Anda di halaman 1dari 172

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA

MODULO AUDITORIA DE SISTEMAS 90168

Adriana Aguirre Cabrera adriana.aguirre@unad.edu.co adriana.aguirrecaac@gmail.com

2009

INTRODUCCIN

El curso de Auditoria de sistemas es uno de los componentes fundamentales de la estructura curricular del programa de Ingeniera de sistemas, se concibe como el proceso de revisin, anlisis, evaluacin y recomendacin acerca del desempeo de las actividades en una organizacin, con el propsito de

verificar su correcta realizacin. Se enmarca dentro del campo de formacin profesional electiva y tiene como objetivo la preparacin de los estudiantes en su labor como auditores en la estructura y funcionamiento general de una empresa.

El curso tiene 3 crditos acadmicos los cuales comprenden el estudio independiente y el acompaamiento tutorial, con el propsito de: Integrar y aplicar las diferentes competencias que ha adquirido el estudiante durante su formacin profesional con el propsito de que su desempeo en esta labor tan especializada del auditaje de sistemas sea eficaz y eficiente. Ubicar al estudiante dentro de un contexto organizacional que le permitir

conocer y aplicar los principios y puntos bsicos de la auditoria.

Este curso esta compuesto por tres unidades didcticas: Unidad 1: Conceptos generales de la auditoria de sistemas Unidad 2: Auditoria informtica Unidad 3: El auditor informtico

El curso es de carcter terico y la metodologa a seguir ser bajo la estrategia de educacin a distancia. Por tal razn, es importante planificar el proceso de:

Estudio Independiente: se desarrolla a travs del trabajo personal y del trabajo en pequeos grupos colaborativos de aprendizaje Acompaamiento tutorial: corresponde al acompaamiento que el tutor realiza al estudiante para potenciar el aprendizaje y la formacin.

La evaluacin del curso se realiza a travs de procesos de autoevaluacin, coevaluacion y heteroealuacion, los cuales permiten comprobar el avance en el autoaprendizaje del curso.

El Sistema de interactividades vincula a los actores del proceso pedaggico de la siguiente manera: Tutor-estudiante: a travs del acompaamiento individual Estudiante-estudiante: mediante la participacin activa en los grupos

colaborativos de aprendizaje. Estudiantes-tutor: a travs del acompaamiento a los pequeos grupos colaborativos de aprendizaje. Tutor-estudiantes: mediante el acompaamiento en grupo de curso Estudiantes-estudiantes: en los procesos de socializacin que se realizan en el grupo de curso.

A travs de ellas se puede potenciar y orientar el trabajo de los estudiantes en el logro de los objetivos del curso y pueden realizarse de la siguiente manera: sincrnica, es decir a travs de encuentros directos o mediados y asincrnicas o diferidas es decir por correo electrnico, foros, redes de cooperacin o grupos de discusin.

La tecnologa juega un papel importante en el proceso pedaggico, estimula y despierta el inters facilitando el acceso al conocimiento y a su vez permite la interlocucin entre sus actores.

El acceso a documentos adquiere una dimensin de suma importancia en tanto que la informacin sobre el tema exige conocimientos y planteamientos preliminares, por tal razn es imprescindible el recurso de diversas fuentes documentales y el acceso a diversos medios como son: bibliotecas electrnicas, hemerotecas digitales e impresas, sitios Web especializados.

Durante su formacin profesional, bajo la estrategia de educacin abierta y a distancia el estudiante se capacitar y desarrollar en competencias que le permitirn desarrollar el trabajo de una auditoria, definir sus objetivos, alcances y metodologa para instrumentarla, captar la informacin necesaria para evaluar la funcionalidad y efectividad de los procesos y funciones, diagnosticar sobre los mtodos de operacin y sistemas de informacin, detectar hallazgos y evidencias e incorporarlos en los papeles de trabajo, respetar las normas dentro la organizacin, as como analizar su estructura y funcionamiento en todos sus niveles. Todas estas habilidades le permitirn desarrollar un trabajo congruente y efectivo en un proceso efectivo de auditaje y a su vez el desempeo exitoso como profesional.

1. JUSTIFICACIN

Uno de los intereses en la formacin de los estudiantes del programa de ingeniera de sistemas y en general de cualquier mbito disciplinar, es su formacin integral a travs del desarrollo de competencias, las cuales le permitirn una adecuada interaccin en diferentes contextos como

profesionales competitivos, generadores de cambio y progreso.

El curso de auditoria centra al estudiante dentro de un contexto empresarial donde con sus habilidades y conocimientos puede contribuir al desempeo y cumplimiento exitoso de los procedimientos de la organizacin, pues estar preparado para identificar situaciones de riesgo y sugerir e implantar controles que garantice la seguridad de cualquier sistema.

Este curso, de carcter terico esta dirigido a estudiantes que se encuentren en la etapa final en su proceso de formacin, permite el desarrollo de competencias cognitivas, comunicativas, contextuales y valorativas,

fundamentales para la formacin profesional en todos los campos. El logro de stas competencias exige una planificacin responsable en su proceso de autoaprendizaje si se quieren obtener resultados positivos en el desarrollo del curso. Este proceso se puede planificar de la siguiente manera: Estudio independiente: Estudio individual del material sugerido y consulta de otras fuentes (documentales, consulta en biblioteca, Internet, bibliografa recomendada, consulta a bases de datos documentales, entre otros) Trabajo en grupo: Creacin de grupos de estudio o discusin con el propsito de preparar consultas estructuradas al docente-tutor. Consultas al tutor: Consulta al tutor de las inquietudes surgidas en el punto anterior.

Retroalimentacin: Una vez el tutor haya resuelto las inquietudes, estudie nuevamente el tema, teniendo en cuenta las sugerencias o respuestas dadas por el tutor. Procesos de evaluacin: Una vez se haya realizado el proceso de retroalimentacin, desarrolle los diferentes momentos de evaluacin propuestos en el curso como son la autoevaluacin, coevaluacin y heteroevaluacin.

De esta manera se pretende alcanzar los objetivos propuestos en el curso y la preparacin satisfactoria en el auditaje de sistemas.

2. INTENCIONALIDADES FORMATIVAS

2.1 PROPSITO Contribuir al mejoramiento del funcionamiento empresarial, a travs del anlisis y evaluacin de los procesos que permitan a los estudiantes participar en la conformacin de empresas sostenibles y competitivas.

2.2 OBJETIVOS Identificar las bases conceptuales de la auditoria de sistemas Identificar y analizar el impacto de los riesgos que pueden afectar el funcionamiento de una empresa Conocer los procedimientos que hacen parte de un plan de auditoria de sistemas

2.3

METAS

El estudiante estar capacitado para: Identificar los tipos de auditoria y sus normas generales Clasificar los riesgos segn su origen y el efecto que tienen en el desarrollo de procesos. Identificar los objetivos y componentes del control interno Identificar las reas de la auditoria informtica Presentar adecuadamente informes de auditoria

2.4 COMPETENCIAS

El estudiante analiza, comprende e identifica dentro de los solucin procesos organizacionales

los diferentes riesgos

y ofrece alternativas de

de acuerdo a las exigencias de los mismos, aplicando

conocimientos propios de su disciplina. El estudiante presenta informes de auditoria los cuales sustenta de manera argumentada de acuerdo a los lineamientos exigidos por las normas. El estudiantes esta en la capacidad de realizar un procedimiento de auditaje respetando los principios de la tica profesional y

responsabilidad legal del auditor El estudiante esta en capacidad de comprender la realidad de un

entorno empresarial y elabora propuestas para el mejoramiento del desempeo de las mismas contribuyendo al desarrollo de su regin o localidad.

TABLA DE CONTENIDO

UNIDAD 1 Capitulo 1.

CONCEPTOS GENERALES DE AUDITORIA DE SISTEMAS Aspectos generales Auditoria

Leccin 1.Origen y antecedentes de la auditoria Leccin 2. Concepto de auditoria Leccin 3. Importancia de la auditoria Leccin 4. Objetivos de la auditoria Leccin 5. Clasificacin de la auditoria Capitulo 2. Tcnicas y procedimientos de auditoria

Leccin 1.Conceptos Leccin 2.Tcnicas que se aplican en el trabajo de auditora Leccin 3.Otras Tcnicas en el trabajo de auditora Leccin 4. La entrevista como una tcnica de auditora Leccin 5. Tipos de preguntas en la tcnica de entrevista Capitulo 3. El programa de auditoria

Leccin 1.Desarrollo del programa de auditoria Leccin 2. Normas personales o generales Leccin 3: Normas relativas al trabajo de campo Leccin 4: Normas relativas a la elaboracin del informe de Auditora Leccin 5. Metodologa de la auditoria

UNIDAD 2: AUDITORIA INFORMTICA Capitulo 1. La auditoria informtica Leccin 1. Concepto, objetivos de la auditoria informtica Leccin 2. Alcance, importancia Leccin 3. Necesidad de la auditoria informtica Leccin 4. Tipos de Auditoria Informtica Leccin 5. Medios disponibles y especficos de auditoria. Capitulo 2. Metodologa de la auditoria informtica Leccin 1. Etapas del mtodo de trabajo Leccin 2. Tcnicas, de auditoria Leccin 3. Procedimientos de auditoria Leccin 4. Herramientas de auditoria Leccin 5. Elaboracin y redaccin del Informe Final

Capitulo 3. El auditor Leccin 1. Leccin 2. Leccin 3. Leccin 4. Leccin 5. Normas que regulan el comportamiento del auditor Fraude informtico Caractersticas de los delitos informticos Tipificacin de los delitos informticos Auditor versus delitos informticos

UNIDAD 3. CONTROL INTERNO Capitulo 1. Generalidades del control Leccin 1. Concepto de control Leccin 2. Clasificacin de los controles Leccin 3. Objetivos del control Leccin 4. Elementos y utilidad del control Leccin 5. Caractersticas, ciclo de aplicacin del control Capitulo 2. Control interno Leccin 1. Leccin 2. Leccin 3 Leccin 4. Leccin 5. Definicin y objetivos del control interno Importancia y mtodos del control interno para la auditoria Elementos del control interno Principios de control interno El control interno y la prctica de la auditora

Capitulo 3 Control interno informtico Leccin 1. Leccin 2. Leccin 3. Leccin 4. Leccin 5. Objetivos del control interno informtico Elementos del control interno informtico Control interno y auditoria informticos: campos anlogos Necesidad de una auditoria informtica Implantacin de un sistema de controles internos informticos

PRIMERA UNIDAD

CONCEPTOS GENERALES DE AUDITORIA DE SISTEMAS

UNIDAD 1 CONCEPTOS GENERALES DE AUDITORIA


DE SISTEMAS

INTRODUCCION
En esta unidad, se presentan los antecedentes, conceptos y definiciones que se agrupan en torno a la auditoria, el propsito es que usted identifique la esencia y razn de ser de esta disciplina, as como su importancia como actividad profesional, en la evaluacin de los sistemas computacionales.

OBJETIVOS
Identificar los orgenes de la auditoria Distinguir entre los diferentes tipos de auditoria Reconocer las etapas generales de la metodologa de la auditoria

Capitulo 1. Aspectos generales de auditora

Leccin 1. Origen y antecedentes de la auditoria


En la medida en que se expanda el comercio y por ende las operaciones comerciales, los incipientes comerciantes tuvieron la necesidad e establecer mecanismos de registro que les permitieran controlar las operaciones mercantiles que realizaban. Conforme el nmero de comerciante creci se agruparon en gremios y mercados locales, surgi entonces, la necesidad de contar con un mejor registro de sus actividades tanto individuales como conjuntas. Posteriormente estas agrupaciones crecieron hasta convertirse en incipientes empresas, donde fue necesario establecer un mayor control para conocer sus actividades financieras.1 Este crecimiento dio origen al registro de operaciones mercantiles, dichas operaciones se asentaban de forma muy elemental; posteriormente surge la surge la partida doble y el registro de las operaciones financieras apareciendo la tenedura de libros. Conforme esta tcnica evoluciono, se impuls la contabilidad y el registro de operaciones en libros y plizas. En la medida en que esto evolucionaba, fue necesario que alguien evaluara estos registros y que los resultados fueran correctos y veraces. Esta actividad requiri de alguien que verificara la veracidad y confiabilidad de estas operaciones surgiendo en ese momento el acto de auditar. Los orgenes de la auditoria data desde la revisin y el diagnostico que se practicaban a los registros de las operaciones contables de las empresas, pasando por el anlisis, verificacin y evaluacin de sus aspectos financieros, hasta llegar al anlisis de todos aquellos aspectos que intervienen en sus actividades, incrementando su alcance cuando se lleg revisin integral. Actualmente se llevan a cabo revisiones de algunas reas y actividades especficas que se desarrollan en las organizaciones. Entre estas se encuentran: la auditoria de sistemas computacionales, auditoria del desarrollo a lo que se llamo

de proyectos de mercadotecnia, auditoria de proyectos econmicos y de muchas otras ramas de la actividad empresarial, involucrando las ramas de la ingeniera, medicina, sistemas y otras. En cualquiera de ellas se tienen que considerar los mismos principios y fundamentos tericos y practicas que le dan vigencia a la profesin del auditor. 2

Aunque la revisin de registros y cuentas se pueden contar como el inicio de la auditoria, su reconocimiento como profesin se inicio en el comienzo del siglo presente, aunque hay evidencias que a mediados del siglo pasado los britnicos, estadounidenses, espaoles y mexicanos iniciaron la actividad formal de la auditoria.
3

Antecedentes de la Auditoria de sistemas Carlos Muoz Razo, en su libro Auditoria en sistemas computacionales, dice: seria ocioso y sin ningn beneficio prctico profundizar en los orgenes de este tipo de auditoria pues se carece de evidencias comprobables sobre tales inicios. Se citan algunos principales autores sobre este tema:

En 1988, Echenique publico su libro Auditoria de Sistemas, en el cual establece las principales bases para el desarrollo de una auditoria de sistemas computacionales, dando un enfoque terico-practico sobre el tema. En 1992. Lee presento un libro en el cual enuncia los principales aspectos a evaluar en una auditoria de sistemas, mediante una especie de gua que le indica al auditor los aspectos que debe evaluar en este campo. En 1993, Rosala Escobedo Valenzuela presentas la UVM, una tesis de auditoria a los centros de cmputo, como apoyo a la gerencia, destacando sus aspectos ms importantes.

1 2

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002 MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002 3 MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002

En 1994, G. Haffes, F. Holgin y A. Galan, en su libro sobre auditoria de los estados financieros, presenta una parte relacionada con la auditoria de sistemas, que profundiza en los aspectos bsicos de control de sistemas y se complementa con una serie de preguntas que permiten evaluar aspectos relacionados con este campo.

En 1995, Ma. Guadalupe Buiendia Aguilar y Edith Antonieta Campos de la O. presentan un tratado de auditoria informtica (apoyndose en lo sealado por el maestro Echenique), en el cual presentan metodologas y cuestionarios tiles para realizar esta especialidad.

En 1995, Yann Darrien presenta un enfoque particular sobre la auditoria de sistemas.

En 1996, Alvin A. Arens y James K. Loebbecke, en su libro Auditoria. Un enfoque integral, presenta una parte de e sta obra como Auditoria de Sistemas Complejos PED.

En 1996, Hernndez Hernndez propone la auditoria en informatica, en la cual da ciertos aspectos relacionados con esta disciplina.

En 1997, Francisco Avila obtiene mencin honorfica en su examen profesional, en la UVM, Campus San Rafael, con una tesis en la cual propone un caso practico de auditoria de sistemas realizado en una empresa para estatal.

En 1988, Yann Darrien Presenta, Tcnicas de Auditoria, donde hace una propuesta de diversas tecnicas de esta disciplina.

EN 1998. Mario G. Piattini y Emilio del Peso presentan Auditoria Informtica, un enfoque prctico, donde mencionan diversos enfoques y aplicaciones de esta disciplina.

Leccin 2. Concepto de auditoria


Hay varios conceptos de auditoria, pero en general coinciden en que es un proceso de revisin, evaluacin y presentacin de un informe final para la gerencia. Algunos conceptos se presentan a continuacin:

La palabra auditoria viene del latn auditorius y de esta proviene auditor, que tiene la virtud de or y revisar, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.4

La Auditoria, es una disciplina expresada en normas, conceptos, tcnicas, procedimientos y metodologa, que tiene por objeto examinar y evaluar crticamente una determinada realidad, para emitir una opinin independiente sobe un aspecto o la totalidad del objeto auditado.5

Auditora, es el examen profesional, objetivo e independiente, de las operaciones financiera y/o Administrativas, que se realiza con posterioridad a su ejecucin en las entidades pblicas o privadas y cuyo producto final es un informe conteniendo opinin sobre la informacin financiera y/o administrativa auditada, as como conclusiones y recomendaciones tendientes a promover la

4 5

http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml#_Toc475957349 PINILLA, Jos. Auditoria Informtica. Un enfoque operacional. Segunda edicin. Bogot: Ecoe ediciones. 1997, p., 37

economa, eficiencia y eficacia de la gestin empresarial o gerencial, sin perjuicio de verificar el cumplimiento de las leyes y regulaciones aplicables.6

Segn Pablo Emilio Torres Flores, en: Curso elemental de auditoria, el concepto anterior destaca los siguientes elementos principales: Del concepto se aprecian los siguientes elementos principales: 1. Es un examen profesional, objetivo e independiente 2. De las operaciones financieras y/o Administrativas 3. Se realiza con posterioridad a su ejecucin. 4. producto final es un informe 5. Conclusiones y recomendaciones 6. Promover la economa, eficiencia y eficacia En la grafica se resume el concepto:

http://www.mailxmail.com/curso-elemental-auditoria/concepto-auditoria

Leccin 3. Importancia de la auditoria


Importancia de la auditoria La auditoria en general es muy importante, por cuanto permite a la direccin tener la seguridad de que el desarrollo de las actividades de la empresa son verdaderas y confiables.

La auditoria permite adems, evaluar el grado de eficiencia y eficacia con el que se desarrollan las tareas administrativas, el desarrollo de los programas y las polticas de la gerencia.

