Enero - Febrero 2007
 

Seguridad, Confidencialidad y Resguardo de la Información

Uno de los aspectos más importantes a tomar en cuenta en el funcionamiento de las oficinas de auditoría es el manejo seguro y confidencial de la información. Para poder garantizar la seguridad y confidencialidad de la información es necesario contar con procesos y herramientas que permitan su preservación.

Durante los últimos años, se ha observado una tendencia acelerada hacia la digitalización y automatización de los procesos de auditoría, apoyándose, en muchos casos, en herramientas tecnológicas de uso general como MS Office y la utilización de folders compartidos que no necesariamente permiten garantizar la seguridad, confidencialidad y resguardo de la Información. Incluso, esquemas de automatización no especializados pueden disminuir los niveles de seguridad, confidencialidad y resguardo de la información existentes antes de la automatización.

Cuando se diseña e implementa un esquema de automatización y digitalización de los procesos de auditoría es necesario tomar en cuenta los siguientes aspectos:

  • ¿Dónde se almacenará la información?
  • ¿Cómo y quién respaldará la información?
  • ¿Cómo se evitaran brechas de seguridad a través de los respaldos?
  • ¿Cómo se controlará el acceso a la información almacenada?
  • ¿Se requerirán diferentes niveles de acceso a la información?
  • ¿El control de acceso será rígido o podrá cambiar según las asignaciones?
  • ¿Cómo se garantizará la seguridad de la información durante los trabajos de campo?
  • ¿Cómo se registrará (LOG) el acceso a la información?
  • ¿Cómo se administrará el sistema de control y seguridad de la información?
  • ¿Qué esquema se utilizará para compartir la información entre los diferentes usuarios y cómo se manejaran las diferentes versiones?
  • ¿Cómo minimizar el riesgo de brechas de seguridad al utilizar los correos electrónicos?

Adicionalmente a los elementos de seguridad, confidencialidad y resguardo de la información también se deben tomar en cuenta elementos funcionales como por ejemplo ¿Cómo se manejará el proceso de revisión/aprobación? o ¿Cómo se manejará la asignación y el control del tiempo de los auditores?

Herramientas especializadas para la automatización y digitalización de oficinas de auditoría como AutoAudit permiten establecer esquemas de control robustos permitiendo garantizar el cumplimiento de los niveles de seguridad, confidencialidad y resguardo de la información requeridos por las organizaciones.

Entre las principales características de seguridad de AutoAudit se encuentran:

  • La información se almacena de manera 100% digital
  • La información se almacena en una base de datos central y no en las estaciones de cada usuario
  • La información puede ser almacenada de manera cifrada
  • La configuración de acceso a la información está basada en roles y perfiles de usuarios y puede variar dependiendo de las asignaciones en las auditorías
  • La autenticación de usuarios puede estar integrada o no con la red, lo que permite establecer un esquema exclusivo para la aplicación
  • El almacenamiento centralizado de la información simplifica los procesos de resguardo o toma de backup de la información. Si la información está cifrada se evitan las brechas de seguridad desde los respaldos
  • Se pueden generar copias de viaje que permite trabajar con la información fuera de la oficina, con los mismos niveles de seguridad establecidos
  • Registra trazas de auditoría sobre el acceso a los documentos
  • Permite compartir la información sin la necesidad de tener que enviarla por e-mail


Adicionalmente, permite contribuir al concepto de oficinas cero papel, logrando ahorros importantes al reducir el costo en la generación, distribución, almacenamiento y destrucción de los documentos.

Si desea recibir mayor información sobre este tema, por favor contacte a grupoeniac@eniac.com

Herramienta de Análisis de Datos y la Verificación de Controles

Entre las responsabilidades de los equipos de auditoría se encuentra la identificación de posibles fallas en la configuración, operación y seguridad de los sistemas y de la información o datos asociada a los mismos. Adicionalmente, se busca comprobar que los controles establecidos en los procesos se este cumpliendo y que su implementación sea efectiva.

Una de las formas más efectivas para determinar si un sistema está operando de la manera adecuada y esta cumpliendo con los controles establecidos, es a través de las pruebas cruzadas de los datos en el origen. A través de estas pruebas se busca comparar la información de distintas fuentes, con la procesada por el sistema, estas pruebas deben incluir la información bruta original almacenada en las bases de datos de los sistemas.

La creación de las pruebas cruzadas requiere la capacidad de acceder a datos en diferentes ambientes y con diferentes formatos para unirnos en un conjunto de pruebas que permitan determinar si los sistemas, procesos y usuarios están cumpliendo con los controles establecidos.

