5 NORMAS BÁSICAS PARA DETECTAR CORREOS FRAUDULENTOS

1. Desconfié siempre de mails de destinatarios no conocidos. Si no los conoce ni ha solicitado nada de ellos, lo normal es  que hayan llegado a través de envíos masivos a listas de direcciones,  lo mejor es ignorarlos.
2. Si conoce al remitente, si el correo parece extraño, óbvialo también, o por lo menos intente contactar con esa persona para comprobar la veracidad del envió. Determinado software  puede enviar de forma automática mensajes a la lista de contactos de un usuario que ha sido infectado para intentar propagarse.
3. Cuando el texto este en un idioma distinto al nuestro, o si, aunque sea el mismo idioma, está mal escrito, fallos gramaticales u ortográficos, es probable que provenga de otros países buscando victimas para alguna estafa.
4. Si el atacante quiere robarnos nuestros datos suplantando la identidad de un banco o de una organización, procurará que tanto el correo como la página donde nos dirija sean lo más parecido posible a las reales. En estos casos, es más difícil identificarlos como correo fraudulento, pero existen herramientas para estar seguros. Se pueden comprobar los enlaces a los que nos dirige con páginas –usar algún escáner de URI ejemplo: www.urlvoid.com/  .Es importante tener en cuenta que nuestro banco no nos va a pedir nunca por correo electrónico  ni por teléfono datos como los de nuestra tarjeta de crédito. Si esto sucede, debemos desconfiar, incluso llamar al teléfono de información de la entidad para estar más seguros de que hacer.
5. Si todavía no tenemos claro si el correo es o no de nuestra confianza, lo mejor será siempre  ser precavidos y borrarlo inmediatamente antes de correr cualquier riesgo de fraude para nuestra seguridad digital.

En algunos países latinos, una expresión coloquial acerca del riesgo de exponerse a ser víctima del fraude, engaño o de la violencia es,  dar papaya,  es el término  para describir circunstancias en las cuales habría sido necesario tomar prevención, protección y acciones para reducir riesgos, para evitar el infortunio de ser defraudado o robado.

La expresión es una amonestación con respecto a depositar confianza en otros que están alertas para aprovecharse de uno.

Recuerde: La ley de la PAPAYA: Artículo 1: Jamás dé Papaya, Artículo 2: Aproveche todo papayazo que le den, Artículo 3: El que dé papaya al papayo.

Solamente son 3 pasos para la gestión estratégica del riesgo, prevenir -frecuencia-, detectar y responder. Implemente  acciones de mejora  para situaciones complicadas mediante la reducción, financiación, transferencia o eliminación de riesgos potenciales, cuyo impacto genera costos elevados.

¿Quién va hacer algo?    YO

¿Dónde?                          AQUÍ

¿Cuándo?                        YA

Porque tengo conocimiento y quiero hacerlo.

Hasta pronto.

Read More

AUDITOR, USTED HACE EL CARGO, CUESTIONE SU ENCARGO

¿Quiere cuestionar su encargo? Emplee estas herramientas:

Pregunte: “¿Por qué?” es una forma de exponer  una dificultad. Aprenda  a analizar por el método   de los cinco "¿Porqués?". Las preguntas “¿Para qué?“, “¿Quién?”, “¿Qué?”, “¿Cuál?”, “¿Dónde?”, “¿Cuándo?” y “¿Cómo?” son maneras de empezar a trabajar en los aspectos prácticos, pero también estimulan su pensamiento lateral para generar nuevas ideas relacionadas con el problema.

Todas estas sencillas preguntas le ayudan a presentar asuntos importantes, y el mero hecho de expresar cada aspecto de la cuestión puede generar diferentes enfoques.

Clarifique muy bien el objetivo de su cargo. Tenga claridad de quien recibe trabajo y para quien genera trabajo.

Algunas cosas se parecen a su dueño y el cargo termina pareciéndose a usted. Usted irradia toda su capacidad en lo que hace en su cargo. Usted Manifiesta toda su personalidad en lo que hace en su cargo.