EL proceso de auditora permite a las organizaciones mejorar el desempeo de sus funciones en forma continua, verificando que las actividades y los resultados estn conforme a lo planeado y alcanzan los objetivos previstos, a la vez que proporciona a la gerencia informacin con el fin de que se realicen mejoras segn los fallos detectados, permitiendo a la gerencia tomar decisiones con base en hechos segn los informes generados en el proceso de auditaje. Tambin es importante considerar la planificacin de la auditoria, entre sus objetivos se destacan: 7 Conocer la estructura organizacional Familiarizarse con las operaciones Estudiar la reglamentacin aplicable Identificar las reas u objetivos a auditarse Seleccionar los programas de auditora que se utilizarn Preparar un plan de trabajo y estimado de tiempo

http://www.ocpr.gov.pr/educacion_y_prevencion/auditoria_interna/2009/adistramiento_auditores_int/ agencias_departamentos_corp/Presentaciones%208%20de%20mayo%20SN/Planificacion%20de%20auditoria.pdf

Pasos a efectuarse durante la planificacin de una auditora:

Asignar el equipo de trabajo (independencia) Notificar el comienzo de la auditora (solicitud de documentos) Coordinar una reunin inicial con el funcionario principal del rea auditada Obtener y estudiar documentos e informacin sobre la unidad a auditarse Reunirse con el Auditor que hizo la auditora anterior Preparar un Plan de Trabajo y Estimado de Tiempo para la Planificacin

Leccin 4. Objetivos de la auditoria


Objetivos generales de la auditoria8 Realizar una evaluacin independiente de las actividades, reas o funciones especiales de una institucin, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados.

Evaluar el cumplimiento de los planes, programas, polticas, normas y lineamientos que regulan la actuacin de los empleados y funcionarios de una institucin, as como evaluar las actividades que se desarrollen en sus reas y unidades administrativas.

Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus reas, as como sobre el desarrollo de sus funciones y cumplimiento de sus objetivos y operaciones

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002

Leccin 3. Clasificacin de la auditoria


En la tabla
9

se indican los tipos de auditoria, segn la procedencia del auditor,

su rea de aplicacin, en reas especificas y en sistemas computacionales:

AUDITORIA POR LA PROCEDENCIA DE AUDITOR Auditoria externa Auditoria interna

AUDITORIAS POR SU AREA DE APLICACION

AUDITORIAS ESPECILIZADAS EN AREAS ESPECIFICAS

AUDITORIA EN SISTEMAS COMPUTACIONALES

Auditoria financiera Auditoria administrativa Auditoria operacional Auditoria integral Auditoria gubernamental

Auditoria del rea medica Auditoria al desarrollo de obras y construcciones Auditoria fiscal Auditoria laboral Auditoria de proyectos de inversin Auditoria a la caja menor Auditoria al manejo de mercancas Auditoria ambiental

Auditoria informtica Auditoria con el computador Auditoria sin el computador Auditoria a la gestin informtica Auditoria al sistema de computo Auditoria alrededor del computador Auditoria de la seguridad en sistemas computacionales Auditoria a los sistemas de redes Auditoria integral a los centros de computo Auditoria ISO-9000 a los sistemas computacionales Auditoria outsourcing Auditoria ergonmica de sistemas computacionales

Por la procedencia del auditor: se refiere a la forma en que se realiza este tipo de trabajo y tambin a como se establece la relacin laboral en las empresas donde se llevara cabo la auditoria. Se divide en auditora interna y externa.

Auditora externa: el objetivo fundamental es el de examinar y evaluar una determinada realidad por personal externo al ente auditado, para emitir una
9

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002

opinin independiente sobre el resultado de las operaciones y la validez tcnica del sistema de control que esta operando en el rea auditada.

Ventajas: al no tener ninguna dependencia de la empresa el trabajo del auditor es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada. En su realizacin estas auditorias pueden estar apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan tcnicas y herramientas que ya fueron probadas en otras empresas con caractersticas similares.

Desventajas: La informacin del auditor puede estar limitada a la informacin que puede recopilar debido a que conoce poco la empresa. Dependen en absoluto de la cooperacin que el auditor pueda obtener por parte de los auditados. Su evaluacin, alcances y resultados pueden ser muy limitados. Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan.

Auditora interna: es una funcin de control al servicio de la alta direccin empresarial. El auditor interno no ejerce autoridad sobre quienes toman decisiones o desarrollan el trabajo operativo, no revela en ningn caso la responsabilidad de otras personas en la organizacin. El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuacin administrativa, operacional y funcional de empleados y funcionarios de las reas que se auditan.

Por su rea de aplicacin:

Auditora financiera: tiene como objeto el estudio de un sistema contable y los correspondientes estados financieros, con miras a emitir opinin independiente sobre la razonabilidad financiera mostrada en los estados financieros del ente auditado.

Auditoria administrativa: Evala el adecuado cumplimiento de las funciones, operaciones y actividades de la empresa principalmente en el aspecto administrativo. Es la revisin sistemtica y exhaustiva que se

realiza en la actividad administrativa de una empresa, en cuanto a su organizacin, las relaciones entre sus integrantes y el cumplimiento de las funciones y actividades que regulan sus operaciones.

Auditoria operacional: tiene como objeto de estudio el proceso administrativo y las operaciones de las organizaciones, con miras a emitir opinin sobre la habilidad de la gerencia para manejar el proceso administrativo y el grado de economicidad, eficiencia y efectividad de las operaciones del ente auditado.

Auditoria integral: la auditoria integral esta dada por el desarrollo integrado de la de auditoria financiera, operacional y legal. Tiene como objeto de estudio los respectivos campos de las finanzas, la administracin y el derecho, en relacin con su aplicacin a las operaciones econmicas, de los entes auditados. Tiene como objetivo emitir una opinin independiente

sobre la aplicacin de las normas contables, administrativas y legales de las operaciones econmicas con base en los parmetros de economicidad, eficiencia y efectividad.

En esta auditora se conjuga la participacin de muchos profesionales de distintas especialidades, quienes aparentemente no tienen relacin entre si por lo diferente de sus reas de actuacin, pero que al conjuntar sus trabajos contribuyen en gran medida a elevar los alcances, la profundidad y eficacia de la evaluacin de todas las reas de una misma empresa.

Auditoria gubernamental: Es la revisin exhaustiva, sistemtica y concreta que se realiza a todas las actividades y operaciones de una entidad gubernamental. Esta evaluacin se ejecuta con el fin de evaluar el correcto desarrollo de las funciones de todas las reas y unidades administrativas de dichas entidades, as como los mtodos y procedimientos que regulan las actividades necesarias para cumplir con os objetivos gubernamentales.

Especializada en reas especficas: el avance de la auditoria no se detiene y requiere de una mayor especializacin en la evaluacin de las reas y ramas del desarrollo tecnolgico. Por esta razn las auditorias son cada vez mas singulares y estn enfocadas a satisfacer necesidades concretas de revisin y dictamen, segn la especialidad de que se trate

Auditoria del rea mdica: es la revisin sistemtica, exhaustiva y especializada que se realiza a las ciencias medicas y de la salud, aplicadas solo por especialistas de disciplinas medicas o similares con el fin de emitir un dictamen especializado sobre el correcto desempeo de las funciones y actividades del personal medico, tcnicos en salud y similares, como tambin sobre la atencin que las dependencias y el personal prestan a pacientes, familiares y proveedores.

Auditoria al desarrollo de obras y construcciones: es la revisin tcnica especializadas que se realiza a la edificacin de construcciones. Su propsito es establecer un dictamen especializado sobre la correcta

aplicacin de las tcnicas, clculos, mtodos y procedimientos de la ingeniera civil y la arquitectura.

Auditora fiscal: es la revisin exhaustiva, pormenorizada y completa que se realiza a los registros y operaciones contables de una empresa, as como la evaluacin de la correcta elaboracin de los estados financieros.

Auditoria laboral: es la evaluacin de las actividades, funciones y operaciones relacionadas con el factor humano de una empresa, su

propsito es dictaminar sobre el adecuado cumplimiento en la seleccin, capacitacin y desarrollo del personal, la correcta aplicacin de las prestaciones sociales y econmicas, el establecimiento de las medidas de seguridad e higiene en la empresa, los contratos de trabajo, los reglamentos internos de trabajo, normas de conducta y dems actividades que intervienen en la gestin de personal de una empresa.

Auditoria de proyectos de inversin: es la revisin y evaluacin que se realiza a los planes, programas y ejecucin de las inversiones de los recursos econmicos de una institucin pblica o privada, con el propsito de dictaminar sobre el uso y control correctos de esos recursos, evaluando que su aplicacin sea exclusivamente para cumplir el objetivo del proyecto.

Auditoria a la caja menor o caja mayor: es la revisin peridica del manejo del efectivo que se asigna a una persona o rea de una empresa, y de los comprobantes de ingresos y egresos generados por sus operaciones cotidianas; dicha revisin se lleva a cabo con el fin de verificar el adecuado manejo, control y custodia del efectivo disponible para gastos menores, as como de evaluar el uso, custodia y manejo correctos de los fondos de la empresa.

Auditora ambiental: es la evaluacin que se hace de la calidad del aire, la atmsfera el ambiente, las aguas, los ros, los lagos y ocanos, as como de la conservacin de la flora y la fauna silvestres, con el fin de dictaminar sobre las medidas preventivas y correctivas que disminuyan y eviten la contaminacin provocada por los individuos las empresas, los automotores, las maquinarias, y as preservar la naturaleza y mejorar la calidad de vida de la sociedad.

De sistemas computacionales (auditoria informtica): Auditoria informtica: es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e informacin utilizados en una empresa, sean individuales o compartidos y/o de redes, as como a sus instalaciones, telecomunicaciones, mobiliario, equipos

perifricos y dems componentes. Dicha revisin se realiza de igual manera a la gestin informtica, el aprovechamiento de los recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cmputo.

Auditoria con el computador: Es la auditoria que se realiza con el apoyo de los equipos de cmputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas, pero s susceptibles de ser automatizadas; dicha auditoria se realiza tambin a las actividades del propio centro de sistemas y a sus componentes. La principal caracterstica de este tipo de auditoria es que, sea en un caso o en otro, o en ambos, se aprovecha el computador y sus programas para la evaluacin de las actividades a revisar, de acuerdo con las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditoria.

Auditoria sin el computador: Es la auditoria cuyos mtodos, tcnicas y procedimientos estn orientados nicamente a la evaluacin tradicional de! comportamiento y validez de tas transacciones econmicas, administrativas y operacionales de un rea de cmputo, y en s de todos los aspectos que afectan a las actividades en las que se utilizan sistemas informticos, pero dicha evaluacin se realiza sin el uso de los sistemas computacionales. Es tambin la evaluacin tanto a la estructura de organizacin, funciones y actividades de funcionarios y personal de un centre de cmputo, as como a los perfiles de sus puestos, como de los reportes, informes y bitcoras de los sistemas, de la existencia y aplicacin de planes, programas y presupuestos en dicho centro, as como del uso y aprovechamiento de los recursos informticos para la realizacin de actividades, operaciones y tareas. Asimismo, es la evaluacin de los sistemas de seguridad y prevencin de contingencias, de la adquisicin y uso del hardware, software y personal informtico, y en s de todo lo relacionado con el centro de cmputo, pero sin el uso directo de los sistemas computacionales.

Auditoria a la gestin

informtica: Es la auditoria cuya aplicacin se

enfoca exclusivamente a la revisin de las funciones y actividades de tipo administrativo que se realizan dentro de un centro de cmputo, tales como la planeacin, organizacin, direccin y control de dicho centro. Esta auditoria se realiza tambin con el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios, empleados y usuarios de las reas de sistematizacin, as como para revisar y evaluar las operaciones del sistema, el uso y proteccin de los sistemas de procesamiento, los programas y la informacin. Se aplica tambin para verificar el correcto desarrollo, instalacin, mantenimiento y explotacin de los sistemas de cmputo, as como sus equipos e instalaciones. Todo esto se lleva a cabo con el propsito de dictaminar sobre la adecuada gestin administrativa de

los sistemas computacionales de una empresa y del propio centro informtico.

Auditoria al sistema de cmputo: Es la auditoria tcnica y especializada que se enfoca nicamente a la evaluacin del funcionamiento y uso correctos del equipo de cmputo, su hardware, software y perifricos asociados. Esta auditoria tambin se realiza a la composicin y arquitectura de las partes fsicas y dems componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones internas o externas, as como al diseo, desarrollo y uso del software de operacin, de apoyo y de aplicacin, ya sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo, o paquetera de aplicacin institucional que se utiliza en la empresa donde se encuentra el equipo de cmputo que ser evaluado. Se incluyo tambin la operacin del sistema.

Auditoria en el entorno del computador: Es la revisin especfica que se realiza a todo lo que est alrededor de un equipo de cmputo, como son sus sistemas, actividades y funcionamiento, haciendo una evaluacin de sus mtodos y procedimientos de acceso y procesamiento de datos, la emisin y almacenamiento de resultados, las actividades de planeacin y

presupuestacin del propio centro de cmputo, los aspectos operacionales y financieros, la gestin administrativa de accesos al sistema, la atencin a los usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en s, a todos aquellos aspectos que contribuyen al buen funcionamiento de un rea de sistematizacin.

Auditoria sobre la seguridad de sistemas computacionales: es la revisin exhaustiva, tcnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cmputo, sus reas y personal, as como a las actividades, funciones y acciones preventivas y correctivas

que

contribuyan

salvaguardar

la

seguridad

de

los

equipos

computacionales, las bases de datos, redes, instalaciones y usuarios del sistema. Es tambin la revisin de los planes de contingencia y medidas de proteccin para la informacin, los usuarios y los propios sistemas computacionales, y en s para todos aquellos aspectos que contribuyen a la proteccin y salvaguarda en el buen funcionamiento del rea de sistematizacin, sistemas de redes o computadores personales, incluyendo la prevencin y erradicacin de los virus informticos.

Auditoria a los sistemas de redes: es la revisin exhaustiva, especfica y especializada que se realiza a los sistemas de redes de una empresa, considerando en la evaluacin los tipos de redes, arquitectura, topologa, sus protocolos de comunicacin, las conexiones, accesos, privilegios, administracin y dems aspectos que repercuten en su instalacin, administracin, funcionamiento y aprovechamiento. Es tambin la revisin del software institucional, de los recursos informticos e informacin de las operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones, software y hardware de un sistema de red.

Auditoria integral a los centros de computo: es la revisin exhaustiva, sistemtica y global que se realiza por medio de un equipo multidisciplinario de auditores, de todas las actividades y operaciones de un centro de sistematizacin, a fin de evaluar, en forma integral, el uso adecuado de sus sistemas de cmputo, equipos perifricos y de apoyo para el procesamiento de informacin de la empresa, as como de la red de servicios de una empresa y el desarrollo correcto de las funciones da sus reas, personal y usuarios. Es tambin la revisin de la administracin del sistema, del manejo y control de los sistemas operativos, lenguajes, programas y paqueteras de aplicacin, as como de la administracin y control de proyectos, la adquisicin del hardware y software institucionales, de la adecuada integracin y

uso de sus recursos informticos y de la existencia y cumplimiento de las normas, polticas, estndares y procedimientos que regulan la actuacin del sistema, del personal y usuarios del centro de cmputo. Todo esto hecho de manera global por medio de un equipo multidisciplinario de auditores.

Auditoria

outsourcing:

es

la

revisin

exhaustiva,

sistemtica

especializada que se realiza para evaluar la calidad en el servicio de asesora o procesamiento externo de informacin que proporciona una empresa a otra. Esto se lleva a cabo con el fin de revisar la confiabilidad, oportunidad, suficiencia y asesora por parte de los prestadores de servicios de procesamiento de datos, as como el cumplimiento de las funciones y actividades que tienen encomendados tos prestadores de servidos, usuarios y el personal en general. Dicha revisin so realiza tambin en los equipos y sistemas.

Auditoria ergonmica de sistemas computacionales: es la revisin tcnica, especfica y especializada que se realiza para evaluar la calidad, eficiencia y utilidad del entorno hombre-mquina-medio ambiente que rodea el uso de sistemas computacionales en una empresa. Esta revisin se realiza tambin con el propsito de evaluar la correcta adquisicin y uso del mobiliario equipo y sistemas, a fin de proporcionar el bienestar, confort y comodidad que requieren los usuarios de los sistemas de cmputo de la empresa, as como evaluar la deteccin de los posibles problemas y sus repercusiones, y la determinacin de las soluciones relacionadas con la salud fsica y bienestar de los usuarios de los sistemas de la empresa.

Capitulo 2. Tcnicas y procedimientos de auditoria

Leccin 1. Conceptos10
Tcnicas de auditora: se refieren a los mtodos usados por el auditor para recolectar evidencia. Los ejemplos incluyen, entre otras, la revisin de la documentacin, entrevistas, cuestionarios, anlisis de datos y la observacin fsica.11

Procedimientos de auditora: son el conjunto de tcnicas aplicadas por el auditor en forma secuencial; desarrolladas para comprender la actividad o el rea objeto del examen; para recopilar la evidencia de auditora para respaldar una observacin o hallazgo; para confirmar o discutir un hallazgo, observacin o recomendacin con la administracin.12 Relacin entre tcnicas y procedimientos de auditora: 13

10
11

http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf 12 http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf 13 http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf

Considerando que los procedimientos de auditora constituyen el conjunto de tcnicas de investigacin que el auditor aplica a la informacin sujeta a revisin, mediante las cuales obtiene evidencia para sustentar su opinin profesional; las tcnicas constituyen un detalle del procedimiento. El auditor para realizar su trabajo utiliza un conjunto de herramientas, que se denominan tcnicas de auditora. Dado que procedimiento significa mtodo de ejecutar alguna cosa, la aplicacin de las distintas tcnicas de auditora para aplicarlas al estudio particular de una cuenta u operacin se denomina procedimiento de auditora. Respecto de los procedimientos, es

conveniente determinar los procedimientos de auditora, en el sentido de decidir qu tcnica o tcnicas de auditora deberan formar parte, con carcter general, de un procedimiento de auditora. Ello es as porque el auditor, generalmente, no puede obtener la evidencia necesaria y suficiente mediante la aplicacin de un solo procedimiento de auditora, sino que -por el contrario- debe examinar los hechos que se le presentan mediante la aplicacin simultnea o sucesiva de varios procedimientos de auditora. Cuando se aplican o ejecutan los procedimientos de auditora, se dice que se est realizando una prueba de auditora. Por ello, resumiendo las definiciones expuestas, se puede sealar que: los procedimientos de auditora son un conjunto de tcnicas y que la puesta en prctica de dichos procedimientos constituyen o se materializan en pruebas de auditora.

Leccin 2 Tcnicas que se aplican en el trabajo de auditora14


El examen de cualquier operacin, actividad, rea, programa, proyecto o transaccin, se realiza mediante la aplicacin de tcnicas, y el auditor debe conocerlas para seleccionar la ms adecuada, de acuerdo con las caractersticas y condiciones del trabajo que realiza.
14

http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf

En el trabajo de Auditora, se pueden utilizar las tcnicas de general aceptacin, las cuales se clasifican generalmente sobre la base de la accin que se va a efectuar, es as que tenemos las siguientes:

Verbales o testimoniales Documentales Fsicas Analticas Informticas

Tcnicas verbales o testimoniales Permiten conseguir informacin de forma oral al interior o fuera de la entidad. Estas son utilizadas muy frecuentemente y le permiten al auditor confirmar evidencias encontradas en otras indagaciones as como tambin dilucidar asuntos que ameriten mayor investigacin y documentacin.

