Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fundada en 1827
PROGRAMAS DE EDUCACIÓN SUPERIOR ABIERTA Y A DISTANCIA
ACTIVIDAD No.1
ASIGNATURA AUDITORIA TECNOLOGICA
FACULTAD DE INGENIERIA
PROGRAMA DE INGENIERIA DE SOFTWARE
CENTRO TUTORIAL LORICA
IX SEMESTRE
Fecha 24 abril 2021
TUTOR:
EUGUENIS ALFONSO YANEZ SEGURA
Ingeniero de Sistemas
Especialista en Gerencia de Proyectos
Especialista en Gestión y Seguridad de Base de Datos
Maestrante Recursos Digitales para la Educación
Una vez conocemos las tecnologías, se deben calcular los niveles de tecnología de
la empresa y analizar la posición de la empresa con respecto a sus competidores.
Sacar conclusiones relativas al resultado del análisis de las tecnologías y la posición
relativa de la empresa. Las conclusiones aquí sacadas servirán como dato de partida
para establecer una estrategia tecnológica.
¿Qué son y cómo se evalúan el inventario tecnológico y la base de conocimiento?
La auditoría se caracteriza por depender de diferentes principios. Los principios tienen que
ayudar a realizar la auditoría, es decir, proporcionan herramientas eficientes y fiables de
apoyo a las políticas y controles de gestión, facilitando información sobre cómo debe actuar
una organización para mejorar su desempeño.
Integridad
Es un fundamento de la profesionalidad. Los auditores y las personas que realizan la
gestión de un programa de auditoría deben desempeñar su trabajo con honestidad,
diligencia y responsabilidad, observar y cumplir todos los requisitos legales que sean
aplicables, demostrar la competencia a la hora de realizar su trabajo, desarrollar su trabajo
de forma imparcial, es decir, sin estar influenciados por nada y por nadie, ser sensible a
cualquier influencia que pueda ejercer su juicio mientras realiza una auditoría.
Presentación imparcial
Es la obligación de informar con veracidad y exactitud. Todos los hallazgos, conclusiones e
informes tienen que reflejar con veracidad y exactitud las actividades que se realizan
durante las auditorías. Se tiene que informar de todos los obstáculos que se encuentran en
el camino al realizar la auditoría y las opiniones divergentes que se queden sin resolver
entre el equipo auditor y la persona auditada. La comunicación tiene que ser veraz, exacta,
objetiva, oportuna, clara y completa.
Ser profesional
Contar con diligencia y tener juicio a la hora de realizar la auditoría. Los auditores deben
proceder con mucho cuidado, según la importancia que tenga la tarea que quieren
desempeñar y la confianza que se deposite en ellos por el cliente de la auditoría y por las
demás partes interesadas. Un gran factor a tener en cuenta a la hora de realizar su trabajo
con el debido cuidado profesional es contar con la capacidad de realizar juicios razonados
con todas las situaciones de la auditoría.
Confidencialidad
Se debe realizar cuidando la seguridad de la información. Los auditores deben proceder con
discreción durante la utilización y la protección de la información que ha adquirido durante
la realización de la auditoría. La información de la auditoría no puede usarse de forma
inapropiada para beneficio personal del auditor o del cliente de la auditoría, de forma que
pueda perjudicar al interés legítimo del auditado. El concepto incluye el tratamiento
apropiado de la información sensible o confidencial.
Independiente
Es la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la
auditoría. Los auditores deben ser independientes a la actividad que se quiere auditar
siempre y cuando sea posible, además existen casos en los que deben actuar de forma libre
contra el conflicto de intereses. Para las auditorías internas, los auditores deben ser
independientes de los responsables operativos de la sección que se desea auditar. Los
auditores deben mantener la objetividad según el proceso de auditoría para asegurarse de
los hallazgos y las conclusiones de la auditoría que se basan sólo en la evidencia de la
auditoría.
Para las empresas pequeñas, puede que no sea posible que los auditores internos sean
independientes del todo de la actividad que deben auditar, pero tiene que hacer esfuerzos
para eliminar esta barrera y fomentar la objetividad.