Algunos ejemplos de los controles que pueden ser verificados son:

  • Segregación de Funciones
  • Niveles autorización
  • Atomización de las transacciones
  • Identificar cuentas extremas (volúmenes y/o montos altos y bajos)
  • Relaciones entre Facturas y Órdenes de Compra
  • Relaciones entre Empleados y Proveedores
  • Identificación de empleados fantasmas

Además de la verificación de la aplicación de los controles internos, las herramientas de análisis de datos nos permiten verificar que los sistemas están aplicando de manera adecuada las reglas de negocio establecidas, como por ejemplo:

  • Descuentos por pronto pago
  • Descuentos por volumen
  • Bonificaciones por ventas
  • Aumento de Precios
  • Rotación de Inventario

Adicionalmente, las herramientas de análisis de datos se pueden utilizar para identificar violaciones de controles específicos de cada sector económico, por ejemplo:

  • Hombres solicitando medicamentos y/o tratamientos para mujeres
  • Adultos solicitando medicamentos y/o tratamientos para niños
  • Contribuyentes solicitando ayudas del gobierno
  • Aplicación de tasas de intereses preferenciales a personas que no cumplan con las condiciones establecidas
  • Rotación de Inventario

Como conclusión podemos decir que con herramientas de análisis de datos flexibles y de gran capacidad como ACL for Windows se pueden diseñar pruebas de validación de controles que se adaptan a cualquier tipo de organización.

Si desea recibir mayor información sobre este tema, por favor contacte a grupoeniac@eniac.com
 
CURSOS DE ADIESTRAMIENTOS GRUPO ENIAC
 
 
 
 
EVENTOS / SEMINARIOS
 
 
ACTIVIDAD GREMIAL / EXPOSICIONES
 
 
LINKS DE INTERÉS
 
 
- Association for Financial Professionals Chapter Puerto Rico   - Information Systems Audit and Control Association (ISACA)
- Colegio de Contadores Públicos Autorizados de Puerto Rico   - Information Systems Audit and Control Association Chapter México
- The Institute of Internal Auditors Chapter México   - Information Systems Audit and Control Association Chapter Puerto Rico
- The Institute of Internal Auditors Chapter Puerto Rico   - U.S. Securities and Exchange Commisions
- The Institute of Internal Auditors Chapter Venezuela      
 
 
   
TECNITIPS
  
 

Convirtiendo pruebas puntuales en pruebas continuas

Uno de los grandes retos que enfrentan las oficinas de auditoría interna, es mejorar la eficiencia de sus procesos para jugar un papel más proactivo y menos reactivo en la identificación y control del fraude y las violaciones de los controles establecidos. Una de las maneras de lograr esto es pasar del esquema pruebas puntuales a los esquemas de auditoría continua a través de la automatización de las pruebas. ACL permite la automatización de las pruebas a través de la creación, ejecución y automatización de scripts.

Una de las principales características de ACL es la auto documentación y generación automática de los scripts, directamente del Log de acciones sin necesidad de programación.

Para poder automatizar una prueba en ACL se debe seguir los siguientes pasos:

  1. Definir la prueba que se quiere realizar, la definición se hace utilizando cualquiera de las funciones o comandos de ACL

  2. Ir al registro de los análisis realizados en ACL para incorporar los mismos en un Script se debe:

    a) Hacer clic sobre el tab del log, el mismo se encuentra ubicado en la ventana del Navegador del proyecto (Project Navegator).

    b) Seleccionar los comandos o funciones con el mouse, una vez usted visualice una "x" en cada recuadro que tiene al lado cada comando.

    c) Presione el botón derecho del Mouse para guardar los elementos seleccionados como un Script.

  3. Verifique el funcionamiento del script:

    4. Ejecute el script desde la ventana Panorama (Overview) En el Panorama (Overview) haga clic sobre el script. con el botón derecho del mouse y seleccione Ejecutar (Run).

    Para ejecutar un script desde la barra de menús, proceda de la siguiente manera:

    Seleccione Herramientas >> Ejecutar script., esto mostrará una caja de diálogo para que usted seleccione el script.

    Nota: Cuando un script está en ejecución, ACL muestra el estado del procesamiento y el nombre del script a la izquierda de la barra de estado.