La evidencia que se obtenga a travs de esta tcnica, debe documentarse adecuadamente mediante papeles de trabajo preparados por el auditor, en los cuales se describan las partes involucradas y los aspectos tratados. Las tcnicas verbales pueden ser:

Entrevista: Consiste en la averiguacin mediante la aplicacin de preguntas directas al personal de la entidad auditada o a terceros, cuyas actividades guarden relacin con las operaciones de esta.

Encuestas y cuestionarios: Es la aplicacin de preguntas, relacionadas con las operaciones realizadas por el ente auditado, para conocer la verdad de los hechos, situaciones u operaciones.

Documentales Consisten en obtener informacin escrita para soportar las afirmaciones, anlisis o estudios realizados por los auditores. Estas pueden ser: Comprobacin: Consiste en verificar la evidencia que apoya o

sustenta una operacin o transaccin, con el fin de corroborar su autoridad, legalidad, integridad, propiedad, veracidad mediante el examen de los documentos que las justifican.

Confirmacin:

Radica

en

corroborar

la

verdad,

certeza

probabilidad de hechos, situaciones, sucesos u operaciones, mediante datos o informacin obtenidos de manera directa y por escrito de los funcionarios o terceros que participan o ejecutan las operaciones sujetas a verificacin.

Leccin 3.Otras Tcnicas en el trabajo de auditora


Fsicas Consisten en verificar en forma directa y paralela, la manera como los responsables desarrollan y documentan los procesos o procedimientos, mediante los cuales la entidad auditada ejecuta las actividades objeto de control. Esta tcnica permite tener una visin de la organizacin desde el ngulo que el auditor necesita, o sea, los procesos, las instalaciones fsicas, los movimientos diarios, la relacin con el entorno, etc. Entre estas tcnicas tenemos las siguientes: Inspeccin: Consiste en el reconocimiento mediante el examen fsico y ocular, de hechos, situaciones, operaciones, activos tangibles, transacciones y actividades, aplicando para ello otras tcnicas como son: indagacin, observacin, comparacin, rastreo, anlisis, tabulacin y comprobacin. Observacin: Consiste en la contemplacin a simple vista, que realiza el auditor durante la ejecucin de una actividad o proceso. Comparacin o confrontacin: Es cuando se fija la atencin en las operaciones realizadas por la entidad auditada y en los lineamientos normativos, tcnicos y prcticos establecidos, para descubrir sus relaciones e identificar sus diferencias y semejanzas. Revisin selectiva: Radica en el examen de ciertas caractersticas importantes, que debe cumplir una actividad, informes o documentos, seleccionndose as parte de las operaciones, que sern evaluadas o verificadas en la ejecucin de la auditora. Rastreo: Es el seguimiento que se hace al proceso de una operacin, con el objetivo de conocer y evaluar su ejecucin.

Analticas Son aquellas desarrolladas por el propio auditor a travs de clculos, estimaciones, comparaciones, estudios de ndices y tendencias,

investigacin de variaciones y operaciones no habituales. Esta tcnica se aplica de las formas siguientes: Anlisis: Consiste en la separacin de los elementos o partes que conforman una operacin, actividad, transaccin o proceso, con el propsito de establecer sus propiedades y conformidad con los criterios de orden normativo y tcnico. Permite identificar y clasificar para su posterior anlisis, todos los aspectos de mayor significacin y que en un momento dado pueden afectar la operatividad de la entidad auditada, entre estas podemos identificar, por ejemplo, al anlisis de relaciones, anlisis de tendencias, etc.

- Conciliacin: Consiste en confrontar informacin producida por diferentes unidades administrativas o instituciones, en relacin con una misma operacin o actividad, a efectos de hacerla coincidir, lo que permite determinar la validez, veracidad e idoneidad de los registros, informes y resultados objeto de examen. Clculo: Consiste en la verificacin de la exactitud aritmtica de las operaciones, contenidas en los documentos tales como informes, contratos, comprobantes y presupuestos. Tabulacin: Se realiza mediante la agrupacin de los resultados importantes, obtenidos en las reas y elementos analizados, para arribar o sustentar las conclusiones.

Informticas Ms comnmente conocidas como Tcnicas de Auditora Asistidas por Computador (TAAC), se refiere a las tcnicas de auditora que contemplan herramientas informticas con el objetivo de realizar ms eficazmente, eficientemente y en menor tiempo pruebas de auditora. En resumen, los procedimientos de auditora son la agrupacin de tcnicas aplicables al estudio particular de una cuenta u operacin; prcticamente resulta inconveniente clasificar los procedimientos ya que la experiencia y el criterio del auditor deciden las tcnicas que integran el procedimiento en cada caso particular.

Leccin 3. La entrevista como una tcnica de auditora 15


Es un dialogo entre personas, en torno a una situacin determinada, en la cual una interroga (pregunta, entrevista) y la otra responde (entrevistado). Esta tcnica de auditora puede utilizar preguntas estandarizadas o puede ser un dilogo abierto, en cualquier caso se requiere de guas que orienten el proceso. En una entrevista generalmente dos personas hablan, interactuando con preguntas y respuestas en torno a un solo tema y tiene como propsito conseguir o dar informacin, proporcionar o recibir indicaciones o recomendaciones, etc.

Tipos de Entrevista Los tipos de entrevistas se pueden clasificar segn la complejidad del tema a tratar, se identifican ms comnmente: Entrevista estructurada:

Llamada tambin formal o estandarizada. Se caracteriza por estar rgidamente estandarizada, se plantean idnticas preguntas y en el mismo orden a varios entrevistados, por ejemplo de una misma rea de trabajo o que realizan actividades similares, quienes deben escoger la respuesta entre dos, tres o ms alternativas que se les ofrecen. Para orientar mejor la entrevista se elabora un cuestionario, que contiene todas las preguntas. Sin embargo, al utilizar este tipo de entrevista el entrevistador tiene limitada libertad para formular preguntas independientes generadas por la interaccin personal. Entre las ventajas que tiene este tipo de entrevista, se mencionan:
15

http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf

La informacin es ms fcil de procesar, simplificando el anlisis comparativo. El entrevistador no necesita estar entrenado arduamente en la tcnica. Hay uniformidad en la informacin obtenida. Entre las desventajas se tienen: Es difcil obtener informacin confidencial. Se limita la posibilidad de profundizar en un tema que emerja durante la Entrevista. - Entrevista no estructurada: Es ms flexible y abierta, aunque los objetivos de la investigacin rigen a las preguntas, su contenido, orden, profundidad y formulacin se encuentran por entero en manos del entrevistador. Si bien el entrevistador; sobre la base del problema, los objetivos y las variables; elabora las preguntas antes de realizar la entrevista, modifica el orden, la forma de encauzar las preguntas o su formulacin para adaptarlas a las diversas situaciones y caractersticas particulares de los sujetos de estudio. Entre las ventajas de este tipo de entrevista se tienen: Es adaptable y susceptible de aplicarse a toda clase de sujetos en situaciones diversas. Permite profundizar en temas de inters. Orienta posibles hiptesis y variables cuando se exploran reas nuevas. Entre sus desventajas se mencionan: Se requiere de mayor tiempo. Es ms costoso por la inversin de tiempo de los entrevistadores. Se dificulta la tabulacin de los datos. Se requiere mucha habilidad tcnica para obtener la informacin y mayor conocimiento del tema.

El siguiente grafico resume lo anterior:

Leccin 5. Tipos de preguntas en la tcnica de entrevista


El entrevistador puede hacer cinco clases de preguntas: preliminares o introductorias, informativas, de anlisis o de evaluacin, y de admisin o confirmacin. En una entrevista, donde el objeto es obtener informacin, solo tres de las cinco clases de preguntas deben ser normalmente utilizadas: Introductorias, informativas y preguntas personales. Si el entrevistador tiene razonable fundamento o causa para creer que el entrevistado no est siendo honesto,

preguntas de anlisis o de evaluacin pueden ser utilizadas. Finalmente, si el entrevistador decide con razonable fundamento o causa que el entrevistado esta respondiendo con vacilacin, puede utilizar preguntas de confirmacin o admisin. Preguntas Preliminares o Introductorias: Son usadas por el entrevistador con dos propsitos principales: informarle al entrevistado acerca del objetivo y del proceso de la entrevista y obtener de este verbalmente un acuerdo de cooperacin durante la entrevista. Son de carcter general y pueden tocar aspectos personales y profesionales, como por ejemplo, acerca de su profesin o especialidad, antigedad en la entidad y en el puesto, etc. Luego de haber establecido el clima propicio se pasar a utilizar las preguntas diseadas y posibilitar as un mayor dilogo. Preguntas Informativas: Una vez que el formato apropiado de la entrevista est establecido, el entrevistador entonces trata de obtener la informacin verdadera sobre el tema de inters para la auditora. Hay esencialmente tres tipos de preguntas que pueden ser hechas: cerradas, abiertas y deliberadas (con el propsito de obtener una respuesta esperada). Preguntas Cerradas

Esta forma de pregunta es la que se puede contestar con un si o un no. Generalmente, una pregunta limitada debera evitarse porque no invita a discusin y falla al no indicar qu est pensando el entrevistado. Cuando se usa, la pregunta cerrada debera estar seguida por: por qu?, cmo? o dnde?, para que a la persona que responda se le exija explicar sus puntos de vista.

En una entrevista, estas preguntas son hechas de forma cerrada con el propsito de reconfirmar los hechos, obtener informacin no obtenida previamente, obtener nueva evidencia, y mantener una buena relacin con el entrevistado. Preguntas abiertas

Esta forma de pregunta exige elaboracin: ej: Cmo se realiza esta actividad?. Estas preguntas pueden tomar dos formas: pregunta directa o pregunta indirecta.

Preguntas de Evaluacin o de Anlisis:

Cada tipo de pregunta es usada en una secuencia lgica, para maximizar el desarrollo de la informacin. Si el entrevistador tiene razn para creer que el entrevistado no est siendo honesto, entonces puede hacer preguntas de evaluacin o de anlisis. Asimismo, la entrevista deber llevar a un final lgico. Por medio de la observacin de las reacciones del entrevistado a estas preguntas, el entrevistador puede evaluar la credibilidad del entrevistado con algn grado de precisin. Estas evaluaciones podran ser la base que el entrevistador decida acerca de realizar preguntas de admisin para obtener evidencia acerca de un hecho irregular.

Preguntas de Admisin o de Declaracin: Las preguntas de admisin o de declaracin estn reservadas

especficamente cuando se tiene evidencia razonable acerca la existencia de hechos irregulares o deficiencias manifiestas en la actividad u proceso

objeto de la auditora. Estas preguntas no deben violar los derechos y libertades de la persona que est siendo entrevistada.

Capitulo 3.

El programa de auditoria

Leccin 1: Desarrollo del programa de auditoria 16


Un programa de auditora es un conjunto de procedimientos documentados, diseados para alcanzar los objetivos planificados en una auditoria.

El programa de auditora es fundamental para el proceso de auditora ya que da la seguridad de que el trabajo se plane adecuadamente, permite realizar el seguimiento y supervisin, es una gua para la ejecucin del trabajo y para documentar los diversos pasos de auditoria as como tambin para sealar la ubicacin del material de evidencia. Generalmente tiene la siguiente estructura:
Procedimientos de Auditora Papeles Trabajo Referencia_______ Realizado por:__________________ Fecha_________________________

Lugar

El esquema caracterstico de un programa de auditora incluye lo siguiente:

Tema de auditora: donde se identifica el rea a ser auditada.


16

http://www.monografias.com/trabajos12/condeau/condeau.shtml#DESARR

Objetivos de auditora: donde se indica el propsito del trabajo de auditora a realizar. Alcances de auditora: se identifica los sistemas especficos o unidades de organizacin que se han de incluir en la revisin en un perodo de tiempo determinado. Planificacin previa: se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar.

Procedimientos de auditora para: Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento. Los procedimientos de auditora incluidos en los programas de trabajo deben ser lo suficientemente claros de tal forma que permitan a los miembros del equipo de auditora comprender que es lo que se va a realizar.

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las polticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las polticas o procedimientos son eficaces.

Normas generales de auditoria17 Las normas son los medios que regulan la calidad de trabajo del auditor. Pueden ser:

Leccin 2. Normas personales o generales:


Se refieren generalmente a la calidad de trabajo y a las cualidades que el Auditor debe tener para poder analizar.

Entrenamiento y capacidad social: el examen debe ser efectuado por personas que tienen entrenamiento tcnico adecuado y capacidad profesional como Auditor. Esmero y capacidad profesional: el Auditor debe ejercer el debido cuidado profesional en la ejecucin del examen y la reparacin del informe. Independencia de criterio: en todos los asuntos relacionados con el examen del Auditor debe tener independencia de criterio.

Leccin 3: Normas relativas al trabajo de campo


Son los elementos bsicos fundamentales en la ejecucin de trabajo del Auditor, se encuentran: Planeamiento y direccin profesional (supervisn adecuada): el examen debe ser planeado adecuadamente y el trabajo de los asistentes del Auditor si los hay debe ser debidamente supervisado. Estudio y evaluacin del control interno: el Auditor debe estudiar y evaluar apropiadamente el sistema de control interno como base para determinar el grado de confianza que merece y consecuentemente por determinar el alcance de las comprobaciones que deben efectuarse mediante los procedimientos de Auditoria.
17

http://www.mailxmail.com/curso/empresa/auditoria/capitulo2.htm

Evidencia, suficiencia y competencia: el Auditor debe obtener una evidencia adecuada en grado suficiente mediante la inspeccin, observacin, indagacin, confirmacin para contar una base que nos permita dar una operacin de los Estados Financieros sujetos al examen.

Leccin 4: Normas relativas a la elaboracin del informe de Auditora


El producto final de una auditoria es la elaboracin de un informe, este es uno de los documentos ms importantes del trabajo realizado.

Contiene la opinin del auditor la cual puede alternativas: Sin salvedades Con salvedades Adversa Puede abstenerse de opinar.

tener las siguientes

El informe debe indicar las sugerencias que considere convenientes para mejorar los ndices de eficiencia y efectividad.

Leccin 5: Metodologa de la auditoria


Existen algunas metodologas de Auditoria de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estndar, las cuatro fases bsicas en un proceso de revisin son:

Fases de un proceso de auditoria

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios del PAD. Revisin y evaluacin de controles y seguridades: Consiste en la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas criticas: Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usara, definir la metodologa de trabajo, la duracin de la auditoria, Presentar el plan de trabajo y analizara detalladamente cada problema encontrado. Comunicacin de resultados: Se elaborar el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas

encontrados, los efectos y las recomendaciones de la Auditoria. El informe debe contener lo siguiente: o o o o o o o Motivos de la Auditoria Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditoria

SEGUNDA UNIDAD

AUDITORIA INFORMATICA

Auditoria Informtica
INTRODUCCION
En esta unidad, se desarrollan aspectos de la auditoria informtica relacionados con el alcance, importancia y tipos de la auditoria informtica.

El propsito es que usted identifique el proceso de una auditoria informtica, su metodologa y las diferentes tcnicas aplicadas en su ejecucin.

OBJETIVOS
Identificar el propsito de la auditoria informtica Distinguir entre los diferentes tipos de auditoria informtica Identificar el papel del auditor informtico

Capitulo 1.

La auditoria informtica

Leccin 1. Concepto, objetivos de la auditoria infor mtica


Concepto: La auditoria informtica: es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e informacin utilizados en una empresa, sean individuales compartidos y/o de redes, as como a sus instalaciones, telecomunicaciones, mobiliario, equipos perifricos y dems componentes. Dicha revisin se realiza de igual manera a la gestin informtica, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cmputo. El propsito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la informacin y la emisin oportuna de los resultados en la institucin, incluyendo la evaluacin en el cumplimiento de las funciones actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa. 18

Objetivos de la auditoria informtica Evaluar el uso de los recursos tcnicos y materiales para el procesamiento de la informacin as como tambin el aprovechamiento de los equipos de cmputo, sus perifricos, las instalaciones y mobiliario del centro de cmputo. Evaluar el desarrollo e instalacin de nuevos sistemas, el

aprovechamiento de de los sistemas de procesamiento, los sistemas operativos, los lenguajes, programas y aplicaciones. Operatividad Verificacin de las normas existentes en el departamento de Informtica y su coherencia con las del resto de la empresa La operatividad, se encarga de verificar que la organizacin y las maquinas funcionen, siquiera mnimamente. No es aceptable detener la los recursos de

computo para descubrir sus fallos y comenzar de nuevo. Cuando los sistemas estn operando la auditoria inicia su actividad. De ah que la principal

preocupacin del auditor informtico es la de mantener la operatividad de los sistemas y para lograrlo debe verificar que se estn realizando los siguientes tipos de controles: Controles Tcnicos Generales de Operatividad y Controles Tcnicos Especficos de Operatividad.

La verificacin de las normas existentes en el departamento de Informtica y su coherencia con las del resto de la empresa, implica que se debe revisar:

18

MUOZ, Razo Carlos. Auditoria en Sistemas Computacionales. Mxico: Pearson Educacin. 2002. p.

Leccin 2. Alcance, importancia, necesidad de la audit oria informtica


Alcance de la Auditoria Informtica El alcance define el entorno y los lmites donde va a desarrollarse la auditoria informtica, complementndose con los objetivos definidos para el proceso de revisin. El alcance debe manifestarse claramente en el Informe Final, de modo que queden perfectamente detallados no solamente los puntos que fueron examinados, sino tambin cuales fueron omitidos. 19 Importancia de la Auditoria Informtica La Auditoria Informtica, es importante en las organizaciones por las siguientes razones: Se pueden difundir y utilizar resultados o informacin errnea si la calidad de datos de entrada es inexacta o los mismos son manipulados, lo cual abre la posibilidad de que se provoque un efecto domin y afecte seriamente las operaciones, toma de decisiones e imagen de la empresa.

Las computadoras, servidores y los Centros de Procesamiento de Datos se han convertido en blancos apetecibles para fraudes, espionaje, delincuencia y terrorismo informtico. La continuidad de las operaciones, la administracin y organizacin de la empresa no deben descansar en sistemas mal diseados, ya que los mismos pueden convertirse en un serio peligro para la empresa. Las bases de datos pueden ser propensas a atentados y accesos de usuarios no autorizados o intrusos.

19

www.monografias.com Auditoria de Sistema y polticas de Seguridad Informtica. Integrantes: COITE, Anglica y ROMERO, Hugo.

Leccin 3. Necesidad de la auditoria informtica


Necesidad de la Auditoria Informtica
20

Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases: Sntomas de descoordinacin y desorganizacin: No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa. Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. Sntomas de mala imagen e insatisfaccin de los usuarios: No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles. Sntomas de debilidades econmico-financiero: Incremento desmesurado de costes.
20

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml

Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin). Sntomas de Inseguridad: Evaluacin de nivel de riesgos Seguridad Lgica Seguridad Fsica Confidencialidad Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

Leccin 4. Tipos de Auditoria Informtica


La divisin de la auditoria informtica o de sistemas se ha realizado teniendo en cuenta las diferentes funciones que se desarrollan en esta rea, se indican brevemente cada una de estas divisiones: 21
21

www.monografias.com Auditoria de Sistema y polticas de Seguridad Informtica. Integrantes: COITE, Anglica y ROMERO, Hugo.

