Auditoría y Seguridad

de Sistemas de Información
Impacto
Comercio
Electrónico

MBA Luis Elissondo

Negocios en Internet
 E - Business
¿La web de la empresa posee funcionalidad BtoB?

No
32%

Si
68%

Fte:Encuesta Information Technology 2006

 E - Business
¿La web de la empresa posee funcionalidad BtoC?

Si
48%
No
52%

Fte:Encuesta Information Technology 2006

 E - Business
¿Utiliza soluciones de E-Procurement?

Si
16%

No
84%

Fte:Encuesta Information Technology 2006

Motivos para un Negocio en Línea

 Ampliación del Mercado

 Time to market
 Visibilidad
 Relaciones Comerciales
 Capacidad de Respuesta
 Nuevos Servicios
 Inventario Just in Time
Temores con Respecto a los
Negocios en Línea
 Conflicto entre canales
 Competencia
 Derechos de autor
 Aceptación de los clientes
 Seguridad
 Aspectos legales
 Fidelidad
 Precios
 Servicio
 Viabilidad
Modelos de negocio
DCL 1013 – Comercio Electrónico Efecto
en la auditoría de Estados Contables
El objetivo de esta norma es proporcionar
asistencia al auditor de estados financieros
cuando la entidad realiza actividades de
comercio electrónico a través de una red
pública (internet).

El objetivo es que el auditor pueda identificar

los riesgos asociados a este tipo de actividad
en relación con los estados contables.
DCL 1013 – Comercio Electrónico Efecto
en la auditoría de Estados Contables
El intercambio de datos EDI hace mucho
tiempo que es realizado por las
organizaciones.
Internet es una red pública lo que conlleva
por su propia naturaleza una serie de
riesgos.
La falta de atención a los riesgos asociados
a esta actividad por parte de la organización
puede afectar la opinión del auditor.
DCL 1013 – Conocimiento y Habilidades

El nivel de conocimientos requeridos varía de

acuerdo al grado de complejidad e importancia de
la actvidad de e-commerce que realiza la empresa.
Se debe establecer como estas actividades
pueden afectar los estados contables, observando:
La estrategia de e-commerce de la entidad.
La tecnología utilizada y el nivel de conocimientos del personal.
Como la org. Administra los riesgos asociados a la actividad.
Grado en que la organización depende de las actividades de e-
commerce.
El auditor puede requerir la asistencia de un
experto por ejemplo en seguridad.
 DCL 1013 – Conocimiento del Negocio

De acuerdo a NIA 310 el auditor debe obtener el

conocimiento para poder entender los eventos,
transacciones y prácticas que puedan tener un
efecto significativo sobre los estados contables.
La Industria y actividades de negocio del ente.
Grado en que el E- Commerce es una actividad
complementaria.
En la medida que exista un influencia significativa de dicho tipo
de negocio se incrementa la posibilidad de que se vean
afectadas las aseveraciones incluidas en los estados contables.

La Estrategia de E-Commerce y su grado de

alineación con la Estrategia de Negocio
 DCL 1013 – Conocimiento del Negocio

Grado en que el e-commerce es aplicado y a

quienes alcanza (clientes, provedores, inversores,
etc.).
Si solo se utiliza para proveer información.
Si se realizan transacciones completas.
Se accede a nuevos mercados
Se crea un nuevo modelo de negocios.
Utilización de Proveedores de Internet o
Proveedores de aplicaciones.
DCL 1013 – Identificación de los Riesgos
 Pérdida de transacciones.
 Riesgos de Seguridad (virus, ataques, fraude, etc.)
 No cumplimiento de leyes y disposiciones impositivas.
 Falta de seguridad legal de las operaciones realizadas
exclusivamente por internet.
 Exceso de confianza al instrumentar este tipo de negocios.
 Fallas en la infraestructura
 Es necesario identificar la identidad de clientes y
proveedores (PKI)
 Es necesario asegurar la integridad de las transacciones
 No repudio de las operaciones.
 DCL 1013 – Aspectos Legales y
Regulatorios
 Conocimento del marco legal internacional.
 Existencia de la infraestructura necesaria tales como firma
electrónica, protección al consumidor, etc.
 Adhesión a requerimientos nacionales o internacionales de
privacidad.
 Adhesión a las regulaciones vigentes.
 Cumplimiento de los contratos.
 Validez de los contratos.
 Riesgo de participar en actividades de lavado de dinero.
 Violación de los derechos de propiedad.
 DCL 1013 – Consideraciones sobre el
Control Interno
 Cuando existe un alto grado de automatización, grandes
volúmenes de operaciones o cuando la evidencia de pistas
de auditoria no se mantiene el auditor puede determinar la
necesidad de realizar comprobaciones sustantivas
(CAATs) a efectos de reducir el riesgo de auditoría.
 La infraestructura de seguridad es un elemento importante
del sistema de control interno. De manera tal que la
información cumpla con las pautas de autorización,
autenticidad, confidencialidad, integridad, no repudio y
disponibilidad.
 Uso de firewalls, protección de virus, encriptamiento.
 DCL 1013 – Consideraciones sobre el
Control Interno
 Permanente evaluación de la efectividad de los controles
ante nuevas tecnologías.
 Integridad de las transacciones, control de entrada, no
duplicación de transacciones, cumplimiento de lo solicitado,
no repudio por parte del cliente.
 Grado en que estas operaciones alimentan a otros
sistemas y al sistema contable.
 Inexistencia de registro físico implica la revisión de políticas
de seguridad, testeo de controles, fechas de operaciones,
firmas digitales.
Conclusiones y Preguntas