Usted hace el cargo. Haga bien lo que hay que hacer sin necesidad de que se lo digan, descubra mejores formas de hacer las cosas, aplicarlas y ejecutarlas, evite, hacer lo mismo siempre y en forma autómata.

Haga el cargo tan grande como sea la medida de sus capacidades, el nivel de sus aspiraciones y la dimensión de su personalidad. 

Todos los días cuestione su encargo, ¿por qué debo hacer las cosas así?, ¿Cómo puedo hacerlas mejor?

Optimice sus recursos y capacidades, enriquezca su trabajo y vida. Haga todos los días algo nuevo, algo diferente y la vida será más grande y grata.

Todos soñamos con el sitio donde nos gustaría estar o con lo que quisiéramos hacer en la vida, y el motivo por el que los individuos desearían ser más creativos es, en gran medida, convertir esos sueños en realidad. Comience exaltando su imaginación basándose en dichas aspiraciones.

Hasta pronto.

"Si tuviese una hora para resolver un problema, pasaría cincuenta y cinco minutos definiendo el problema y solo cinco minutos buscando la solución" 

                                                                                                                  

                         Albert Einstein

Read More

LA DETECCIÓN DE FRAUDE, DESFALCOS Y OTRAS IRREGULARIDADES SIMILARES

El auditor al realizar un examen estudia la posibilidad de que el fraude puede existir, los estados financieros pueden estar mal presentados como resultado de irregularidades,  desfalcos o  falsa representación deliberada por parte de la administración.

Si el fraude detectado es suficientemente material,  puede afectar su opinión sobre los estados financieros; y su examen hecho de acuerdo con las normas de auditoría –NIA-, da consideración a esta probabilidad. En efecto, un examen dirigido a la expresión de una opinión  sobre los estados financieros, no está determinado para revelar desfalcos u otras irregularidades similares, y no se puede esperar que así suceda, aunque su descubrimiento quizás suceda. La responsabilidad del auditor  por fallar en detectar fraude, se origina solamente cuando la incorrección resulta claramente por incumplimiento con las normas de auditoría.

El descubrimiento subsiguiente de que el fraude existió durante el periodo cubierto por el examen de auditor, no indica negligencia de su parte. El auditor no es un asegurador o garante; si su examen fue hecho con destreza  y diligencia profesional, de acuerdo con las normas de auditoría –NIA-, ha cumplido con todas las obligaciones implícitas en su compromiso.

La confianza en la prevención, detección y respuesta del fraude debe descansar principalmente en un sistema contable adecuado con control interno apropiado. La confianza en una organización es frágil, se construye lentamente pero se destruye muy rápido.

La clave de toda gestión  es el conocimiento para gestionar riesgos, es preciso  conocerlos, identificarlos, analizarlos y cartografiarlos. Puesto en otras palabras, el análisis de los riesgos  u otras vulnerabilidades en una organización se convierte en una de las misiones claves de cualquier decisor operacional, aprender todo lo referente al análisis de riesgos debe formar parte, del plan de estudios de cualquier auditor o futuro decisor o gestor.

En conclusión,  es conveniente detectar oportunamente las señales de fraude con el fin de evaluar la intensidad de la señal –frecuencia-gravedad-probabilidad- viene, pues, las etapas de identificación, análisis, cartografía,  adquisición y almacenamiento de información clave para fijar las estrategias adoptadas por la organización, que contienen esencialmente los procesos empleados, es decir, una hipótesis que busca y favorece ciertas informaciones y procesos descendentes, que corresponden a la información exterior, esto es, esquemas y prototipos.

La venerable ley de la papaya ha caído en algunas culturas, y avala el delito  en todas sus formas. La ley de la papaya señala: Articulo 1: Jamás dé papaya.-Articulo 2: Aproveche todo papayazo que le den.-Articulo 3: El que dé papaya, al papayo.

¡Casi todos  problemas de fraudes y desfalcos se originan en nosotros mismos! Recuerde: ¡No hay que dar papaya! Diseñe matrices de procesos, actividades, vulnerabilidades, incidentes actuales, clasificación y medidas correctivas. 