Explotacin u Operacin. Desarrollo de Proyectos. De Sistemas. De Comunicaciones y Redes y de Seguridad. Auditoria de la Seguridad Informtica Auditoria Informtica para Aplicaciones en Internet.

Auditoria Informtica de Produccin o Explotacin: conocida tambin como de operacin, se ocupa de revisar todo lo que se refiere con producir resultados informticos, listados impresos, archivos soportados magnticamente, ordenes automatizadas para ejecutar o modificar procesos, etc.

La produccin, operacin o explotacin informtica dispone de una materia prima, los datos, que son necesarios para transformar y que se someten previamente a controles de integridad y calidad. La transformacin se realiza por medio del proceso informtico, el cual est regido por programas y una vez obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario.

La auditoria informtica de produccin, operacin o explotacin se encarga de revisar las secciones que la componen y sus interrelaciones, las cuales generalmente son: planificacin, produccin y soporte tcnico.

Auditoria Informtica de Desarrollo de Proyectos: La funcin de desarrollo es una evolucin del llamado anlisis y programacin de sistemas, y abarca muchas reas tales como: prerrequisitos del usuario y del entorno, anlisis funcional, diseo, anlisis orgnico (reprogramacin y programacin) y pruebas. Estas fases deben estar sometidas a un exigente control interno, de lo contrario,

los costos pueden ser excesivos o se puede no satisfacer todas las necesidades del usuario. La auditoria en este caso deber principalmente comprobar la seguridad de los programas en el sentido de garantizar que lo ejecutado por la mquina sea exactamente lo previsto o lo solicitado inicialmente.

Auditoria Informtica de Sistemas: Se ocupa de analizar y revisar los controles y efectividad de la actividad que se conoce como tcnicas de sistemas en todas sus facetas y se enfoca principalmente en el entorno general de sistemas, el cual incluye sistemas operativos, software bsico, aplicaciones, administracin de base de datos, etc.

Auditoria Informtica de Comunicaciones y Redes: Este tipo de revisin se enfoca en las redes, lneas, concentradores, multiplexores, etc. El auditor

informtico deber indagar sobre los ndices de utilizacin de las lneas contratadas, solicitar informacin sobre tiempos de desuso. Tambin ser

necesario que obtenga informacin sobre la cantidad de lneas existentes, cmo son y donde estn instaladas, sin embargo, las debilidades ms frecuentes o importantes se encuentran en las disfunciones organizativas, pues la contratacin e instalacin de lneas va asociada a la instalacin de los puestos de trabajo correspondientes (pantallas, servidores de redes locales,

computadoras, impresoras, etc.).

Auditoria de la Seguridad Informtica: La auditoria de la seguridad en la informtica comprende los conceptos de seguridad fsica y lgica. La

seguridad fsica se refiere a la resguardo del hardware y los soportes de datos, as como la seguridad de los edificios e instalaciones que los alojan. Es papel del auditor informtico contemplar situaciones de incendios, sabotajes, inundaciones, robos, catstrofes naturales, etc.

Por su parte, la seguridad lgica hace referencia a la seguridad en el uso de software, la proteccin de los datos, procesos y programas, as como la del acceso ordenado y autorizado de los usuarios a la informacin.

El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado de que no existen copias piratas, o de que, al conectarnos en red con otros computadores, no exista la posibilidad de transmisin de virus.

Auditoria Informtica para Aplicaciones en Internet: En este tipo de revisiones, se enfoca principalmente en verificar los siguientes aspectos, que el auditor informtico no puede pasar por alto: Evaluacin de los riesgos de Internet (operativos, tecnolgicos y financieros) y as como su probabilidad de ocurrencia. Evaluacin de vulnerabilidades y la arquitectura de seguridad

implementada. Verificar la confidencialidad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.

Leccin 5. Medios disponibles y especficos de auditoria . 22


Medios tcnicos o Equipo fsico y locales. o Software bsico. Medios humanos. Medios financieros.

1. Medios tcnicos: Equipo fsico y locales.

22

http://zip.rincondelvago.com/00022558

Comprende el ordenador propiamente dicho, el hardware y los soportes fsicos de los ficheros, as como los locales donde se instalan estas mquinas.

Aspectos a tener en cuenta: Los equipos fsicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, tanto cualitativas como cuantitativas. Dada la evolutividad de los objetivos el equipo fsico debe ser tambin evolutivo sin dejar de resultar adecuado y modular. Cada componente del equipo fsico de formar parte de un todo homogneo. Otros criterios de eleccin son la fiabilidad del material y la rapidez de las restauraciones. Para garantizar la consecucin de la finalidad se hace necesario garantizar la seguridad del hardware. Es conveniente disponer de un curativo para garantizar esa seguridad.

plan preventivo y

El plan preventivo debe prever catstrofes generales ( incendio, inundacin,...) as como otros sucesos ( cortes de fludo elctrico, aumentos de tensin, presencia de polvo,...).

El plan curativo est formado por soluciones de emergencia en circunstancias diversas. Resulta fundamental la salvaguarda en

lugares distintos de un nmero suficiente de generaciones de ficheros, de programas y su modo de empleo. Una documentacin actualizada y disponible debe describir las caractersticas tcnica del equipo fsico.

Herramientas de auditora especfica: a) La auditora del equipo fsico debe comprobar si se aplican las reglas anteriores: adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para

ello, el auditor debe estar provisto de unos conocimientos tcnicos slidos. b) El auditor valorar la adaptacin a los objetivos y a las acciones tomando como base de juicio la evolucin histrica. c) El inters del auditor por las ejecuciones trs la adaptacin a las finalidades. d) Estimacin de la homogeneidad de los componentes y su fiabilidad atendiendo a las estadsticas de tiempo de utilizacin y la conservacin de grabaciones en caso de fallos. e) El estudio del presupuesto de seguridad evaluando los medios en funcin del servicio que prestan y conforme a la probabilidad de fallo que pueden tener. Tambin se examinar la seguridad del material suplementario y los formularios que contienen talonarios y letras. f) La conservacin se evala a partir de los contratos y de los informes de indisponibilidad. Puede ser preventiva (mantenimiento) o curativa (restauracin).

Software bsico. Constituye una parte creciente del coste de un sistema. Tiene una importancia primordial en la seguridad de las operaciones pero a medida que va creciendo ms compleja es su evaluacin.

Aspectos a tener en cuenta:

1.

El software bsico se adapta a las finalidades siempre y cuando permita

una correcta utilizacin del hardware con el lenguaje y en el modo de explotacin elegidos para ejecutar las aplicaciones. El software posee muchas posibilidades pero lo ms interesante a nivel prctico es la posibilidad de poder incorporarse en gran parte al equipo fsico.

2.

La evolutividad del software exige una transparencia de su dependencia

con respecto a las aplicaciones del equipo fsico. Los lmites de las posibilidades del software deben encontrarse bastante alejados, as como los obstculos no deben ser tan rgidos. Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro de un estudio como ya ocurre con el hardware.

3.

Los componentes del software bsico deben estar adaptados entre s y

con la configuracin del equipo fsico siempre en funcin de la finalidad. Por otro lado, tambin ha de adaptarse a los medios humanos, tanto para aquellos que desarrollan las aplicaciones como tambin para los que las usan.

4.

La fiabilidad del software bsico se consigue mediante el registro de las

anomalas para su posterior anlisis y rectificacin por el constructor aunque el software debe emplear ayudas para diagnstico de fallos. Resulta esencial que el software permita implantar los puntos de enlace eficazmente utilizables mediante la reinicializacin en la eventualidad de un mal funcionamiento, como una adecuada recuperacin de los ficheros. En definitiva, la fiabilidad de una base de datos est sealada en su sistema de gestin.

5.

Para la seguridad del software bsico se requiere una proteccin contra

los accesos prohibidos, especialmente en el modo interactivo y en un sistema de base de datos. Se aconseja la proteccin de los programas y datos temporales alojados en la memoria central, as como recomendable la rpida destuccin de ficheros con informacin confidencial. Las distintas protecciones del software deben registrar el intento de acceso ilegal. Aunque resulta difcil obtener una proteccin eficaz contra el acceso no

autorizado en pequeos sistemas debiendo colocar los ficheros en soportes que slo se manejen a la hora de su empleo.

6.

Resulta importante que el software contenga una documentacin

completa y actualizada que le sirva de referencia al usuario.

Herramienta de auditora especfica: a) La auditora del software bsico, en primer lugar, puede tener por fin la evaluacin de su adaptacin y de su evolutividad as como de su homogeneidad con los otros componentes. Igualmente, la auditora del software bsico puede versar sobre la fiabilidad y/o la seguridad. b) El auditor ha de ser realista pues al examinar el software directamente no puede hacer ms que comprobar reducidos fragmentos, incluso cuando la documentacin existe y est bien hecha. Es indispensable que el auditor adquiera los conocimientos para comprender el funcionamiento y poder intentar encontrar las deficiencias o la mala realizacin como si fuera un sistema de gestin de ficheros ordinarios. c) El auditor ha de examinar la consulta de la documentacin pues sto le indica la complejidad del software o bien su falta de actualizacin.

2. Medios humanos.

Aspectos a tener en cuenta: 1. Las personas tienen su propia finalidad la cul tratan de satisfacer, an as en una empresa se ha de respetar la realizacin de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la ostilidad particular.

2. Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo ha de contar con un escaso nmero de miembros, incluso resulta aconsejable una rotacin de las responsabilidades. 3. Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente. Tambin es importante una formacin y una informacin suficiente para que el personal tenga una visin bastante amplia de los problemas y de las interrelaciones. 4. Se ha de proceder a una verificacin de las informaciones transmitidas y tratadas por cada miembro del personal. Las comprobaciones deben ser tales que se detecte con rapidez el error humano y se rectifique antes de que se produzcan grandes consecuencias. La documentacin e informacin recprocas deben ser suficientes para que nadie resulte insustituible. 5. La seguridad comienza por la seleccin del personal y contina por el control mutuo en la realizacin de las tareas ms importantes. An as, es preciso precaverse contra un posible sabotaje directo o indirecto. 6. Sin informacin no hay motivacin, por tanto los fines y mtodos adoptados han de ser comprendidos y aceptados, a la vez que la formacin del personal es en s mismo una finalidad.

Herramientas de auditora especfica: a) Es conveniente tener el historial general del servicio y de los movimientos del personal. b) Comprobar la adecuacin al plan de los medios humanos por medio de los organigramas y fichas de funcin. c) Los medios humanos del sistema de informaciones son tambin piezas externas al servicio informtico. d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas de consola nos indican la fiabilidad de las operaciones de explotacin. La separacin de funciones, un examen de todas las protecciones materiales y lgicas y un conocimiento de los modos operativos proporcionan en su conjunto la seguridad humana. La realizacin de cursos como la utilizacin de libros y revistas conllevan una mejor documentacin y una mayor formacin.

3. Medios financieros.

La eleccin de los medios financieros ha de considerarse de forma global. No slo consiste en determinar qu equipos fsicos, programas o realizaciones cuestan ms o menos, sino tambin abarca otros aspectos, adems del econmico, tales como: fiabilidad, velocidad de procesamiento, rentabilidad, etc....

Aspectos a tener en cuenta:

1. La adecuacin de los medios financieros a la finalidad se mide por la proporcin entre los gastos exigidos y los resultados (financieros o no) obtenidos.

Los mtodos de control de gestin y contabilidad presupuestaria clsicos sirven para prever y posteriormente controlar la adecuacin a los objetivos. La evolutividad implica un presupuesto no slo flexible sino modulado en el tiempo, ya que los costes son importantes. 2. Los mtodos clsicos de la contabilidad analtica permiten establecer los estndares de homogeneidad de los medios financieros. Tambin es muy til verificar peridicamente si los costes imputados son todava competitivos con relacin a un servicio exterior. 3. Para elaborar un sistema equitativo sera preciso que dos servicios semejantes diera lugar a una misma valoracin. Los costos deben ser registrados de forma fiable, completa y pertinente, y los clculos y agrupaciones efectuados deben ser legtimos. El trabajo del personal debe ser registrado o repartido segn conceptos para que las cifras conserven algn sentido. 4. La seguridad financiera se obtiene por una rentabilidad duradera de la financiacin de hardware y el software. A la hora de la entrega de los equipos informticos, el contrato debe recoger un plan y un informe de gastos que condujo a su eleccin. La garanta de fiabilidad material reside en una clusula que fija el plazo de intervencin, en caso de avera, y el grado de fiabilidad de los componentes. Tambin puede contratarse un seguro para una garanta eficaz de los equipos. 5. Tanto los contratos de adquisicin y seguro como los documentos contables comprenden la documentacin sobre los medios financieros.

Herramientas de auditora especfica: a) Unos mnimos conocimientos por el auditor a nivel de contabilidad analtica y presupuestaria as como de derecho comercial y seguros, con lo que podr comprobar la existencia y la adecuacin de los presupuestos de inversin, la

correccin de las previsiones y medios de control, as como la forma de financiacin.

b) Para la seguridad de los medios financieros el auditor consultar todos los documentos contractuales que vinculan a la empresa.

Capitulo 2.

Metodologa de la auditoria informtica

Leccin 1. Etapas del mtodo de trabajo


El mtodo de trabajo del auditor pasa por las siguientes etapas: 23 Alcance y Objetivos de la Auditora Informtica. Estudio inicial del entorno auditable. Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del plan y de los Programas de Trabajo. Actividades propiamente dichas de la auditora. Confeccin y redaccin del Informe Final. Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final.

23

http://www.monografias.com/trabajos5/audi/audi2.shtml

Alcance y Objetivos de la Auditoria Informtica: El alcance de la Auditoria expresa los lmites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A efectos de delimitar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la Auditoria, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.

Las personas que realizan la Auditoria han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos especficos, stos se aadirn a los objetivos generales y comunes de a toda Auditoria Informtica: La operatividad de los Sistemas y los Controles Generales de Gestin Informtica. Estudio inicial del entorno auditable. Para realizar dicho estudio se deben examinar las funciones y actividades generales de la informtica. Para su realizacin el auditor debe conocer lo siguiente:

Organizacin: Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:

Organigrama: El organigrama expresa la estructura oficial de la organizacin a auditar. Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia.

Departamentos: Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos. Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes. Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el contrario, indican relaciones no estrictamente subordinables. Flujos de Informacin: Adems de las corrientes verticales

intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extradepartamentales. Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontneamente canales alternativos de informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos canales alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa. Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades personales o simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones en la organizacin. Nmero de Puestos de trabajo: El equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la organizacin corresponden a las funciones reales distintas.

Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la existencia de funciones operativas redundantes. Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer

tal circunstancia y expresarn el nmero de puestos de trabajo verdaderamente diferentes.

Nmero de personas por Puesto de Trabajo: Es un parmetro que los auditores informticos deben considerar. La inadecuacin del personal determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organizacin. Entorno Operacional: El equipo de Auditoria informtica debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

Situacin geogrfica de los Sistemas: Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos en la empresa. A continuacin, se verificar la existencia de responsables en cada unos de ellos, as como el uso de los mismos estndares de trabajo.

Arquitectura y configuracin de Hardware y Software: Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuracin de los sistemas esta muy ligada a las polticas de seguridad lgica de las compaas. Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de los equipos.

Inventario de Hardware y Software: El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y remotas, perifricos de todo tipo, etc.

El inventario de software debe contener todos los productos lgicos del Sistema, desde el software bsico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.

Comunicacin y Redes de Comunicacin: En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas principales de las lneas, as como de los accesos a la red pblica de comunicaciones. Igualmente, poseern informacin de las Redes Locales de la Empresa.

Aplicaciones bases de datos y archivos: El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informticos realizados en la empresa auditada. Para ello debern conocer lo siguiente: Volumen, antigedad y complejidad de las Aplicaciones Metodologa del Diseo: Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondr de manifiesto. Documentacin: La existencia de una adecuada documentacin de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La documentacin de programas disminuye gravemente el mantenimiento de los mismos. Cantidad y complejidad de Bases de Datos y Archivos: El auditor recabar informacin de tamao y caractersticas de las Bases de Datos, clasificndolas en relacin y jerarquas. Hallar un promedio de nmero de accesos a ellas por hora o das. Esta operacin se repetir con los archivos, as como la frecuencia de actualizaciones de los mismos. Estos datos

proporcionan una visin aceptable de las caractersticas de la carga informtica.

Determinacin de los recursos necesarios para realizar la Auditoria: Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la Auditoria.

Recursos materiales: Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos:

Recursos materiales Software: Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se aaden a las ejecuciones de los procesos del cliente para verificarlos. Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

Recursos materiales Hardware : Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cul habr de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.

Recursos Humanos: La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado depende de la materia auditable.

Es igualmente reseable que la Auditoria en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.

Elaboracin del plan y de los Programas de Trabajo: Una vez asignados los recursos, el responsable de la Auditoria y sus colaboradores establecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es ms compleja y costosa. Si la Auditoria es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios, sino las especialidades necesarias del personal. o En el plan no se consideran calendarios, porque se manejan recursos genricos y no especficos. o En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios. o En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. o El Plan establece disponibilidad futura de los recursos durante la revisin. o El Plan estructura las tareas a realizar por cada integrante del grupo. o En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.

Actividades propiamente dichas de la Auditoria: Auditoria por temas generales o por reas especficas: La Auditoria Informtica general se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos. Cuando la Auditoria se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con menor calidad.

Confeccin y redaccin del Informe Final. La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.

Estructura del informe final: El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura,

responsabilidad y puesto de trabajo que ostente.

Definicin de objetivos y alcance de la auditora. Enumeracin de temas considerados: Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora.

Cuerpo expositivo: Para cada tema, se seguir el siguiente orden a saber: a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real. b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. c) Puntos dbiles y amenazas. d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica. Redaccin posterior de la Carta de Introduccin o Presentacin.

Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final. La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora. As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la citada carta de Introduccin. La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 folios. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones.

Leccin 2: Tcnicas de auditoria


Las tcnicas, procedimientos herramientas de auditoria son utilizadas por el auditor para hacer una evaluacin correcta del funcionamiento del rea de sistemas computacionales. El auditor las disea, utiliza y adecua a las necesidades especficas requeridas en el ambiente de sistemas.

