alguna recompensa luego de ejecutar una labor o alcanzar un resultado. Para el efecto, es importante que la persona busque algo que disfrute (puede ser algo tan sencillo como escuchar música, comer un postre, salir a caminar…) y luego lo emplee como una recompensa por hacer algo productivo. La recompensa debe restringirse hasta que haya completado la tarea. Aunque parezca algo simple, aumenta la productividad.

Puede establecerse de manera rutinaria ejecutar ciertas tareas importantes antes de recibir la recompensa. En los trabajos de auditoría (e incluso en otras labores), luego de concluir ciertas actividades de manera exitosa, en menos del tiempo previsto se recibe un premio o reconocimiento. Ese es el esquema mediante el cual funcionan las recompensas.

Otras estrategias:

El incremento en la productividad se logra en algunos casos empleando diferentes estrategias que pueden no ser convencionales, pero que a algunas personas les da resultado. Entre ellas se cuentan:

Permanecer de pie durante algunas actividades

Atender ciertas actividades estando de pie, puede lograr eficiencias. Por ejemplo, contestar llamadas o revisar ciertos asuntos hace que haya más concentración en lo importante y se haga un uso más eficiente del tiempo. Adicionalmente, el cambiar de posición favorece la condición física.

Pausas activas y trabajo en intervalos de tiempo

La concentración de las personas se pierde luego de algún tiempo, que puede ser de una media hora aproximadamente. Por ello se aconseja dividir el trabajo en intervalos de tiempo, tener una pequeña pausa y luego retomar. Esta técnica es conocida como Pomodoro y es un método para mejorar la administración del tiempo desarrollado por Francesco Cirillo a fines de los años 1980. La técnica usa un reloj para dividir el tiempo dedicado a un trabajo en intervalos de 25 minutos -llamados ‘pomodoros’- separados por pausas. El fundamento del método es la idea de que las pausas frecuentes pueden mejorar la agilidad mental y se tiene una mejor respuesta, en lugar del estado de ansiedad que suele provocar el paso del tiempo.

Establecer y escribir metas

Si bien muchas personas se fijan metas, no todas lo logran. Una manera de procurar alcanzarlas es, luego de definirlas, escribirlas, lo que facilita visualizar las formas específicas en que las metas pueden hacerse realidad, así como hacer seguimiento. El hecho de escribir algo parece hacer a la persona más responsables de alcanzar una meta. Establecer una meta no es suficiente, hay que visualizar cómo llegar allí.

Si bien esta relación de estrategias no es exhaustiva, su aplicación con seguridad puede contribuir a mejorar la productividad de las personas y de esta manera lograr sus metas y objetivos tanto personales como profesionales. En auditoría, la productividad beneficia tanto al auditor como al cliente con el consecuente impacto positivo en la ejecución del trabajo, la reducción de costos y la posibilidad de lograr mejores resultados.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

jueves, 20 de enero de 2022

Curso Taller Presencial Metamorfosis Esencial Proceso Auditoría Operativa

¡TE GUSTARÍA PARTICIPAR EN NUESTRO PRIMER CURSO TALLER PRESENCIAL DEL 2022!


INFORMACIÓN Y RESERVACIÓN: 

Tel.:(809)-472-0290

Exts.1801, 1802, 1803, 1804, 1805, 1806, 1807,1808 1861 y 1881. Fax.: (809)-472-1925. 

Av. Ortega & Gasset No. 46, Esq. Tetelo Vargas, Ens. Naco, Santo Domingo, D.N.

Edificio Profesional Ortega 

E-MAIL:  entrenamientos@bdo.com.do 

DURACIÓN: 16 Horas 

DÍAS: Martes 29 y miércoles 30 de marzo de 2022. 

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

domingo, 16 de enero de 2022

miércoles, 12 de enero de 2022

Los 30 hallazgos más frecuentes en el fraude contable

Guillermo Casal


Hallazgos más frecuentes de los auditores externos en el Fraude Contable

Una encuesta llevada a cabo por la ACFE entre grandes firmas de auditoría de los Estados Unidos identificó una serie de patrones presentes en la mayor parte de los casos de Fraude en los Estados Financieros o Contables. Seguidamente se presentan los mismos en orden de prelación:

  1. La administración mintió a los auditores o se mostró extremadamente evasiva en proveer respuestas a sus consultas
  2. La experiencia del auditor con la administración le ha revelado deshonestidad
  3. La administración pone excesivo énfasis en alcanzar objetivos cuantificados en términos financieros, poniéndolos por encima de otras metas de la organización
  4. Se han tornado frecuentes las discusiones entre los auditores y la administración con respecto a la aplicación de principios, criterios o estimados contables. El tono de estas discusiones es agresivo y muchas veces irracional
  5. El cliente se embarca en la compra de opiniones para sustentar sus opiniones o prejuicios, que frecuentemente no tienen fundamento
  6. La administración es extremadamente agresiva en cuanto a objeciones respecto de sus criterios de reporte financiero
  7. El ambiente de control interno de la empresa es extremadamente débil
  8. Un componente sustancial de las remuneraciones gerenciales está ligado al logro de metas financieras
  9. La empresa no exhibe respeto por los reguladores y frecuentemente les miente u oculta información
  10. Las opiniones de la administración en temas contables son dominadas por una sola persona o un grupo extremadamente reducido de personas
  11. La administración se muestra abiertamente hostil hacia los auditores
  12. La administración es sumamente propensa a tomar riesgos excesivos
  13. Hay una extrema dificultad para auditar transacciones relativamente sencillas en organizaciones similares y de la misma actividad
  14. Los gerentes clave se muestran abiertamente irracionales
  15. No hay un control efectivo sobre las operaciones descentralizadas
  16. Hay excesiva rotación sobre puestos claves de la organización
  17. El personal de la organización se muestra resentido o cínico
  18. La administración presiona a los auditores por medio de promover constantes rebajas de honorarios, establecer plazos muy cortos para realizar el trabajo, o ambas circunstancias a la vez
  19. La rentabilidad de la organización es inconsistente con su actividad o con la de organizaciones similares o en la misma industria
  20. La organización enfrenta demandas en varios procesos legales y/o ha emprendido acciones legales muy importantes para su estabilidad financiera, con pronóstico negativo
  21. La administración está muy preocupada por la imagen corporativa, pero sus acciones no condicen con tal interés
  22. Hay condiciones muy adversas de contexto y/o en la industria que llevan a temer por la continuidad de la organización
  23. El personal contable es inexperto, trabaja en un ambiente de laxitud, o ambas cosas
  24. Los resultados financieros son altamente dependientes de una o unas pocas transacciones
  25. La alta administración es inexperta
  26. La organización está en un proceso de rápido pero inexplicable crecimiento
  27. Ha habido dificultades o imposibilidad de contactar al auditor anterior
  28. Existen grandes riesgos y restricciones a la operación debido a numerosos y significativos contratos y compromisos
  29. La organización es muy vulnerable a aspectos de contexto externo tales como inflación, tipo de cambio, tasa de interés o regulaciones del consumidor, laborales o respecto del medio ambiente
  30. La organización ha adquirido varias compañías en un periodo breve

¿Te ha gustado la información? ¡Compártela con otro auditor interno!