En efecto, hoy en día el individuo parece atribuir un criterio de veracidad a una información  en función de la cantidad de artículos y vídeos publicados   y no en función de su calidad. Que prime la experiencia sobre las técnicas y procedimientos de auditoría de última generación importadas por algunos teóricos, no aplicables en ciertos entornos.

Es importante que el auditor desarrolle la habilidad para pensar en términos más prácticos que teóricos.

Hasta pronto.

Read More

4 RIESGOS RELACIONADOS CON EL SISTEMA DE INFORMACIÓN

Los cuatro principales riesgos relacionados con los sistemas de información son:

Desaparición de un proveedor clave: Un proveedor de software comercial o software a la medida, puede desaparecer o interrumpir las actualizaciones o el mantenimiento de los equipos. Para evaluar ese riesgo se debe tener en cuenta: 

• La situación financiera del proveedor,
• La parte de servicios o productos comparadas en su cifra de negocios.
• El contrato verificando en concreto las garantías y protecciones ofrecidas.

El cambio voluntario de proveedor: Si la organización planea cambiar de proveedor informático debe evaluar:

• Si está asegurada la disponibilidad y portabilidad de los datos para el sistema existente, 
•  Está garantizada la confidencialidad de los datos sensibles almacenados en el sistema,
• Los datos siguen siendo  en cualquier circunstancia propiedad exclusiva de la organización,
• Los datos son efectivamente remitidos a la organización gratuitamente o por un costo de transferencia razonable, en un plazo que respete las buenas prácticas  de la profesión y en un formato útil sobre un soporte informático,
• La migración de los datos del sistema antiguo al nuevo es posible sin necesidad de una gran inversión de tiempo,
• El sistema antiguo puede seguir siendo operativo hasta la puesta en servicio definitiva del nuevo.

Acceso no autorizado a los datos: Los funcionarios deben tener acceso al servicio en la medida en que sea necesario para el servicio. Es importante, estar atento a aquellos que tienen privilegios que les permiten modificarlos –espionaje industrial o mala fe-.

Por lo anterior, el sistema de información debe estar jerarquizado. Las contraseñas que suelen emplearse son eficaces cuando:

• Cada usuario tiene su propia contraseña que solo él conoce,
• Se anima a los usuarios a cambiar de contraseña regularmente, y en concreto después un incidente que cuestione la seguridad del sistema,
• Cada usuario conserva efectivamente el secreto de su contraseña  y respeta el secreto de los demás usuarios.

El virus informático: Un virus es una serie de instrucciones, un programa, que se introduce con la intención de perjudicar, como acto de vandalismo, y que hace que el computador reduca su funcionamiento para lo cual no ha sido programado.

El riesgo de contaminación debe ser objeto de análisis, especialmente, en los sistemas complejos con intercambio de datos con sistemas externos, en concreto en las transacciones vía internet.

Hasta pronto.

Read More

10 FORMAS DE AMARGARSE LA VIDA UN AUDITOR

1. Olvídese de las cosas positivas  de la vida y concéntrese especialmente en las negativas.
2. Dé valor excesivo al dinero y las cosas materiales.
3. Piense que usted es un auditor indispensable en la firma, para su comunidad, o para sus colegas.
4. Considere que está recargado de trabajo y que los compañeros tienden a abusar de usted.
5. Siéntase excepcional y que usted siempre tiene derecho a privilegios especiales.
6. Piense que puede controlar su sistema nervioso a voluntad y que puede forzarlo en todas las situaciones.
7. No preste atención a los sentimientos y a los derechos de los demás.
8. Cultive  una perspectiva pesimista en todo momento sobre la situación, el trabajo o la familia.
9. Nunca deje pasar un desaire ni olvide un rencor, mantenga vivo el resentimiento toda la vida.
10. No se olvide de tenerse lastima y quéjese mucho.

Hasta pronto.

Read More

¿QUÉ ES TRABAJAR EN UN EQUIPO DE AUDITORÍA?