Tcnicas de auditoria

Las tcnicas son las herramientas de las que se vale el auditor para obtener la evidencia del objeto auditado. Los tipos de tcnicas con fundamentar su opinin son: 24 los cuales puede

Tcnicas oculares: Observacin: consiste en cerciorarse en forma ocular como ciertos

hechos o procedimientos operativos y de control establecidos se llevan a cabo en la empresa. Comparacin: es el estudio de los casos o hechos para igualar, descubrir, diferenciar, examinar con fines de descubrir diferencias o semejanzas. Revisin: consiste en el examen ocular y rpido con fines de separar mentalmente las transacciones que no son normales o que reviste un indicio especial en cuanto a su originalidad o naturaleza.

Tcnicas verbales: Indagacin: consiste en obtener informacin verbal de los empleados de la entidad a travs de averiguaciones y conversaciones sobe diversos hechos, datos y situaciones el proceso de la auditoria como por ejemplo polticas generales de la empresa, procedimientos de control,

24

http://www.mailxmail.com/curso/empresa/auditoria/capitulo3.htm

contingencias entre otras.

Es una

tcnica en la que hay que tener

mucho cuidado cuando se pregunta, hay que saber hacerla.

Tcnicas escritas: Anlisis: permite examinar una cuenta en cuanto a su movimiento y saldo, para establecer su razonabilidad conforme la teora contable y a los aspectos jurdicos relacionados, en el caso de la auditoria financiera consolidacin: consiste en hacer que concuerde dos cifras

independientes. ejemplo. conciliacin bancaria, etc. confirmacin: permite comprobar por escrito, informacin proveniente de terceros, en relacin con la informacin financiera de la empresa auditada.

Leccin 3. Procedimientos de auditoria


Los procedimientos de auditora: 25 son las actividades que deben realizarse para obtener evidencias. Estos procedimientos se denominan normalmente pruebas, las cuales pueden ser de cumplimiento, sustantivas y de doble finalidad.

Las pruebas de cumplimiento, tienen como objetivo, confirmar si los procedimientos de control interno estn siendo operados adecuadamente y adems, si garantizan la confiabilidad de los procesos.

Las pruebas sustantivas son las que se realizan con el objeto de establecer la exactitud de los procesos.

25

PINILLA, Jos. Auditoria Informtica. Un enfoque operacional. Bogota, ECOE Ediciones. 1997

Las pruebas de doble finalidad, son las que se hacen con objetivos de cumplimiento y sustantivo a la vez. Evidencias: 26 La recopilacin de material que ayude en la generacin de una opinin lo ms correcta posible es un paso clave en el proceso de la auditoria. El auditor debe conocer las diversas formas de evidencias y de como estas pueden ser recopiladas y examinadas para respaldar los hallazgos de la auditoria.

Una vez recopilada evidencia suficiente, subsecuentemente se evala la informacin recopilada con la finalidad de emitir opiniones y

recomendaciones finales.

Evidencia ocular:

Comparacin; es observar la similitud o diferencia existente entre dos o ms elementos. Observacin; es el examen ocular para cerciorarse como se ejecutan las operaciones.

Evidencia Oral: se obtiene de otras personas en forma de declaraciones hechas en el curso de investigaciones o entrevistas. Las declaraciones que sean importantes para la auditoria debern corroborarse siempre que sea posible mediante evidencia adicional. Tambin ser necesario evaluar la evidencia testimonial para cerciorarse que los informantes no hayan estado influidos por prejuicios o tuvieran slo un conocimiento parcial del rea auditada.
26

VILCHES, Troncoso Ricardo. Apuntes del estudiante de auditoria. P 49

Indagacin; es el acto de obtener informacin verbal sobre un asunto mediante averiguaciones directas o conversaciones con los

funcionarios de la empresa. Entrevistas; pueden ser efectuadas al personal de la empresa auditada o personas beneficiarias de los programas o proyectos. Encuestas; pueden ser tiles para recopilar informacin de un gran universo de datos o grupos de personas.

Evidencia Escrita: Analizar; consiste en la separacin y evaluacin crtica, objetiva y minuciosa de los elementos o partes que conforman una operacin, actividad, transaccin o proceso, con el fin de establecer su naturaleza, su relacin y conformidad con los criterios normativos y tcnicos existentes. Confirmacin; es la tcnica que permite comprobar la autenticidad de los registros y documentos analizados, a travs de informacin directa y por escrito, otorgada por funcionarios que participan o realizan las operaciones sujetas a examen. Tabulacin; es la tcnica de auditoria que consiste en agrupar los resultados obtenidos en reas, segmentos o elementos examinados, de manera que se facilite la elaboracin de conclusiones. Conciliacin; implica hacer que concuerden los conjuntos de datos relacionados, separados e independientes.

Evidencia Documental: consiste en la informacin elaborada, como la contenida en cartas, contratos, registros de contabilidad, facturas y documentos de administracin relacionados con su desempeo. Comprobacin; se aplica en el curso de un examen, con el objeto de verificar la existencia, legalidad, autenticidad y legitimidad de las

operaciones efectuadas por una empresa, mediante la verificacin de los documentos que las justifiquen. Computacin; se utiliza para verificar la exactitud y correccin aritmtica de una operacin o resultado. Rastreo; es utilizada para dar seguimiento y controlar una operacin de manera progresiva, de un punto a otro de un proceso interno determinado o, de un proceso a otro realizado por una unidad operativa dada.

Evidencia analtica: comprende clculos, comparaciones, razonamiento y separacin de informacin en sus componentes.

Evidencia fsica: es el examen fsico y ocular de activos, obras, documentos y valores, con el objeto de establecer su existencia y autenticidad. Esta evidencia se obtiene mediante inspeccin u

observacin directa de las actividades, bienes y/o sucesos. La evidencia de esa naturaleza puede presentarse en forma de memorando (donde se resuman los resultados de la inspeccin o de otra observacin), fotografas, grficas, mapas o muestra materiales.

Leccin 4. Herramientas de auditoria


Dentro de las Herramientas de auditoria27, que puede utilizar el auditor se encuentran:

Cuestionarios Las Auditorias informticas se materializan consiguiendo informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los

27

www.monografias.com. Auditoria informtica. Trabajo enviado por: canaves@infovia.com.ar

diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin evidencias.

Para esto, suele ser lo habitual comenzar solicitando el diligenciamiento de cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la

documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la Auditoria.

Entrevistas

El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada

por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.

La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.

Checklist El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para el cumplimiento sistemtica de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un

procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El

profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma.

Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente a travs de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin. Las empresas externas de Auditoria Informtica guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica.

El auditor deber aplicar el Checklist de modo que el auditado responda clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas

equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido

contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa" de calificacin o evaluacin:

o Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo). Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la evaluacin que en los checklist binarios. Sin embargo, la bondad del mtodo depende excesivamente de la formacin y competencia del equipo auditor.

o Checklist Binaria Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente. Los Checklists Binarios siguen una elaboracin inicial mucho ms ardua y compleja. Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genrico del <si o no> frente a la mayor riqueza del intervalo.

No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin correspondientes en las preguntas a realizar.

Trazas y/o Huellas Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo.

Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan los lmites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la Auditoria informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, perifricos, etc.

Log El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se hace es volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la informacin que est en el Sistema o que existe dentro de la base de datos.

Software de Interrogacin Hasta hace ya algunos aos se han utilizado productos software llamados genricamente <paquetes de Auditoria>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico.

Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin.

En la actualidad, los productos Software especiales para la Auditoria informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin.

Del mismo modo, la proliferacin de las redes locales y de la filosofa "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin ms relevante para su trabajo.

Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la Auditoria) a recabar informacin de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe realizarse principalmente con los productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos

Leccin 5. Elaboracin y redaccin del Informe Final


Los papeles de trabajo
El registro eficiente de la informacin que el auditor va recolectando en su evaluacin, es uno de los aspectos fundamentales de la auditoria, esta informacin le sirve al auditor para respaldar las opiniones que expresa en el informe de auditoria y puede ser recolectada en documentos manuscritos, manuales, instructivos, graficas, resultados de procesamiento o en medios electromagnticos (discos duros, discos flexibles, cintas, cartuchos, CD-ROM, DVD) , en los cuales recopilara hechos pruebas, tabulaciones interpretaciones, as como el anlisis de los datos obtenidos.

En estos papeles de trabajo bien sean documentos o electromagnticos, el auditor seala y destaca las observaciones que son de inters para l, con el fin de fundamentar el resultado de su evaluacin, tambin le sirven para mantener el sentido e importancia de las desviaciones que encontr durante la revisin, as como tambin para establecer las posibles causas de las desviaciones y para proponer las probables soluciones que reporta como parte de su trabajo.

Concepto
Los papeles de trabajo hacen referencia al conjunto de documentos preparados por el auditor, los cuales le permiten disponer de la informacin y de las pruebas efectuadas durante su trabajo profesional en la empresa, as como tambin de las decisiones tomadas para fundamentar su opinin, tambin permiten el registro eficiente de la informacin que se recolecta en el proceso de evaluacin, la planificacin, la ejecucin, supervisin y revisin de la auditoria as como tambin trabajo llevado a cabo para respaldar la opinin del auditor. Los papeles de trabajo deben presentar la informacin requerida en forma clara y plena de significado, deben ser detallados y completos. Se elaboran en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su proteccin sin peligro y su confidencialidad ya que el suministrar la evidencia del

auditor va integrando en los papeles de trabajo documentos reservados y de uso exclusivo de la empresa.

Objetivos de los papeles de trabajo


En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes: 28 El objetivo general de los papeles de trabajo es ayudar al auditor a garantizar en forma adecuada que una auditoria se hizo de acuerdo a las normas de auditoria generalmente aceptadas. Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo. Presentar informes a las partes interesadas. Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente. Facilitar la continuidad del trabajo en el caso de que un rea deba ser terminada por persona distinta de la que la inici. Facilitar la labor de revisiones posteriores y servir para la informacin y evaluacin personal. Anotar los hechos, acontecimientos y fenmenos observados durante la revisin Coordinar y organizar todas las fases del trabajo. Servir de gua en revisiones subsecuentes. Facilitar la preparacin del informe. Comprobar y explicar en detalle las opiniones y conclusiones resumidas en el informe. Se utilizan para transcribir y concentrar los resultados de entrevistas, cuestionarios, encuestas, investigaciones y observaciones del personal auditado. Proveer un registro histrico permanente de la informacin examinada y los procedimientos de auditoria aplicados. Se utiliza como memoria puntualizada del registro de la evaluacin de los documentos formales del rea, de los resultados de las pruebas que se aplican en el sistema y de cualquier otra evidencia documental o sistematizada que se utilice para concentrar la informacin relacionada con la administracin y seguridad del rea de sistemas, la operacin del sistema, el comportamiento de las bases de datos o cualquier otro aspecto que afecte la operacin normal del rea o de los sistemas auditados.

28

http/www.eumed.net/cursecon/librera/rgl-genaud/index.htm. Generalidades en la auditoria informtica. Roberto Gmez Lpez

Tipos de papeles de trabajo


En funcin de la fuente de la que procedan los papeles de trabajo, stos se podrn clasificar en tres grupos:
29

Preparados por la entidad auditada. Se trata de toda aquella documentacin que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos

Confirmaciones de terceros. Una parte del trabajo de auditoria consiste en la verificacin de los saldos que aparecen en el balance de situacin a auditar.

Preparados por el auditor. Este ltimo grupo estar formado por toda la documentacin elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes captulos de los estados financieros, cuentas, transacciones y otros.

Contenido del legajo de los papeles de trabajo


Los siguientes enunciados dan una idea de la cantidad minina de documentos, con los que el auditor puede integrar los papeles de trabajo, pero tambin el auditor puede utilizar su criterio personal, experiencia y conocimiento para determinar el contenido y orden de los mismos, lo importante es que dichos papeles existan.

El contenido puede variar dependiendo del tipo de auditoria y del auditor, ya que en cada trabajo existen procedimientos, tcnicas y mtodos de evaluacin especiales que forzosamente harn diferente la recoleccin de los documentos. Una propuesta para integrar los papeles de trabajo puede ser: 30 Hoja de identificacin ndice de contenido de los papeles de trabajo Dictamen preliminar (borrador)
29

http/www.eumed.net/cursecon/librera/rgl-genaud/index.htm. Generalidades en la auditoria informtica. Roberto Gmez Lpez 30 MUOZ, Razo Carlos. Auditoria en sistemas computacionales. Mxico. Pearson Educacin. 2002. p. 247

Resumen de desviaciones detectadas Situaciones encontradas (situaciones, causas y soluciones) Programa de trabajo de auditoria Gua de auditoria Inventario de software Inventario de hardware Inventario de consumibles Manual de organizacin Descripcin de puestos Reportes de pruebas y resultados Backups de de datos, disquetes y programas de aplicacin de auditoria Backups de las bases de datos y de los sistemas Guas de claves para el sealamiento de los papeles de trabajo Cuaros y estadisticas concentradores de informacin Anexos de recopilacin de informacin Diagramas de flujo, de programacin y desarrollo de sistemas Anlisis y estadsticas de resultados, datos y pruebas de comportamiento del sistema Testimoniales, actas y documentos legales de comprobacin y confirmacin31

Marcas de auditoria e indices de referencia


Las marcas son claves de carcter informal que utiliza exclusivamente el auditor, con el fin de facilitar la uniformidad de los papeles de trabajo y para identificarlos mejor. Su utilidad esta en que tienen un dignificado preciso que todos los auditores conocen y utilizan para destacar aspectos importantes de los documentos que van revisando, y en que sirven como identificadores uniformes de todas las actividades que se desarrollan durante la evaluacin; todos los auditores deben utilizar los mismos smbolos al hacer las anotaciones en los documentos que evalen.

Las marcas tambin ayudan al auditor a: Realizar un resumen de observaciones para identificar de manera rpida y sencilla las posibles desviaciones y estandarizar su trabajo siempre y cuando sean las mismas para toda la revisin Evitar copias intiles de papeles de evaluacin y documentos oficiales, los cuales sirven para identificar los aspectos revisados, como apoyo para la evaluacin.

31

MUOZ, Razo Carlos. Auditoria en sistemas computacionales. Mxico. Pearson Educacin. 2002. p. 247

Facilitar la revisin de documentos impresos, de disquetes, bases de datos y todo lo relacionado con los sistemas evaluados.

No existe un convenio formal respecto al tipo de marcas utilizadas entre un auditor y otro, su diseo es producto de las experiencias de auditoria anteriores compartidas entre los auditores. Sin embargo por sentido comn se unifican las marcas o smbolos que se utilizan en los papeles de trabajo; algunos ejemplos de marcas son:

CUES EP EU EF OBS

com
ENT VIR !! ?

Cuestionario Entrevista al personal Entrevista usuario Entrevista funcionario Observacin Comentario especial Entrevista Virus informtico, contaminado Observacin importante Confirmar preguntas disco

El Informe final El informe de auditoria debe estar basado en la documentacin o papeles de trabajo. La funcin de la Auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.

Estructura del informe final El informe comienza con la fecha de comienzo de la Auditoria y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura,

responsabilidad y puesto de trabajo que ostente.

Definicin de objetivos y alcance de la Auditoria Declaracin de los objetivos de la auditoria para identificar su propsito sealando los objetivos incumplidos

Enumeracin de temas considerados Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la Auditoria.

Cuerpo expositivo Para cada tema, se seguir el siguiente orden a saber: Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real. Tendencias: Se tratarn de hallar parmetros que permitan establecer tendencias futuras. Puntos dbiles y amenazas. Recomendaciones y planes de accin: Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la Auditoria informtica. Redaccin posterior de la Carta de Introduccin o Presentacin. Modelo conceptual de la exposicin del informe final El informe debe incluir solamente hechos importantes. La inclusin de hechos poco relevantes o accesorios desva la atencin del lector. El Informe debe consolidar los hechos que se describen en el mismo. El trmino de "hechos consolidados" adquiere un especial significado de

verificacin objetiva y de estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios: o El hecho debe poder ser sometido a cambios. o Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin. o No deben existir alternativas viables que superen al cambio propuesto. o La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y estndares existentes en la instalacin.

La aparicin de un hecho en un informe de Auditoria implica necesariamente la existencia de una debilidad que ha de ser corregida. Flujo del hecho o debilidad Hecho encontrado. Ha de ser relevante para el auditor y pera el cliente. Ha de ser exacto, y adems convincente. No deben existir hechos repetidos. Consecuencias del hecho Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. Repercusin del hecho Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la empresa. Conclusin del hecho No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy extensa o compleja. Recomendacin del auditor informtico Deber entenderse por s sola, por simple lectura. Deber estar suficientemente soportada en el propio texto. Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin.

La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.

Redaccin de la carta de presentacin del Informe final: La carta de introduccin tiene especial importancia porque en ella ha de resumirse la Auditoria realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la Auditoria.

As como pueden existir tantas copias del informe Final como solicite el cliente, la Auditoria no har copias de la citada carta de Introduccin.

La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 folios. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones. CRMR (Computer resource management review)

Capitulo 3.

El auditor

Leccin 1. Normas que regulan el comportamiento del auditor


Las normas que regulan el comportamiento del auditor se pueden clasificar de la siguiente manera: 32 Normas permanentes de carcter profesional: son aquellas que debe cumplir invariablemente el profesional dedicado a la actividad de la auditoria de sistemas computacionales; el auditor no debe admitir bajo ninguna circunstancia variacin alguna respecto a la aplicacin y cumplimiento de dichas normas. Esto se debe a que es obligacin profesional (deber tico, moral y profesional) del propio auditor y del personal que colabora con l, hacer una cabal observancia de dichas normas a fin de mantener su prestigio y credibilidad en las empresas donde realice su evaluacin. Entre los casos ms relevantes encontramos los siguientes: Emitir una opinin responsable y profesional respaldada en evidencias comprobadas: una auditora solamente es vlida cuando est debidamente fundamentada por tcnicas, mtodos y procedimientos de carcter profesional que han sido previamente aprobados y comprobados; estos mtodos son un soporte para que el auditor, apoyado en su experiencia y conocimientos de la materia, emita una opinin confiable y de tipo profesional. La opinin fundamentada del auditor le hace confiable en los juicios que emite

Mantener una disciplina profesional: al igual que en cualquier profesin e incluso en algunas de las actividades laborales, sociales y cotidianas de la vida, un profesional de la auditora tambin debe mantener una actuacin permanentemente profesional por encima de cualquier cosa, tanto en el aspecto laboral como el personal, lo cual slo se logra con constancia, voluntad y una frrea disciplina. Guardar el secreto profesional: debido a que el auditor est en contacto con informacin confidencial de la empresa que audita, es su obligacin no slo profesional sino tambin tica y moral, que en todos los casos mantenga el secreto profesional, tanto de la informacin que le es confiada como de los resultados de su evaluacin. Por ningn motivo debe dar a conocer la informacin que le fue confiada.

32

MUOZ, Razo Carlos. Auditoria en sistemas computacionales. Mxico. Pearson Educacin. 2002.