  4. Programar la ejecución del script: para realizar una ejecución desatendida del script es necesario hacer lo siguiente:

    4.1 Cree un archivo con la extensión .bat con la siguiente línea:

    Para sistema Operativo en español y ACL en Español:
    "C:\Archivos de programa\Software ACL\ACL Version 9\ACLWin.exe"

    Para sistema Operativo en Inglés y ACL en Inglés:
    "C:\Program Files\ACL Software\ACL Version 9\ACLWin.exe"

    El comando descrito anteriormente invoca al programa ACL, luego para ejecutar el proyecto y el script se debe escribir lo siguiente:

    "C:\Archivos de programa\Software ACL\ACL Version 9\ACLWin.exe"
    "C:\ACLData\Archivos de datos de muestra\Workbook.acl" /bnombreScript

    Es importante escribir todo en una sola línea, el nombre del script debe ir inmediatamente después del parámetro /b esto es lo permite ejecutar el script. Por ejemplo, para ejecutar el script buscar_duplicados, en la carga automática del proyecto Trabajo.ACL, la línea de comando sería la siguiente:

    "C:\Archivos de programa\Software ACL\ACL Version 9\ACLWin.exe"
    "C:\Datos de ACL\TRABAJO.acl" /bbuscar_duplicados

    Sí, requiere inicializar variables cuando carga automáticamente un proyecto ACL, ingrese /v seguido inmediatamente por el nombre de la variable y el valor que asume. No ingrese un espacio entre /v y la variable. Por ejemplo, para inicializar dos variables, "Auditor" y "Materialidad", cuando se carga automáticamente el proyecto Trabajo, la línea de comando será la siguiente:

    "C:\Archivos de programa\Software ACL\ACL Version 9\ACLWin.exe" "C:\ACL DATA\TRABAJO.acl" /vAuditor="John Chen" /vMaterialidas=10000 /bbuscar_duplicados

    El comando se ejecuta de acuerdo con el orden especificado en la línea de comando. El ejemplo anterior hará lo siguiente:

    1. Ejecutar ACL.

    2. Cargar el proyecto Trabajo.

    3. Configurar las variables Auditor y Materialidad.

    4. Ejecutar el script Buscar_duplicados.

    4.2 Cree un Scheduler en Windows para invocar al archivo .bat que tiene los comandos descrito anteriormente.

    Si tiene dudas adicionales sobre este importante tema no dude en comunicarse con el personal de soporte técnico del Grupo Eniac a través del Email: grupoeniac@eniac.com

 
 
 
     
 
 
 

Flexibilizan los requerimientos de la sección 404 para las pequeñas y nuevas compañías.

Washington DC. Diciembre 15, 2006 - La Securities and Exchange Commission (SEC) está extendiendo la fecha en la cual las compañías pequeñas que cotizan en la Bolsa de Valores (Smaller Public Companies), deben cumplir con la entrega de los reportes de control interno requeridos por mandato de la Sección 404 de la Ley de Sarbanes- Oxley del 2002. Previamente, aquellas compañías que no clasificaban para la definición de la SEC, como muy grandes o grandes compañías “Large Accelerated Filer ó Accelerated Filer“, tenían establecido comenzar a enviar estos reportes para el año fiscal finalizado el 15 de de 2007 o en fecha posterior, estos reportes incluían tanto la evaluación de la gerencia, como la certificación de los auditores de que la gerencia evaluó la efectividad de los controles internos sobre los reportes financieros. La comisión está extendiendo la fecha, por lo tanto, estas compañías deberán proveer el reporte de la evaluación de la gerencia con respecto al control interno sobre los estados financieros para el año fiscal finalizado el 15 de Diciembre de 2007 o fecha posterior. Para comenzar a cumplir con el requerimiento de la certificación de los auditores para sus reportes anuales, la fecha se extiende al año fiscal finalizado el 15 de Diciembre de 2008 o posterior.

La extensión para compañías pequeñas es consistente con “Los nuevos pasos para la implementación de la Sarbanes-Oxley” anunciada el 17 de Mayo de 2006 (SEC Press release 2006-75).

Como parte de esta misma actualización, la Comisión está concediendo extensión para las compañías nuevas que deben aplicar la Ley con respecto a los requerimientos de la Sección 404. Esto también incluye emisores extranjeros privados que estén listándose en la Bolsa de Estados Unidos (U.S. Exchange) por primera vez. Este período de transición intenta permitir que las nuevas compañías se concentren en la seguridad inicial de las ofertas sin la carga adicional de tener que cumplir con la Sección 404.

Las compañías pequeñas, tanto extranjeras como domésticas, junto con las nuevas compañías, son participantes vitales en los mercados de capitales de Estados Unidos.