Los activos son todos aquellos bienes, recursos, derechos y valores con los que cuenta una
empresa, es decir, todo aquello que suma a su favor. Pueden ser bienes inmuebles,
construcciones, infraestructuras, máquinas, vehículos, equipos tecnológicos o sistemas
informáticos, pero también derechos de cobro por servicios prestados a terceros o la venta
física de productos y bienes a sus clientes.
En esta categoría también procede incluir aquellas inversiones, títulos o bonos cuyos
beneficios se proyectan a medio o largo plazo. Aunque sus ventajas no son inmediatas ni se
traduce en liquidez, son elementos patrimoniales en potencia.
Lo contrario del activo es el pasivo, es decir, aquellos elementos por los que la empresa está
obligada a responder ante terceros: deudas, préstamos, créditos, compromisos salariales,
impuestos, y cargas fiscales, entre otros ejemplos.
O dicho de otra manera: hay activos con más peso que otros. Ahora bien, ¿qué criterios
existen para determinar el valor de un activo? Repasemos algunos de ellos:
Coste histórico: es aquel que se establece para aquellos bienes que tienen un cierto
arraigo a una marca o empresa. La mayoría de las veces no es igual que el coste
real, pues siempre hay en el coste histórico un componente simbólico que se asigna
por cuestiones de tradición e identidad.
Coste de venta: es el precio con el que un producto o bien sale a la venta en el
mercado. Este valor suele llevar implícito el beneficio que la empresa obtendrá tras
haberlo diseñado, fabricado y comercializado.
Coste amortizado: señala el importe por el que inicialmente ha sido valorado un
bien o activo, menos los reembolsos que se han producido en su proceso de venta.
Algunas veces se calcula con el interés efectivo de la diferencia entre el importe
inicial y el valor del reembolso.
Valor neto: se refiere al coste del bien o producto sin que se incluya en dicha cifra
lo referido a pago de impuestos, cuotas de intermediarios o proveedores, entre otros.
Cuando se añaden estos componentes se le denomina valor bruto.
han adquirido los activos digitales para la big data empresarial y sus propietarios bien sean
entes jurídicos o personas naturales. Existen también otras conductas criminales que aunque
no pueden considerarse como delito, se definen como ciberataques o abusos informáticos y
forman parte de la criminalidad informática.2 La criminalidad informática consiste en la
realización de un tipo de actividades que, reuniendo los requisitos que delimitan el
concepto de delito, son llevados a cabo utilizando un elemento informático.
medio para elevar el nivel de seguridad en la Unión Europea frente a las amenazas de
carácter transfronterizo.
Mucha información es almacenada en un reducido espacio, con una posibilidad de
recuperación inmediata, pero por complejas que sean las medidas de seguridad que se
puedan implantar, aún no existe un método infalible de protección.
La criminalidad informática tiene un alcance mayor y puede incluir delitos tradicionales
como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en
los cuales ordenadores y redes han sido utilizados como medio. Con el desarrollo de la
programación y de Internet, los delitos informáticos se han vuelto más frecuentes y
sofisticados.
La Organización de Naciones Unidas reconoce los siguientes tipos de delitos informáticos:
1. Fraudes cometidos mediante manipulación de computadoras; en este se reúne:
la manipulación de datos de entrada (sustraer datos), manipulación de programas
(modificar programas del sistema o insertar nuevos programas o rutinas),
manipulación de los datos de salida (fijación de un objeto al funcionamiento de
sistemas de información, el caso de los cajeros automáticos) y fraude efectuado por
manipulación informática (se sacan pequeñas cantidades de dinero de unas cuentas
a otras).
2. Manipulación de datos de entrada; como objetivo cuando se altera directamente
los datos de una información computarizada. Como instrumento cuando se usan las
computadoras como medio de falsificación de documentos.
3. Daños o modificaciones de programas o datos computarizados; entran tres
formas de delitos: sabotaje informático (eliminar o modificar sin autorización
funciones o datos de una computadora con el objeto de obstaculizar el
funcionamiento) y acceso no autorizado a servicios y sistemas informáticos (ya sea
por curiosidad, espionaje o por sabotaje).
la Guía ISO/CEI 51. Para asuntos relacionados con la seguridad, las definiciones facilitadas
en la Guía ISO/CEI 51 siguen vigentes. Estas constan en el Anexo A de la Guía ISO/CEI
73. Se proporciona una lista alfabética de términos en inglés y francés. NOTA Cuando un
término definido en esta Guía se remite a otra definición, aparece en negrita junto con su
remisión. Los términos citados en las notas aparecen en negrita pero sin remisiones.