Tener independencia mental: tambin se debe considerar que para ser auditor no slo hay que trabajar en ello, sino tener una aptitud, competencia y disposicin profesional de tipo muy especial, caracterizada por una actitud mental independiente que siempre debe estar libre de cualquier influencia. Adems, el auditor debe tener los suficientes conocimientos, habilidades y experiencia para saber evitar las influencia de cualquier gnero, as como las amenazas y los aspectos sentimentales que encontrar en la realizacin de su trabajo. Para ser auditor hay que ser independiente de pensamiento, palabra y actuacin.

Contar con responsabilidad profesional: si se considera que no es lo mismo ser un profesional que trabaja en la auditora que ser un profesional de la auditora, es evidente que no slo hay que laborar como auditor para sobrevivir, sino que hay que actuar y pensar como verdadero profesional de la auditora; lo anterior se refleja en la forma de aceptar la responsabilidad que se tiene para cumplir con las actividades de una auditora; sta no slo es una norma y obligacin profesional, sino que es un requisito tico, moral y personal para actuar como auditor. No slo hay que laborar como auditor, tambin hay que aceptar la responsabilidad que esto implica.

Capacitacin y adiestramiento permanentes: como en toda actividad profesional, el auditor tambin requiere de una constante capacitacin profesional, laboral y tcnica, para que adquiera nuevos conocimientos de mtodos, procedimientos y herramientas de evaluacin que le ayuden a desempear mejor su trabajo. La capacitacin puede ser de carcter formal o informal, de tipo acadmico, laboral o personal. Lo importante es que estos profesionales se capaciten constantemente para realizar mejor su actividad profesional. Para el auditor, la capacitacin es la herramienta fundamental para el buen desempeo de su actividad profesional.

Hacer una planeacin de la auditora y de los programas de evaluacin: para realizar un buen trabajo de auditoria, es necesario que

para cualquier tipo de auditora que practique, el auditor se apoye en una previa planeacin de todas las actividades, herramientas y recursos que deba utilizar, incluyendo los planes, programas y presupuestos, no slo de los recursos a utilizar, sino tambin de las tcnicas, mtodos y procedimientos de auditora. Es evidente que esta actividad es producto de normas y obligaciones de tipo profesional y permanentes. La planeacin de la auditora es la herramienta indispensable para un buen desarrollo y cumplimiento profesional de la misma.

Hacer la presentacin del dictamen por escrito, as como la aclaracin de diferencias: el informe que presente el auditor debe ser lo ms confiable posible, con lenguaje claro, bien estructurado y debe contener todos los aspectos fundamentales que apoyan su opinin como profesional, evitando en todos los casos la subjetividad en lo evaluado; la mejor forma de lograrlo es presentar este informe por escrito, a fin de no dejar dudas sobre lo que se est informando. Adems, no basta con presentarlo por escrito, tambin es un requisito normado y una obligacin profesional que el contenido del informe est comentado con los involucrados en la revisin y, si es el caso, deben estar aclaradas las posibles divergencias y dudas que surjan entre el auditor y el auditado. Esto le dar al auditor su carcter profesional. El informe de auditora es un documento legal que no debe ser ocultado a los auditados ni ser presentado a sus espaldas, sino que les debe ser presentado con pleno conocimiento de su contenido.

Normas de carcter social: El auditor, como todo profesional y cualquier ciudadano, vive en una sociedad en la cual desempea su actividad profesional y a la cual sirve con su trabajo. Dicha sociedad se rige por una serie do normas y obligaciones, muchas de ellas no escritas, pero s aceptadas por los integrantes de esa comunidad. Entre las normas de carcter social que regulan la actuacin del auditor estn: Acatar las normas y obligaciones de carcter social: al convivir con un grupo de personas dentro de un ncleo de la sociedad, el auditor debe

La planeacin de la auditora es la herramienta indispensable para un buen desarrollo y cumplimiento profesional de la misma.

regir su conducta con las normas y lineamientos que regulan la actuacin de cualquier profesional. Estas normas y obligaciones sociales, que por lo general no estn establecidas por escrito, son las que determinan la actuacin de este tipo de profesionales y en general de toda la sociedad. Respetar a las autoridades, leyes, normas y reglamentos: dentro de las enseanzas de carcter social que desde pequeos se nos inculcan en la familia y en la sociedad, se encuentra el aprendizaje del civismo, por medio del cual se nos ensea a respetar y acatar, entre otras cosas, lo determinado por la normas, leyes y reglamentos que regulan el comportamiento de las personas que cohabitan dentro de un conglomerado social; tambin se nos inculca el respeto a las autoridades y disposiciones sociales. Es requisito de carcter social que el auditor sepa respetar y hacer cumplir las disposiciones y normas emanadas de las autoridades que regulan su actividad profesional, tanto en su actuacin con las empresas que audita como con la personas que trata en la realizacin de una auditora. Evitar y prevenir sobornos, componendas y ddivas: es requisito indispensable, sin admitir ninguna variacin al respecto, que el auditor prevenga y evite cualquier tipo de soborno, componenda o ddiva que pudieran resultar de su actividad profesional. Ser leal con los auditados: un requisito indispensable para el auditor, tambin de comportamiento social, tico, profesional y moral, es que debe ser leal con las empresas que audita y con el personal que labora dentro de ellas. No es vlido ni profesional ser desleal con quienes se audita. Adems, cumplir con esta obligacin, en mucho le ayuda a fundamentar sus relaciones con las empresas, con sus colegas y con la sociedad en general. Contar con una opinin profesional y defenderla: al emitir el informe de una auditoria y plasmar su opinin en un dictamen, el auditor demuestra a la sociedad que tiene una opinin personal, la cual fundamenta en la aplicacin de sus tcnicas, mtodos y procedimientos de auditora, misma que defiende por medio de su opinin profesional, la

cual est cimentada por las evidencias que obtiene al realizar su trabajo; eso es lo que espera la colectividad de este profesional. Por esta razn, la comunidad le confiere al auditor una gran calidad moral, social y profesional, ya que da por hecho que su actuacin est apegada a una estricta tica profesional y personal, la cual demuestra con la opinin que emite y defiende. Emitir un dictamen con firma profesional: La sociedad, las autoridades y los responsables de las empresas auditadas reclaman que el informe que emite el auditor est respaldado por una firma profesional, ya sea la de una empresa que avale su actuacin o la del propio auditor. Este profesional debe estar avalado y certificado por las autoridades y asociaciones de profesionales del ramo para ejercer esta actividad. Contar con apoyo didctico y normativo vigente: Para ejercer la profesin de auditor, tambin es requisito contar con el apoyo didctico y normativo que est vigente en esta actividad, ya que la sociedad, las empresas y sus ejecutivos y empleados reclaman que al realizar esta actividad, el auditor cuente con la capacitacin y conocimientos ms adelantados y vigentes de su profesin. Normas de comportamiento tico-moral: las normas de conducta que como profesional debe acatar el auditor, dentro de un estricto sentido tico y moral son las siguientes. Ser incorruptible e insobornable: en las normas de carcter social, se sealo, que es requisito indispensable, sin admitir ninguna variacin al respecto, que el auditor sea insobornable e incorruptible y que no haya ninguna duda respecto a su actuacin en la evaluacin que est realizando. Esta cualidad moral, ms que norma y obligacin, es la que da la confianza en la actuacin de un profesional de la auditora. Alterar en algo el informe de la auditora para minimizar, no informar o modificar lo encontrado en una evaluacin no es una actitud tica del auditor, mucho menos moral ni profesional. Si esta actitud se deriva de sobornos, corruptelas y componendas para alterar su opinin, este pseudoauditor carece de calidad profesional. Igual si obedece a otro tipo de intereses ajenos a los fines de la auditora. Ser imparcial en los juicios que emite como auditor: se debe ser imparcial, esto con el propsito de poder emitir un juicio acertado y ecunime respecto a lo que se est evaluando. El cumplimiento de esta

cualidad o norma tico-moral es lo que le da validez y vigencia a la profesin de auditor, debido a que, al emitir un dictamen, ste se hace libre de cualquier presin e influencia y sin ningn sesgo ni parcialidad; el auditor slo debe informar de lo que realmente observ. Adems, debe fundamentar su opinin en las evidencas y pruebas que obtuvo con los mtodos, tcnicas y herramientas de auditora que utiliz. Esto no slo es una norma tico-moral, sino profesional y laboral. Contar con un juicio sereno, tico y moral: tambin fue sealado en los elementos de juicio que el objetivo final de una evaluacin es emitir un dictamen sobre los aspectos quo se estn evaluando a la luz de las tcnicas que utilice el auditor. Por esta razn, es importante identificar los elementos sealados en ese punto y los criterios y obligaciones de carcter tico y moral que adquiere este profesional al emitir un dictamen, mismo que fundamenta en un juicio sereno, el cual apoya con las evidencias de que dispone y con las pruebas obtenidas con sus herramientas de evaluacin. Acatar y hacer cumplir las normas morales y ticas: Parece reiterativo decir que el auditor debe acatar y hacer cumplir las normas tico-morales que regulan su actuacin como profesional, lo cual se aplica invariablemente a su actuacin tanto en el mbito profesional, como en el mbito personal y social. Esto es lo que esperan de su actuacin los funcionarios y empleados de las empresas que audita, sus colegas, las asociaciones a las que pertenezca y la comunidad en general. Todos esperan que su actuacin como auditor se apegue invariablemente a un estricto cumplimiento de las normas morales y ticas que regulan a la sociedad.

Leccin 2. Fraude informtico


Fraude informtico 33

33

www.monografias.com. Delitos informticos. LANDAVERDE, Melvin, SOTO, Joaquin y TORRES, Jorge

A nadie escapa la enorme influencia que ha alcanzado la informtica en la vida diaria de las personas y organizaciones, y la importancia que tiene su progreso para el desarrollo de un pas. Las transacciones comerciales, la comunicacin, los procesos industriales, las investigaciones, la seguridad, la sanidad, etc. son todos aspectos que dependen cada da ms de un adecuado desarrollo de la tecnologa informtica. Junto al avance de la tecnologa informtica y su influencia en casi todas las reas de la vida social, ha surgido una serie de comportamientos ilcitos denominados, de manera genrica, delitos informticos. Conceptualizacin Fraude puede ser definido como engao, accin contraria a la verdad o a la rectitud. La definicin de Delito puede ser ms compleja. Muchos estudiosos del Derecho Penal han intentado formular una nocin de delito que sirviese para todos los tiempos y en todos los pases. Esto no ha sido posible dada la ntima conexin que existe entre la vida social y la jurdica de cada pueblo y cada siglo, aquella condiciona a sta. Segn el ilustre penalista CUELLO CALON, los elementos integrantes del delito son:

El delito es un acto humano, es una accin (accin u omisin) Dicho acto humano ha de ser antijurdico, debe lesionar o poner en peligro un inters jurdicamente protegido. Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto tpico. El acto ha de ser culpable, imputable a dolo (intencin) o a culpa (negligencia), y una accin es imputable cuando puede ponerse a cargo de una determinada persona La ejecucin u omisin del acto debe estar sancionada por una pena. Por tanto, un delito es: una accin antijurdica realizada por un ser humano, tipificado, culpable y sancionado por una pena.

Se podra definir el delito informtico como toda accin (accin u omisin) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilcito a su autor aunque no perjudique de forma directa o indirecta a la vctima, tipificado por La Ley, que se realiza en el entorno informtico y est sancionado con una pena. De esta manera, el autor mexicano Julio TELLEZ VALDEZ seala que los delitos informticos son "actitudes ilcitas en que se tienen a las computadoras como instrumento o fin (concepto atpico) o las conductas tpicas, antijurdicas y culpables en que se tienen a las computadoras como instrumento o fin (concepto tpico)". Por su parte, el tratadista penal italiano Carlos SARZANA, sostiene que los delitos informticos son "cualquier comportamiento criminal en que la computadora est involucrada como material, objeto o mero smbolo".

Antecedentes En la actualidad los computadores se utilizan no solo como herramientas auxiliares de apoyo a diferentes actividades humanas, sino como medio eficaz para obtener y conseguir informacin, lo que las ubica tambin como un nuevo medio de comunicacin, y condiciona su desarrollo de la informtica; tecnologa cuya esencia se resume en la creacin, procesamiento, almacenamiento y transmisin de datos. La informtica esta hoy presente en casi todos los campos de la vida moderna. Con mayor o menor rapidez todas las ramas del saber humano se rinden ante los progresos tecnolgicos, y comienzan a utilizar los sistemas de Informacin para ejecutar tareas que en otros tiempos realizaban manualmente. El progreso cada da ms importante y sostenido de los sistemas computacionales permite hoy procesar y poner a disposicin de la sociedad una cantidad creciente de informacin de toda naturaleza, al alcance concreto de millones de interesados y de usuarios. Las ms diversas esferas del conocimiento humano, en lo cientfico, en lo tcnico, en lo profesional y en lo

personal estn siendo incorporadas a sistemas informticos que, en la prctica cotidiana, de hecho sin limitaciones, entrega con facilidad a quien lo desee un conjunto de datos que hasta hace unos aos slo podan ubicarse luego de

largas bsquedas y selecciones en que el hombre jugaba un papel determinante y las mquinas existentes tenan el rango de equipos auxiliares para imprimir los resultados. En la actualidad, en cambio, ese enorme caudal de conocimiento puede obtenerse, adems, en segundos o minutos, transmitirse incluso documentalmente y llegar al receptor mediante sistemas sencillos de operar, confiables y capaces de responder casi toda la gama de interrogantes que se planteen a los archivos informticos. Puede sostenerse que hoy las perspectivas de la informtica no tienen lmites previsibles y que aumentan en forma que an puede impresionar a muchos actores del proceso. Este es el panorama de este nuevo fenmeno cientfico tecnolgico en las sociedades modernas. Por ello ha llegado a sostenerse que la Informtica es hoy una forma de Poder Social. Las facultades que el fenmeno pone a disposicin de Gobiernos y de particulares, con rapidez y ahorro consiguiente de tiempo y energa, configuran un cuadro de realidades de aplicacin y de posibilidades de juegos lcito e ilcito, en donde es necesario

el derecho para regular los mltiples efectos de una situacin, nueva y de tantas potencialidades en el medio social. Los progresos mundiales de las computadoras, el creciente aumento de las capacidades de almacenamiento y procesamiento, la miniaturizacin de los chips de las computadoras instalados en productos industriales, la fusin del proceso de la informacin con las nuevas tecnologas de comunicacin, as como la investigacin en el campo de la inteligencia artificial, ejemplifican el

desarrollo actual definido a menudo como la "era de la informacin". Esta marcha de las aplicaciones de la informtica no slo tiene un lado ventajoso sino que plantea tambin problemas de significativa importancia para el funcionamiento y la seguridad de los sistemas informticos en los negocios, la administracin, la defensa y la sociedad.

Debido a esta vinculacin, el aumento del nivel de los delitos relacionados con los sistemas informticos registrados en la ltima dcada en los Estados Unidos, Europa Occidental, Australia y Japn, representa una amenaza para la economa de un pas y tambin para la sociedad en su conjunto. De acuerdo con la definicin elaborada por un grupo de expertos, invitados por la OCDE
34

a Pars en mayo de 1983, el trmino delitos relacionados con las

computadoras se define como cualquier comportamiento antijurdico, no tico o no autorizado, relacionado con el procesado automtico de datos y/o transmisiones de datos. La amplitud de este concepto es ventajosa, puesto que permite el uso de las mismas hiptesis de trabajo para toda clase de estudios penales, criminlogos, econmicos, preventivos o legales. En la actualidad la informatizacin se ha implantado en casi todos los pases. Tanto en la organizacin y administracin de empresas y administraciones pblicas como en la investigacin cientfica, en la produccin industrial o en el estudio e incluso en el ocio, el uso de la informtica es en ocasiones indispensable y hasta conveniente. Sin embargo, junto a las incuestionables ventajas que presenta comienzan a surgir algunas facetas negativas, como

por ejemplo, lo que ya se conoce como "criminalidad informtica". El espectacular desarrollo de la tecnologa informtica ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La manipulacin fraudulenta de los ordenadores con nimo de lucro, la destruccin de programas o datos y el acceso y la utilizacin indebida de la informacin que puede afectar la esfera de la privacidad, son algunos de los procedimientos relacionados con el procesamiento electrnico de datos mediante los cuales es posible obtener grandes beneficios econmicos o causar importantes daos materiales o morales. Pero no slo la cuanta de los perjuicios as ocasionados es a menudo infinitamente superior a la que es usual en la delincuencia tradicional, sino que tambin son mucho ms elevadas las posibilidades de que

34

Organizacin de Cooperacin y Desarrollo Econmico.

no lleguen a descubrirse. Se trata de una delincuencia de especialistas capaces muchas veces de borrar toda huella de los hechos.

En este sentido, la informtica puede ser el objeto del ataque o el medio para cometer otros delitos. La informtica rene unas caractersticas que la convierten en un medio idneo para la comisin de muy distintas modalidades delictivas, en especial de carcter patrimonial (estafas, apropiaciones indebidas, etc.). La idoneidad proviene, bsicamente, de la gran cantidad de datos que se acumulan, con la consiguiente facilidad de acceso a ellos y la relativamente fcil manipulacin de esos datos. La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto pblicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho ms all del valor material de los objetos destruidos. A ello se une que estos ataques son relativamente fciles de realizar, con resultados altamente satisfactorios y al mismo tiempo procuran a los autores una alcanzar los objetivos sin ser descubiertos. probabilidad bastante alta de

Leccin 3. Caractersticas de los delitos informticos


Segn el mexicano Julio Tellez Valdez, los delitos informticos presentan las siguientes caractersticas principales: Son conductas criminales de cuello blanco (white collar crime), en tanto que slo un determinado nmero de personas con ciertos conocimientos (en este caso tcnicos) puede llegar a cometerlas. Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando. Son acciones de oportunidad, ya que se aprovecha una ocasin creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnolgico y econmico. Provocan serias prdidas econmicas, ya que casi siempre producen "beneficios" de ms de cinco cifras a aquellos que las realizan.

Ofrecen posibilidades de tiempo y espacio, ya que en milsimas de segundo y sin una necesaria presencia fsica pueden llegar a consumarse. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulacin por parte del Derecho. Son muy sofisticados y relativamente frecuentes en el mbito militar. Presentan grandes dificultades para su comprobacin, esto por su mismo carcter tcnico. Tienden a proliferar cada vez ms, por lo que requieren una urgente regulacin. Por el momento siguen siendo ilcitos impunes de manera manifiesta ante la ley.