La sección 404 juega un rol crítico para los inversores y los mercados en Estados Unidos, realzando la confiabilidad de los reportes financieros, pero su implementación necesita ser más eficiente y con un costo-efectividad para las compañías que deben cumplir con él.

A continuación se presenta un resumen con las fechas de cumplimiento:

 

Revisión cumplimiento de fechas y reglas finales de los requerimientos sobre Control Interno para los Reportes Financieros 

 

Status

Reporte de la Gerencia

Certificación de los Auditores

Emisores  Estadounidenses

Compañías Grandes  (Large Accelerated Filer o Accelerated Filer  con US$ 75MM o más)

Actualmente cumpliendo (Reporte anual para el año fiscal finalizado en Noviembre 15,2004 o en fecha posterior)

Actualmente cumpliendo (Reporte anual para el año fiscal finalizado en Noviembre 15,2004 o en fecha posterior)

 

Compañías Pequeñas       (Non- accelerated Filer con menos de US$75MM)

Reporte anual para el año fiscal finalizado en Diciembre 15,2007 o en fecha posterior

Reporte anual para el año fiscal finalizado en Diciembre 15,2008 o en fecha posterior

 

Compañías Muy Grandes  (Large Accelerated Filer  con US$ 700MM o más)

Reporte anual para el año fiscal finalizado en Julio 15,2006 o en fecha posterior

Reporte anual para el año fiscal finalizado en Julio 15,2006 o en fecha posterior

Emisores Extranjeros

Compañías Grandes         (Accelerated Filer  con US$ 75MM o más y menos de US$700MM)

Reporte anual para el año fiscal finalizado en Julio 15,2006 o en fecha posterior

Reporte anual para el año fiscal finalizado en Julio 15,2007 o en fecha posterior

 

Compañías Pequeñas       (Non- accelerated Filer con menos de US$75MM)

Reporte anual para el año fiscal finalizado en Diciembre 15,2007 o en fecha posterior

Reporte anual para el año fiscal finalizado en Diciembre 15,2008 o en fecha posterior

Emisores Norteamericanos y Extranjeros

Nuevas compañías            (Newly Public Company)

Segundo Reporte Anual

Segundo Reporte Anual

Fuente:http://www.sec.gov/news/press/2006/2006-210.htm

Si desea recibir mayor información sobre este tema, por favor contacte a grupoeniac@eniac.com

 
En nuestras ediciones anteriores:
  
 

Nov - Dic 2006 Ver
- Realineación de las Auditorías a través de la Auditoría Continua
- Ya está disponible AutoAudit for Windows 2.0, más fácil de usar
- ISACA-PR celebra su Simposio Anual por quinta vez consecutiva
- TECNITIPS: Proteja sus trabajos con los "backup"

Sep - Oct 2006 Ver
- ¿Cuánto dinero está perdiendo su organización a causa del Fraude?
- Ya está a su disposición la nueva versión de ACL 9.0
- La Utilización de Hojas de Cálculo para la Documentación Sox
- OJEANDO TAKE COMMAND!
- TECNITIPS: Información al alcance de un Clic

Para consultar ediciones anteriores visite nuestras páginas web www.grupoeniac.com/Boletines/Update/Ediciones_Ant_CAATT.htm

  
 
 
   
 
   
Herramientas CAATT, Detección de Fraude y Calidad de Datos distribuidas y soportadas por el Grupo Eniac

El Grupo Eniac se especializa en la distribución de herramientas y sistemas de Tecnologías de Información; nuestra oferta de servicios va desde soluciones de aplicación general como Microsoft, hasta herramientas especializadas de control de proyectos o CAATT entre otros. El Grupo Eniac además de proveer las licencias de software, ofrece servicios de capacitación, servicios técnicos de implementación y soporte continuo.

Entre nuestros principales socios tecnológicos se encuentran: ACL Services, Help Systems, Lawson Software, Microsoft, Paisley Consulting, Pertmaster, Primavera Systems, Sterling Commerce, Trillium Software y Vision Solution.
 

Eniac, C.A.
Caracas, Venezuela
www.eniac.com

The Eniac Corporation
San Juan, Puerto Rico
www.eniac-corp.com

XopanTech, S.A. de C.V.
México D.F., México
www.xopan.com
 

Quiere recibir de forma gratuita este boletín, suscríbase aquí: Update
 
Si desea recibir mayor información sobre los temas de este boletín, por favor contacte a grupoeniac@eniac.com