EL trabajo en equipo es el motor de eficiencia a través de compartir experiencias, problemas y soluciones. Un auditor nunca se realiza solo, siempre en unión con otros. Las acciones individuales se convierten en un obstáculo a la hora de incorporarse en un equipo de trabajo. Es necesario cambiar esa actitud individualista hacia el compartir como equipo, ya que trabajar en un equipo de auditoria es:

1. Aportar oportunamente la propia experiencia, escuchar y tratar de comprender a los demás;
2. Analizar todas las ideas, opiniones e inquietudes expuestas;
3. Ser capaz de buscar el consenso;
4. Definir objetivos, resultados,  un cronograma de actividades y las responsabilidades dentro del equipo;
5. Buscar asesoría fuera del equipo, sí ésta es necesaria, para ilustrar sobre un punto en discusión; 
6. Ignorar las barreras jerárquicas dentro del equipo.

Crear un equipo de trabajo tiene la intención de hacer partícipes a todos los  miembros en las discusiones organizacionales, no usándolo para dar esa impresión. En casos de que se requiera, es mejor que el gerente del proyecto  tome la decisión y la comunique al equipo, independientemente de sus consecuencias positivas o negativas para algunos. Cuando los líderes de los encargos predeterminan las decisiones del equipo, a menudo las soluciones están lejos de ser acertadas.

En resumidas cuentas, se trata de crear un equipo de trabajo con alto poder de decisión reunida en torno a una visión común, bajo la iniciativa de un líder organizacional. La forma de trabajo que se busca con estos equipos de trabajo, deben ser innovadores , adaptables y de aprendizaje continuo.

No hay organización inteligente sin visión compartida Sin la búsqueda de una meta que la gente desee alcanzar, las fuerzas que respaldan el status quo pueden ser abrumadoras.

                                                                                                                                     Peter senge

Hasta pronto

Read More

EL MOBBING O ACOSO LABORAL EN LAS FIRMAS DE AUDITORÍA

En la cultura organizacional  de algunas firmas todavía  es normal la autocracia, su dirección se da por herencia y no por mérito profesional. Persiste el modelo taylorista de mando y control, inhibiendo la creatividad interior y  favoreciendo la presencia de conductas de acoso laboral –mobbing-, ya que en ellas, la víctima  del acosador  o acosadores no cuenta con muchos recursos  para organizar su defensa.

En la era industrial el principal activo y los primeros impulsores de la prosperidad económica eran las máquinas y el capital, dando la creencia a algunas organizaciones de que debían  controlar y dirigir a las personas como cosas. Algunos socios –Audit partner- de hoy en día siguen aplicando el modelo de control de la era industrial a los trabajadores del conocimiento, privando  las motivaciones superiores y el talento interno de los emprendedores. Ante este aspecto, no es de extrañar una alta rotación de personal.

El  acoso laboral indica el continuo y deliberado maltrato verbal y metódico que recibe un miembro de un equipo de trabajo por parte de otro u otros, que se comportan con él inhumanamente con el propósito de lograr su ruina o destrucción psicológica y obtener su salida de la organización a través  de diferentes procedimientos.

El mobbing o acoso laboral en las firmas se puede presentar de varias formas:

1. Asignar objetivos o proyectos con plazos que se saben inalcanzables;
2. Quitar al encargado áreas de responsabilidad;
3. Ignorar o excluir, hablando sólo a una tercera persona presente;
4. Retener información crucial para su trabajo;
5. Extender por la firma rumores maliciosos o calumnias;
6. Infravalorar o no valorar en absoluto el esfuerzo realizado;
7. Ignorar los éxitos profesionales en los encargos;
8. Criticar duramente el trabajo sin argumentos;
9. Insultar a un miembro del equipo cuando está sola o en presencia de otros;
10. Ridiculizar su trabajo;
11. Invadir la privacidad del acosado, interviniendo su teléfono, su correo, revisando sus papeles de trabajo -impresos o digitales-, sustrayendo maliciosamente documentos o elementos claves para la ejecución de su trabajo.

Este psicoterrorismo, normalmente es dirigido por un compañero, subordinado o jefe que actúa regularmente con otros.  El acusador intenta eliminar toda iniciativa de la víctima, la aísla, procurando que por sí misma tome la iniciativa de retirarse.