Sistemas y empresas con mayor riesgo. Evidentemente el artculo que resulta ms atractivo robar es el dinero o algo de valor. Por lo tanto, los sistemas que pueden estar ms expuestos a fraude son los que tratan pagos, como los de nmina, ventas, o compras. En ellos es donde es ms fcil convertir transacciones fraudulentas en dinero y sacarlo de la empresa. Por razones similares, las empresas constructoras, bancos y compaas de seguros, estn ms expuestas a fraudes que las dems. Los sistemas mecanizados son susceptibles de prdidas o fraudes debido a que: Tratan grandes volmenes de datos e interviene poco personal, lo que impide verificar todas las partidas. Se sobrecargan los registros magnticos, perdindose la evidencia auditable o la secuencia de acontecimientos. A veces los registros magnticos son transitorios y a menos que se realicen pruebas dentro de un perodo de tiempo corto, podran perderse los detalles de lo que sucedi, quedando slo los efectos. Los sistemas son impersonales, aparecen en un formato ilegible y estn controlados parcialmente por personas cuya principal preocupacin son los

aspectos tcnicos del equipo y del sistema y que no comprenden, o no les afecta, el significado de los datos que manipulan. En el diseo de un sistema importante es difcil asegurar que se han previsto todas las situaciones posibles y es probable que en las previsiones que se hayan hecho queden huecos sin cubrir. Los sistemas tienden a ser algo rgidos y no siempre se disean o modifican al ritmo con que se producen los acontecimientos; esto puede llegar a ser otra fuente de "agujeros". Slo parte del personal de proceso de datos conoce todas las implicaciones del sistema y el centro de clculo puede llegar a ser un centro de informacin. Al mismo tiempo, el centro de clculo procesar muchos aspectos similares de las transacciones. En el centro de clculo hay un personal muy inteligente, que trabaja por iniciativa propia la mayora del tiempo y podra resultar difcil implantar unos niveles normales de control y supervisin. El error y el fraude son difciles de equiparar. A menudo, los errores no son iguales al fraude. Cuando surgen discrepancias, no se imagina que se ha producido un fraude, y la investigacin puede abandonarse antes de llegar a esa conclusin. Se tiende a empezar buscando errores de programacin y del sistema. Si falla esta operacin, se buscan fallos tcnicos y operativos. Slo cuando todas estas averiguaciones han dado resultados negativos, acaba pensndose en que la causa podra ser un fraude.

Leccin 4. Tipificacin de los delitos informticos


Clasificacin Segn la Actividad Informtica Sabotaje informtico El trmino sabotaje informtico comprende todas aquellas conductas dirigidas a causar daos en el hardware o en el software de un sistema. Los mtodos utilizados para causar destrozos en los sistemas informticos son de ndole muy

variada y han ido evolucionando hacia tcnicas cada vez ms sofisticadas y de difcil deteccin. Bsicamente, se puede diferenciar dos grupos de casos: por un lado, las conductas dirigidas a causar destrozos fsicos y, por el otro, los mtodos dirigidos a causar daos lgicos. Conductas dirigidas a causar daos fsicos El primer grupo comprende todo tipo de conductas destinadas a la destruccin fsica del hardware y el software de un sistema (por ejemplo: causar incendios o explosiones, introducir piezas de aluminio dentro de la computadora para producir cortocircuitos, echar caf o agentes custicos en los equipos, etc. En general, estas conductas pueden ser analizadas, desde el punto de vista jurdico, en forma similar a los comportamientos anlogos de destruccin fsica de otra clase de objetos previstos tpicamente en el delito de dao. Conductas dirigidas a causar daos lgicos El segundo grupo, ms especficamente relacionado con la tcnica informtica, se refiere a las conductas que causan destrozos lgicos, o sea, todas aquellas conductas que producen, como resultado, la destruccin, ocultacin, o alteracin de datos contenidos en un sistema informtico. Este tipo de dao a un sistema se puede alcanzar de diversas formas. Desde la ms simple que podemos imaginar, como desenchufar el ordenador de la electricidad mientras se esta trabajando con l o el borrado de documentos o datos de un archivo, hasta la utilizacin de los ms complejos programas lgicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su posibilidad de destruir gran cantidad de datos en un tiempo mnimo. Estos programas destructivos, utilizan distintas tcnicas de sabotaje, muchas veces, en forma combinada. Sin pretender realizar una clasificacin rigurosa de estos mtodos de destruccin lgica, podemos distinguir: o Bombas lgicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o

a una hora determinada), o por la aparicin de determinada seal (que puede aparecer o puede no aparecer), como la presencia de un dato, de un cdigo, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el programa como la seal para empezar a actuar. o La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado program el sistema de tal forma que los ficheros de la empresa se destruiran automticamente si su nombre era borrado de la lista de empleados de la empresa. o Otra modalidad que acta sobre los programas de aplicacin es el llamado cncer de rutinas (cancer routine). En esta tcnica los programas destructivos tienen la particularidad de que se reproducen, por s mismos, en otros programas, arbitrariamente escogidos. o Una variante perfeccionada de la anterior modalidad es el virus informtico que es un programa capaz de multiplicarse por s mismo y contaminar los otros programas que se hallan en el mismo disco rgido donde fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contacto a travs de una conexin. Fraude a travs de computadores Estas conductas consisten en la manipulacin ilcita, a travs de la creacin de datos falsos o la alteracin de datos o procesos contenidos en sistemas informticos, realizada con el objeto de obtener ganancias indebidas. Los distintos mtodos para realizar estas conductas se deducen, fcilmente, de la forma de trabajo de un sistema informtico: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realizacin se conoce como manipulacin del input. Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia alemana: Una empleada de un banco del sur de Alemania transfiri, en febrero de 1983, un milln trescientos mil marcos alemanes a la cuenta de una amiga - cmplice en la maniobra - mediante el simple mecanismo de imputar el crdito en una terminal de computadora del banco. La operacin fue realizada a primera hora de la maana y su falsedad podra haber sido detectada por el sistema de seguridad del banco al medioda. Sin embargo, la rpida transmisin del crdito a travs de sistemas informticos conectados en lnea (on line), hizo posible

que la amiga de la empleada retirara, en otra sucursal del banco, un milln doscientos ochenta mil marcos unos minutos despus de realizada la operacin informtica. En segundo lugar, es posible interferir en el correcto procesamiento de la informacin, alterando el programa o secuencia lgica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor. A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informtica, esta modalidad es ms especficamente informtica y requiere conocimientos tcnicos especiales. Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana: El autor, empleado de una importante empresa, ingres al sistema informtico un programa que le permiti incluir en los archivos de pagos de salarios de la compaa a personas ficticias e imputar los pagos correspondientes a sus sueldos a una cuenta personal del autor. Esta maniobra hubiera sido descubierta fcilmente por los mecanismos de seguridad del banco (listas de control, sumarios de cuentas, etc.) que eran revisados y evaluados peridicamente por la compaa. Por este motivo, para evitar ser descubierto, el autor produjo cambios en el programa de pago de salarios para que los empleados ficticios y los pagos realizados, no aparecieran en los listados de control. Por ltimo, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta modalidad se la conoce como manipulacin del output. Una caracterstica general de este tipo de fraudes, interesante para el anlisis jurdico, es que, en la mayora de los casos detectados, la conducta delictiva es repetida varias veces en el tiempo. Lo que sucede es que, una vez que el autor descubre o genera una laguna o falla en el sistema, tiene la posibilidad de repetir, cuantas veces quiera, la comisin del hecho. Incluso, en los casos de

manipulacin del programa, la reiteracin puede ser automtica, realizada por el mismo sistema sin ninguna participacin del autor y cada vez que el programa se active. En el ejemplo jurisprudencial citado al hacer referencia a las manipulaciones en el programa, el autor podra irse de vacaciones, ser despedido de la empresa o incluso morir y el sistema seguira imputando el pago de sueldos a los empleados ficticios en su cuenta personal. Una problemtica especial plantea la posibilidad de realizar estas conductas a travs de los sistemas de teleproceso. Si el sistema informtico est conectado a una red de comunicacin entre ordenadores, a travs de las lneas telefnicas o de cualquiera de los medios de comunicacin remota de amplio desarrollo en los ltimos aos, el autor podra realizar estas conductas sin ni siquiera tener que ingresar a las oficinas donde funciona el sistema, incluso desde su propia casa y con una computadora personal. An ms, los sistemas de comunicacin internacional, permiten que una conducta de este tipo sea realizada en un pas y tenga efectos en otro. Respecto a los objetos sobre los que recae la accin del fraude informtico, estos son, generalmente, los datos informticos relativos a activos o valores. En la mayora de los casos estos datos representan valores intangibles (ej.: depsitos monetarios, crditos, etc.), en otros casos, los datos que son objeto del fraude, representan objetos corporales (mercadera, dinero en efectivo, etc.) que obtiene el autor mediante la manipulacin del sistema. En las manipulaciones referidas a datos que representan objetos corporales, las prdidas para la vctima son, generalmente, menores ya que estn limitadas por la cantidad de objetos disponibles. En cambio, en la manipulacin de datos referida a bienes intangibles, el monto del perjuicio no se limita a la cantidad existente sino que, por el contrario, puede ser creado por el autor.

Estafas electrnicas: La proliferacin de las compras telemticas permite que aumenten tambin los casos de estafa. Se tratara en este caso de una

dinmica comisiva que cumplira todos los requisitos del delito de estafa, ya que

adems del engao y el "animus defraudandi" existira un engao a la persona que compra. No obstante seguira existiendo una laguna legal en aquellos

pases cuya legislacin no prevea los casos en los que la operacin se hace engaando al ordenador. Blanqueo de dinero: Se espera que el comercio electrnico sea el nuevo lugar de transferencia electrnica de mercancas o dinero para lavar las ganancias que deja el delito, sobre todo si se pueden ocultar transacciones. Copia ilegal de software y espionaje informtico. Se engloban las conductas dirigidas a obtener datos, en forma ilegtima, de un sistema de informacin. Es comn el apoderamiento de datos de

investigaciones, listas de clientes, balances, etc. En muchos casos el objeto del apoderamiento es el mismo programa de computacin (software) que suele tener un importante valor econmico. Infraccin de los derechos de autor: La interpretacin de los conceptos de copia, distribucin, cesin y comunicacin pblica de los programas de ordenador utilizando la red provoca diferencias de criterio a nivel jurisprudencial. Infraccin del Copyright de bases de datos: No existe una proteccin uniforme de las bases de datos en los pases que tienen acceso a Internet. El sistema de proteccin ms habitual es el contractual: el propietario del sistema permite que los usuarios hagan "downloads" de los ficheros contenidos en el sistema, pero prohibe el replicado de la base de datos o la copia masiva de informacin.

Uso ilegtimo de sistemas informticos ajenos. Esta modalidad consiste en la utilizacin sin autorizacin de los ordenadores y los programas de un sistema informtico ajeno. Este tipo de conductas es comnmente cometida por empleados de los sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados y actividades complementarias a su trabajo. En estos supuestos, slo se produce un perjuicio econmico importante para las empresas en los casos de abuso en

el mbito del teleproceso o en los casos en que las empresas deben pagar alquiler por el tiempo de uso del sistema. Acceso no autorizado: La corriente reguladora sostiene que el uso ilegtimo de passwords y la entrada en un sistema informtico sin la autorizacin del propietario debe quedar tipificado como un delito, puesto que el bien jurdico que acostumbra a protegerse con la contrasea es lo suficientemente importante para que el dao producido sea grave. Delitos informticos contra la privacidad. Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulacin, archivo y divulgacin indebida de datos contenidos en sistemas informticos Esta tipificacin se refiere a quin, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carcter personal o familiar de otro que se hallen registrados en ficheros o soportes informticos, electrnicos o telemticos, o cualquier otro tipo de archivo o registro pblico o privado. Existen circunstancias agravantes de la divulgacin de ficheros, los cuales se dan en funcin de: 1. El carcter de los datos: ideologa, religin, creencias, salud, origen racial y vida sexual. 2. Las circunstancias de la vctima: menor de edad o incapaz. Tambin se comprende la interceptacin de las comunicaciones, la utilizacin de artificios tcnicos de escucha, transmisin, grabacin o reproduccin del sonido o de la imagen o de cualquier otra seal de comunicacin, se piensa que entre lo anterior se encuentra el pinchado de redes informticas. Interceptacin de e-mail: En este caso se propone una ampliacin de los preceptos que castigan la violacin de correspondencia, y la interceptacin de telecomunicaciones, de forma que la lectura de un mensaje electrnico ajeno revista la misma gravedad.

Pornografa infantil La distribucin de pornografa infantil por todo el mundo a travs de la Internet est en aumento. Durante los pasados cinco aos, el nmero de condenas por transmisin o posesin de pornografa infantil ha aumentado de 100 a 400 al ao en un pas norteamericano. El problema se agrava al aparecer nuevas tecnologas, como la criptografa, que sirve para esconder pornografa y dems material "ofensivo" que se transmita o archive. Clasificacin Segn el Instrumento, Medio o Fin u Objetivo Asimismo, TELLEZ VALDEZ clasifica a estos delitos, de acuerdo a dos criterios: Como instrumento o medio. En esta categora se encuentran las conductas criminales que se valen de las computadoras como mtodo, medio o smbolo en la comisin del ilcito, por ejemplo: a. Falsificacin de documentos va computarizada (tarjetas de crdito, cheques, etc.) b. Variacin de los activos y pasivos en la situacin contable de las empresas. c. Planeamiento y simulacin de delitos convencionales (robo, homicidio, fraude, etc.) d. Lectura, sustraccin o copiado de informacin confidencial. e. Modificacin de datos tanto en la entrada como en la salida. f. Aprovechamiento indebido o violacin de un cdigo para penetrar a un sistema introduciendo instrucciones inapropiadas. g. Variacin en cuanto al destino de pequeas cantidades de dinero hacia una cuenta bancaria apcrifa. h. Uso no autorizado de programas de computo. i. Introduccin de instrucciones que provocan "interrupciones" en la lgica interna de los programas. j. Alteracin en el funcionamiento de los sistemas, a travs de los virus informticos. k. Obtencin de informacin residual impresa en papel luego de la ejecucin de trabajos. l. Acceso a reas informatizadas en forma no autorizada. m. Intervencin en las lneas de comunicacin de datos o teleproceso. Como fin u objetivo.

En esta categora, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad fsica, como por ejemplo: a. b. c. d. e. Programacin de instrucciones que producen un bloqueo total al sistema. Destruccin de programas por cualquier mtodo. Dao a la memoria. Atentado fsico contra la mquina o sus accesorios. Sabotaje poltico o terrorismo en que se destruya o surja un apoderamiento de los centros neurlgicos computarizados. f. Secuestro de soportes magnticos entre los que figure informacin valiosa con fines de chantaje (pago de rescate, etc.). Clasificacin segn Actividades Delictivas Graves Por otro lado, la red Internet permite dar soporte para la comisin de otro tipo de delitos: Terrorismo: Mensajes annimos aprovechados por grupos terroristas para remitirse consignas y planes de actuacin a nivel internacional. La existencia de hosts que ocultan la identidad del remitente, convirtiendo el mensaje en annimo ha podido ser aprovechado por grupos terroristas para remitirse consignas y planes de actuacin a nivel internacional. De hecho, se han detectado mensajes con instrucciones para la fabricacin de material explosivo. Narcotrfico: Transmisin de frmulas para la fabricacin de estupefacientes, para el blanqueo de dinero y para la coordinacin de entregas y recogidas. Tanto el FBI como el Fiscal General de los Estados Unidos han alertado sobre la necesidad de medidas que permitan interceptar y descifrar los mensajes encriptados que utilizan los narcotraficantes para ponerse en contacto con los crteles. Espionaje: Se ha dado casos de acceso no autorizado a sistemas informticos gubernamentales e interceptacin de correo electrnico del servicio secreto de los Estados Unidos, entre otros actos que podran ser calificados de espionaje si el destinatario final de esa informacin fuese un gobierno u organizacin extranjera. Entre los casos ms famosos podemos citar el acceso al sistema

informtico del Pentgono y la divulgacin a travs de Internet de los mensajes remitidos por el servicio secreto norteamericano durante la crisis nuclear en Corea del Norte en 1994, respecto a campos de pruebas de misiles. Aunque no parece que en este caso haya existido en realidad un acto de espionaje, se ha evidenciado una vez ms la vulnerabilidad de gubernamentales. Espionaje industrial: Tambin se han dado casos de accesos no autorizados a sistemas informticos de grandes compaas, usurpando diseos industriales, frmulas, sistemas de fabricacin y know how estratgico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgacin no autorizada. Otros delitos: Las mismas ventajas que encuentran en la Internet los narcotraficantes pueden ser aprovechadas para la planificacin de otros delitos como el trfico de armas, proselitismo de sectas, propaganda de grupos extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al ciberespacio o al revs. los sistemas de seguridad

Infracciones que no Constituyen Delitos Informticos Usos comerciales no ticos: Algunas empresas no han podido escapar a la tentacin de aprovechar la red para hacer una oferta a gran escala de sus productos, llevando a cabo "mailings electrnicos" al colectivo de usuarios de un gateway, un nodo o un territorio determinado. Ello, aunque no constituye una infraccin, es mal recibido por los usuarios de Internet, poco

acostumbrados, hasta fechas recientes, a un uso comercial de la red. Actos parasitarios: Algunos usuarios incapaces de integrarse en grupos de discusin o foros de debate online, se dedican a obstaculizar las

comunicaciones ajenas, interrumpiendo conversaciones de forma repetida, enviando mensajes con insultos personales, etc. Tambin se deben tomar en cuenta las obscenidades que se realizan a travs de la Internet.

Impacto de los delitos informticos

Impacto a Nivel General En los aos recientes las redes de computadoras han crecido de manera asombrosa. Hoy en da, el nmero de usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con sus mdicos online supera los 200 millones, comparado con 26 millones en 1995. A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorizacin o "piratera informtica", el fraude, el sabotaje informtico, la trata de nios con fines pornogrficos y el acecho. Los delincuentes de la informtica son tan diversos como sus delitos; puede tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos delincuentes pueden pasar desapercibidos a travs de las fronteras, ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningn documento de rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en "parasos informticos" - o sea, en pases que carecen de leyes o experiencia para seguirles la pista -. Segn datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden unos 500 millones de dlares al ao debido a los piratas que les roban de las cuentas online sus nmeros de tarjeta de crdito y de llamadas. Dichos nmeros se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnticas de tarjetas bancarias y de crdito, seala el Manual de la ONU. Otros delincuentes de la informtica pueden sabotear las computadoras para ganarle ventaja econmica a sus competidores o amenazar con daos a los sistemas con el fin de cometer extorsin. Los malhechores manipulan los datos o las operaciones, ya sea directamente o mediante los llamados "gusanos" o "virus", que pueden paralizar completamente los sistemas o borrar todos los

datos del disco duro. Algunos virus dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por medio de disquetes "infectados"; tambin se estn propagando ltimamente por las redes, con frecuencia camuflados en mensajes electrnicos o en programas "descargados" de la red. En 1990, se supo por primera vez en Europa de un caso en que se us a un virus para sonsacar dinero, cuando la comunidad de investigacin mdica se vio amenazada con un virus que ira destruyendo datos paulatinamente si no se pagaba un rescate por la "cura". Los delincuentes cibernticos al acecho tambin usan el correo electrnico para enviar mensajes amenazantes especialmente a las mujeres. De acuerdo al libro de Barbara Jenson "Acecho ciberntico: delito, represin y responsabilidad personal en el mundo online", publicado en 1996, se calcula que unas 200.000 personas acechan a alguien cada ao. Adems de las incursiones por las pginas particulares de la Red, los delincuentes pueden abrir sus propios sitios para estafar a los clientes o vender mercancas y servicios prohibidos, como armas, drogas, medicamentos sin receta ni regulacin y pornografa. La CyberCop Holding Cell, un servicio de quejas online, hace poco emiti una advertencia sobre un anuncio clasificado de servicio de automviles que apareci en la Internet. Por un precio fijo de $399, el servicio publicara una descripcin del auto del cliente en una pgina de la Red y garantizaban que les devolveran el dinero si el vehculo no se venda en un plazo de 90 das. Informa CyberCop que varios autos que se haban anunciado en la pgina electrnica no se vendieron en ese plazo, pero los dueos no pudieron encontrar a ninguno de los autores del servicio clasificado para que les reembolsaran el dinero. Desde entonces, el sitio en la Red de este "servicio" ha sido clausurado.