Teniendo como referente la norma internacional ISO 31000, existen cuatro pasos
básicos que debes seguir para realizar una evaluación de riesgos.
1. Identificación de riesgos
Como su nombre lo indica, en esta etapa se deben identificar los posibles riesgos, tanto
internos como externos, a los que está enfrentada la empresa. Pueden ser vistos como algo
positivo en la medida en que pueden contribuir al mejoramiento de ciertas actividades o
negativo porque pueden afectar de manera directa el cumplimiento de los objetivos. Para
esto hay que contar con toda la información necesaria y actualizada de la empresa.
Una vez se cuenten con todos los recursos, lo siguiente es llevar a cabo el análisis de todos
los escenarios para comenzar a reconocer las amenazas que se pueden presentar.
Se deben tener en cuenta los siguientes aspectos:
¿Qué genera el riesgo? Ya sea tangible o intangible.
Causas y eventos.
2. Método semicualitativo
Se construye bajo un sistema de índices, teniendo en cuenta las situaciones que fueron
analizadas para poder clasificar los riesgos que se puedan presentar, y a su vez, contar con
un plan de acción.
Es importante asignar tareas a los diferentes factores de riesgo que se puedan dar en
determinadas situaciones, con el fin de adquirir el nivel de riesgos. Comúnmente se
realizan cuestionarios de chequeo que permiten identificar los factores y su
importancia.
Hay que tener presente que los métodos pueden ser riesgos intrínsecos, índice Dow y
método Gretener.
3. Método cuantitativo
El método cuantitativo en el análisis de riesgos es aquel que permite obtener una
valoración numérica de la materialización de un evento, ya sea negativo o positivo, en
términos de los criterios definidos, que pueden ser monetarios, operativos, técnicos,
humanos, entre otros, lo que hace más tangible y objetivo el análisis.
Sin embargo, hay autores que van más allá y lo definen como aquel método que permite
asociar una probabilidad y su correspondiente distribución al evento de riesgo y las
consecuencias que pueden ocasionar en los objetivos del proyecto.
Por lo general, el análisis cuantitativo se realiza después del análisis cualitativo, pero
hay autores que indican que se pueden hacer por separado y de forma simultánea,
mientras hay otros quienes piensan que este debe primar sobre el cualitativo. En todo caso,
lo más recomendable es que uno sea complemento del otro para así sumar sinergias.
Para llevar a cabo un análisis de este tipo, es necesaria la utilización de técnicas
matemáticas y estadísticas, las cuales exigen la recolección de datos. Entre las técnicas
más destacadas y utilizadas se encuentran las siguientes:
Análisis de sensibilidad.
Valor esperado monetario.
Árboles de decisión.
Simulación de Monte Carlo.
Regresión lineal.
Regresión no lineal.
Series de tiempo.
Teoría de juegos.
ARC.
Ventajas del método cuantitativo:
Objetividad.
Generalización de los resultados.
Hace más tangible el resultado del riesgo.
Conceptos y teorías robustas, lo que le da mayor validez a los resultados.
Desventajas del método cuantitativo:
Complejidad en algunos cálculos.
Puede llegar a ser demasiado rígido por las técnicas estadísticas y matemáticas
empleadas.
Demanda mayores recursos en tiempo y dinero.
¿Qué es la evaluación de riesgos?
Categorías de riesgos
Riesgo financiero
Está directamente relacionado con todo lo que tiene que ver con el sistema financiero de la
compañía, operaciones, transacciones y movimientos, pueden ser alguno de los siguientes:
Riesgo de crédito.
Riesgo de cambio.
Riesgo de liquidez.
Riesgo tasas de interés.
Riesgo de mercado.
Riesgo de gestión.
Riesgo operativo
Son los riesgos que afectan las actividades de la organización impidiendo cumplir con los
objetivos establecidos.
Riesgo de cumplimiento
Son los que no son compensados. Normalmente se enfocan en actividades para gestionar
los riesgos empresariales.
Procesos en la evaluación de riesgos