Estas situaciones afectan negativamente el clima laboral, reduciendo toda confianza entre los equipos de trabajo. Origina estrés y una diversidad de situaciones en la victima y la organización, que aunque no se comenten abiertamente, son conocidas por toda la firma.

En resumidas cuentas,  algunas veces estas conductas  son promovidas por los mismos socios o gerentes de proyectos que piensan que sus manías persecutorias, su vigilancia, su obsesión por el control, su falta de participación o autoritarismo son la esencia del management.

Una cosa es trabajo bajo presión y otra mobbing. Un antídoto quizás para el acoso laboral, viene dado por estructuras más flexibles, participativas que promuevan la confianza entre los actores organizacionales y el desarrollo de buenas prácticas éticas y morales.

Auditor, actué a través de la convicción, como debe ser en este caso y no por coerción.

Hasta pronto.

Read More

¿CUALES SON LOS BENEFICIOS DE GESTIONAR VULNERABILIDADES EN UNA ORGANIZACIÓN?

Solo conseguimos gestionar lo que se conoce, la clave de cualquier gestión de vulnerabilidades con las que se enfrenta una organización es un buen conocimiento de estas, sus características y en concreto la probabilidad de que se produzcan, frecuencia y el peso económico de cada una. 

Una organización al identificar, analizar,  elaborar un mapa e incluir el ERM en los procesos,  espera en primer lugar  jerarquizar   los riesgos principales de una organización con el fin de verificar si están efectivamente bajo control o, a la inversa  se necesita implementar planes de acción y continuidad para ponerlos bajo control o en un nivel de incertidumbre aceptable.

La identificación de las vulnerabilidades y el  análisis de sus  consecuencias potenciales –simulación- se apoyan en métodos automatizados basados en los cálculos de probabilidad y el análisis de tendencias. La automatización se basa en el juego de números y escenarios al azar. Novedosas herramientas se han inventado -Ejemplo, teoría del caos, sistemas complejos- para aproximarse a situaciones en que no pueden utilizarse ni análisis de tendencia ni cálculos de probabilidades.

Una  Dirección integral de las vulnerabilidades y amenazas  trae como beneficios:

1. Al mantenerse una parte preventiva, se reduce la ocurrencia de sucesos. No tener que improvisar cuando en el futuro se materialice un riesgo.
2. Cuando ocurren, tienen menos impacto. Estar preparado, saber cómo actuar,  valorando los posibles impactos, para reducirlos. Tener un plan de continuidad, para que no desaparezca la organización en época de crisis.
3. Al estar dentro de cada proceso, se gestionan los riesgos asociados a sus cambios. Cuando el riesgo ocurre, hay un gran esfuerzo para mitigarlo,  pero,  no se mantiene dentro de la gestión de riesgos como parte proceso, olvidándolo con el tiempo.
4. El personal es más consciente, y promueve buenas prácticas de gestión de riesgos.Capacitación y formación del personal que forma parte de este sistema de gestión de riesgos.

Hasta pronto.

Read More

SEGURIDAD DIGITAL: RECOMENDACIONES FREE WI FI ZONE

Es más seguro emplear nuestras propias redes de datos móviles,  que cualquier wifi que esté abierto a muchos más usuarios, sin embargo, si tiene que conectarse libremente a una red pública, tenga en cuenta las siguientes recomendaciones:

-Evite trabajar datos personales, datos bancarios, claves de inicio de sesión y, si es necesario hacerlo, cifrar antes todos los mensajes que vamos a  enviar.

-Asegúrese de que nos vamos a conectar a la red que realmente deseamos. Los ciberdelicuentes crean en ocasiones conexiones a redes con nombres parecidos para que entremos a ellas y tenernos en sus manos.

-Si vamos a viajar, crear una cuenta de correo exclusiva para el viaje, con el nombre del usuario y contraseña distintos a las que se emplean normalmente. Si se la roban será menos consecuencias.

-Desactivar la conexión wifi de nuestros dispositivos cuando no la vayamos a utilizar.

-Utilizar navegación de incógnito.

-Sea prudente con los inicios de sesión: no recordar las contraseñas, introducir las claves a través de teclados  virtuales -osk.exe- y cerrar a sesión al terminar.

Hasta pronto.

Read More