Impacto a Nivel Social La proliferacin de los delitos informticos a hecho que nuestra sociedad sea cada vez ms escptica a la utilizacin de tecnologas de la informacin, las cuales pueden ser de mucho beneficio para la sociedad en general. Este hecho puede obstaculizar el desarrollo de nuevas formas de hacer negocios, por ejemplo el comercio electrnico puede verse afectado por la falta de apoyo de la sociedad en general. Tambin se observa el grado de especializacin tcnica que adquieren los delincuentes para cometer ste tipo de delitos, por lo que personas con conductas maliciosas cada vez ms estn ideando planes y proyectos para la realizacin de actos delictivos, tanto a nivel empresarial como a nivel global. Tambin se observa que las empresas que poseen activos informticos importantes, son cada vez ms celosas y exigentes en la contratacin de personal para trabajar en stas reas, pudiendo afectar en forma positiva o negativa a la sociedad laboral de nuestros tiempos. Aquellas personas que no poseen los conocimientos informticos bsicos, son ms vulnerables a ser vctimas de un delito, que aquellos que si los poseen. En vista de lo anterior aquel porcentaje de personas que no conocen nada de informtica (por lo general personas de escasos recursos econmicos) pueden ser engaadas si en un momento dado poseen acceso a recursos tecnolgicos y no han sido asesoradas adecuadamente para la utilizacin de tecnologas como la Internet, correo electrnico, etc. La falta de cultura informtica puede impedir de parte de la sociedad la lucha contra los delitos informticos, por lo que el componente educacional es un factor clave en la minimizacin de esta problemtica.

Impacto en la Esfera Judicial Captura de delincuentes cibernticos A medida que aumenta la delincuencia electrnica, numerosos pases han promulgado leyes declarando ilegales nuevas prcticas como la piratera

informtica, o han actualizado leyes obsoletas para que delitos tradicionales, incluidos el fraude, el vandalismo o el sabotaje, se consideren ilegales en el mundo virtual. Singapur, por ejemplo, enmend recientemente su Ley sobre el Uso Indebido de las Computadoras. Ahora son ms severos los castigos impuestos a todo el que interfiera con las "computadoras protegidas" --es decir, las que estn conectadas con la seguridad nacional, la banca, las finanzas y los servicios pblicos y de urgencia-- as como a los transgresores por entrada, modificacin, uso o intercepcin de material computadorizado sin autorizacin. Hay pases que cuentan con grupos especializados en seguir la pista a los delincuentes cibernticos. Uno de los ms antiguos es la Oficina de Investigaciones Especiales de la Fuerza Area de los Estados Unidos, creada en 1978. Otro es el de Investigadores de la Internet, de Australia, integrado por oficiales de la ley y peritos con avanzados conocimientos de informtica. El grupo australiano recoge pruebas y las pasa a las agencias gubernamentales de represin pertinentes en el estado donde se origin el delito. Pese a estos y otros esfuerzos, las autoridades an afrentan graves problemas en materia de informtica. El principal de ellos es la facilidad con que se traspasan las fronteras, por lo que la investigacin, enjuiciamiento y condena de los transgresores se convierte en un dolor de cabeza jurisdiccional y jurdico. Adems, una vez capturados, los oficiales tienen que escoger entre extraditarlos para que se les siga juicio en otro lugar o transferir las pruebas --y a veces los testigos-- al lugar donde se cometieron los delitos. En 1992, los piratas de un pas europeo atacaron un centro de computadoras de California. La investigacin policial se vio obstaculizada por la doble tipificacin penal --la carencia de leyes similares en los dos pases que prohiban ese comportamiento-- y esto impidi la cooperacin oficial, segn informa el Departamento de Justicia de los Estados Unidos. Con el tiempo, la polica del pas de los piratas se ofreci a ayudar, pero poco despus la piratera termin, se perdi el rastro y se cerr el caso.

Asimismo, en 1996 el Servicio de Investigacin Penal y la Agencia Federal de Investigacin (FBI) de los Estados Unidos le sigui la pista a otro pirata hasta un pas sudamericano. El pirata informtico estaba robando archivos de claves y alterando los registros en computadoras militares, universitarias y otros sistemas privados, muchos de los cuales contenan investigacin sobre satlites, radiacin e ingeniera energtica. Los oficiales del pas sudamericano requisaron el apartamento del pirata e incautaron su equipo de computadora, aduciendo posibles violaciones de las leyes nacionales. Sin embargo, los dos pases no haban firmado acuerdos de extradicin por delitos de informtica sino por delitos de carcter ms tradicional. Finalmente se resolvi la situacin slo porque el pirata accedi a negociar su caso, lo que condujo a que se declarara culpable en los Estados Unidos. Destruccin u ocultacin de pruebas Otro grave obstculo al enjuiciamiento por delitos cibernticos es el hecho de que los delincuentes pueden destruir fcilmente las pruebas cambindolas, borrndolas o trasladndolas. Si los agentes del orden operan con ms lentitud que los delincuentes, se pierde gran parte de las pruebas; o puede ser que los datos estn cifrados, una forma cada vez ms popular de proteger tanto a los particulares como a las empresas en las redes de computadoras. Tal vez la criptografa estorbe en las investigaciones penales, pero los derechos humanos podran ser vulnerados si los encargados de hacer cumplir la ley adquieren demasiado poder tcnico. Las empresas electrnicas sostienen que el derecho a la intimidad es esencial para fomentar la confianza del consumidor en el mercado de la Internet, y los grupos defensores de los derechos humanos desean que se proteja el cmulo de datos personales archivados actualmente en ficheros electrnicos. Las empresas tambin recalcan que la informacin podra caer en malas manos, especialmente en pases con problemas de corrupcin, si los gobiernos tienen acceso a los mensajes en cdigo. "Si los gobiernos tienen la clave para

descifrar los mensajes en cdigo, esto significa que personas no autorizadas -que no son del gobierno-- pueden obtenerlas y utilizarlas", dice el gerente general de una importante compaa norteamericana de ingeniera de seguridad.

Impacto en la Identificacin de Delitos a Nivel Mundial. Las dificultades que enfrentan las autoridades en todo el mundo ponen de manifiesto la necesidad apremiante de una cooperacin mundial para modernizar las leyes nacionales, las tcnicas de investigacin, la asesora jurdica y las leyes de extradicin para poder alcanzar a los delincuentes. Ya se han iniciado algunos esfuerzos al respecto. En el Manual de las Naciones Unidas de 1977 se insta a los Estados a que coordinen sus leyes y cooperen en la solucin de ese problema. El Grupo de Trabajo Europeo sobre delitos en la tecnologa de la informtica ha publicado un Manual sobre el delito por computadora, en el que se enumeran las leyes pertinentes en los diversos pases y se exponen tcnicas de investigacin, al igual que las formas de buscar y guardar el material electrnico en condiciones de seguridad. El Instituto Europeo de Investigacin Antivirus colabora con las universidades, la industria y los medios de comunicacin y con expertos tcnicos en seguridad y asesores jurdicos de los gobiernos, agentes del orden y organizaciones encargadas de proteger la intimidad a fin de combatir los virus de las computadoras o "caballos de Troya". Tambin se ocupa de luchar contra el fraude electrnico y la explotacin de datos personales. En 1997, los pases del Grupo de los Ocho aprobaron una estrategia innovadora en la guerra contra el delito de "tecnologa de punta". El Grupo acord que establecera modos de determinar rpidamente la proveniencia de los ataques por computadora e identificar a los piratas, usar enlaces por vdeo para entrevistar a los testigos a travs de las fronteras y ayudarse mutuamente con capacitacin y equipo. Tambin decidi que se unira a las fuerzas de la

industria con miras a crear instituciones para resguardar las tecnologas de computadoras, desarrollar sistemas de informacin para identificar casos de uso indebido de las redes, perseguir a los infractores y recabar pruebas. El Grupo de los Ocho ha dispuesto ahora centros de coordinacin abiertos 24 horas al da, siete das a la semana para los encargados de hacer cumplir la ley. Estos centros apoyan las investigaciones de otros Estados mediante el suministro de informacin vital o ayuda en asuntos jurdicos, tales como entrevistas a testigos o recoleccin de pruebas consistentes en datos electrnicos. Un obstculo mayor opuesto a la adopcin de una estrategia del tipo Grupo de los Ocho a nivel internacional es que algunos pases no tienen la experiencia tcnica ni las leyes que permitiran a los agentes actuar con rapidez en la bsqueda de pruebas en sitios electrnicos --antes de que se pierdan-- o transferirlas al lugar donde se est enjuiciando a los infractores.

Leccin 5. Auditor versus delitos informticos


Es importante establecer claramente cual es el papel que juega el auditor informtico en relacin con la deteccin y minimizacin de la ocurrencia de delitos informticos dentro de la organizacin a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuacin del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que definen de manera inequvoca el aporte que ste brinda en el manejo de los casos de delitos informticos.

Rol del Auditor Informtico El rol del auditor informtico solamente est basado en la verificacin de controles, evaluacin del riesgo de fraudes y el diseo y desarrollo de

exmenes que sean apropiados a la naturaleza de la auditoria asignada, y que deben razonablemente detectar: Irregularidades que puedan tener un impacto sobre el rea auditada o sobre toda la organizacin. Debilidades en los controles internos que podran resultar en la falta de prevencin o deteccin de irregularidades. Deteccin de delitos Puesto que la auditoria es una verificacin de que las cosas se estn realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informtico al detectar irregularidades en el transcurso de la auditoria informtica que le indiquen la ocurrencia de un delito informtico, deber realizar los siguiente: Determinar si se considera la situacin un delito realmente; Establecer pruebas claras y precisas; Determinar los vacos de la seguridad existentes y que permitieron el delito; Informar a la autoridad correspondiente dentro de la organizacin; Informar a autoridades regulatorias cuando es un requerimiento legal. Es importante mencionar que el auditor deber manejar con discrecin tal situacin y con el mayor profesionalismo posible; evitando su divulgacin al pblico o a empleados que no tienen nada que ver. Puesto que de no

manejarse adecuadamente el delito, podra tener efectos negativos en la organizacin, como los siguientes: Se puede generar una desconfianza de los empleados hacia el sistema; Se pueden generar ms delitos al mostrar las debilidades encontradas; Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa; Se pueden perder empleados clave de la administracin, an cuando no estn involucrados en la irregularidad debido a que la confianza en la administracin y el futuro de la organizacin puede estar en riesgo.

Resultados de la auditoria Si por medio de la auditoria informtica realizada se han detectado la ocurrencia de delitos, el auditor deber sugerir acciones especificas a seguir para resolver el vaco de seguridad, para que el grupo de la unidad informtica pueda actuar. Dichas acciones, expresadas en forma de recomendacin pueden ser como las siguientes: Recomendaciones referentes a la revisin total del proceso involucrado; Inclusin de controles adicionales; Establecimiento de planes de contingencia efectivos; Adquisicin de herramientas de control, etc. Adems de brindar recomendaciones, el auditor informtico deber ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos, entre las que pueden destacarse: Adquisicin de herramientas computacionales de alto desempeo; Controles sofisticados; Procedimientos estndares bien establecidos y probados. Revisiones continuas; cuya frecuencia depender del grado de importancia para la empresa de las TI35; as como de las herramientas y controles existentes. Si bien es cierto las recomendaciones dadas por el auditor, las estrategias implementadas por la organizacin minimizan el grado de amenaza que representa los delitos informticos, es importante tomar en cuenta que an cuando todos los procesos de auditora estn debidamente diseados y se cuente con las herramientas adecuadas, no se puede garantizar que las irregularidades puedan ser detectadas. Por lo que la verificaciones la informacin y de la TI juegan un papel importante en la deteccin de los delitos informticos.

35

Tecnologas de Informacin

Auditor Externo Versus Auditor Interno La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estndares de auditora. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la bsqueda especfica de fraudes, la auditora deber planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude. Si el auditor externo detecta algn tipo de delito deber presentar un informe detallado sobre la situacin y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo solamente puede emitir opiniones basado en la informacin recabada y normalmente no estar involucrado directamente en la bsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance. El cometido y responsabilidad de los auditores internos vienen definidos por la direccin de la empresa a la que pertenecen. En la mayora de ellas, se considera que la deteccin de delitos informticos forma parte del cometido de los auditores internos.

TERCERA UNIDAD
RIESGO Y CONTROL

RIESGO Y CONTROL
El control interno surge por la necesidad de evaluar y satisfacer la eficiencia, eficacia, razonbilidad, oportunidad y confiabilidad en la proteccin, proteccin y seguridad en los bienes de una empresa, as como ayudar a controlar el desarrollo de sus operaciones, actividades y resultados financieros que se esperaban obtener en el desempeo de las funciones y operaciones de toda la empresa.

OBJETIVOS
Identificar las caractersticas del control interno y su ciclo de aplicacin. Estudiar los conceptos y caractersticas fundamentales del control

interno en los sistemas computacionales, a fin de identificar sus diferentes aplicaciones en la auditoria de sistemas. Comprender la importancia del control interno informtico en el rea de sistemas de la empresa.

Capitulo 1. Generalidades del control

Leccin 1. Concepto de control, clasificacin, objetivos


Generalidades del control: el control es una de las fases del proceso

administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas; todo ello para incrementar la eficiencia y eficacia de una institucin. Las siguientes son algunas de las definiciones de control: 36 "Inspeccin, vigilancia que se ejerce sobre personas o cosas [...] Conjunto de operaciones encaminadas a comprobar el funcionamiento, productividad, etc., de algn mecanismo [...]. "37 "Control es verificar que todo ocurra de acuerdo a las reglas establecidas y las rdenes impartidas [...].38 "Dentro del concepto de sistemas, el control es definido como un medio de obtener mayor flexibilidad operativa y como un medio de evitar el planteamiento de operaciones cuando las variables sean desconocidas [...]."39 "El control es la fase del proceso administrativo que debe mantener la actividad organizacional dentro de los lmites permisibles, de acuerdo con las expectativas. El control organizacional est irremediablemente relacionado con la planeacin. Los planes son el marco de referencia dentro del cual funciona el proceso de control [...] La palabra control tiene varios significados: [...] verificar, regular, comparar con un estndar, ejercer autoridad sobre (dirigir u ordenar), limitar o restringir [...] Cuando menos tres lneas relativas quedan claras de su definicin: 1) limitar o restringir, 2) dirigir u ordenar, y 3) regular[...]"40

36 37

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mxico. Pearson Educacin.2002. LAZCANO, Juan Manuel, y RIVAS, Zwy Enrique. Auditoria e informtica. Estructura en evolucin. Editorial del I.M.C.P.A.C. Mxico, 1988. p. 83 38 Gran Diccionario del Saber Humano. Varios Autores. Director, Gonzalo Ang. Editorial Selecciones de Readers Digest. Mexico, 1992. Volumen 1. p. 471. 39 CHIAVENATO, Adalberto. Introduccin a la Teora General de la Administracin . Mc Graw Hill. 1981. p.85

Leccin 2: Clasificacin general de los controles


Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditoria Procedimientos de validacin Controles Correctivos: Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores.

Leccin 3. Objetivos del control


Para comprender la importancia del control en las empresas, lo primero es entender cules son los objetivos que se pretenden satisfacer con su adopcin, aunque stos sean muy variados y especficos de acuerdo con el tipo de institucin donde se establezcan y a las caractersticas especficas de la misma. A continuacin se proponen, de manera general, los siguientes objetivos del control:

Se adopta para poder establecer estndares, medir su cumplimiento y evaluar el alcance real de los planes y programas, comparado con lo realmente alcanzado. Con su adopcin se ayuda en la proteccin y salvaguarda de los bienes y activos de las empresas.
40

KAST, Fremont y ROSENZWEIG, James. Administracin en las organizaciones. Un enfoque de

Con su adopcin se contribuye a la planeacin y evaluacin correctas del cumplimiento de las funciones, actividades y operaciones de las empresas. Ayuda permanentemente a la buena marcha de la empresa, pues retroalimenta la trayectoria de la misma. Junto a la planeacin, el control es una parte indispensable en las actividades de direccin de cualquier empresa.

Leccin 4. Elementos y utilidad del control


Elementos del control Conocer los elementos fundamentales del control, permite identificar la forma de utilizar el control interno en las empresas y as poder aplicar ese conocimiento al control interno en sistemas, y ms concretamente a las aplicaciones especificas de auditoria de sistemas computacionales. Para los autores Kast y Rosenzweig, en su tratado Administracin en las

organizaciones, los elementos bsicos del control son ms que una simple funcin que responde a los cambios del medio ambiente, debido a que tambin nos sirven para retroalimentar a lo que est cambiando; su aportacin es la siguiente: "Los elementos bsicos del control: 1. Una caracterstica medible y controlable para la que se conocen estndares 2. Un medio (instrumento censor) para medir las caractersticas 3. Un medio para comparar los resultados reales con los estndares y evaluar las diferencias 4. Un medio para efectuar cambios en el sistema a fin de ajustarlos a las necesidades"41

sistemas y de contingencias. Mxico: Mc Graw Hill. Cuarta edicin, 1985. p 536. 41 KAST, Fremont y ROSENZWEIG, James. Administracin en las organizaciones. Un enfoque de sistemas y de contingencias. Mxico: Mc Graw Hill. Cuarta edicin, 1985. p 539.

Utilidad del control El control en las instituciones tiene una razn de ser, de acuerdo con los planes y programas de cada empresa, ya que inicialmente nos permite establecer los estndares que ayudarn a obtener la informacin necesaria para evaluar el cumplimiento adecuado de los planes y programas previamente definidos; ms tarde, con la informacin recopilada, ayudar a comparar lo que se alcanz realmente contra lo esperado; por ltimo, esta evaluacin sirve para retroalimentar con mejoras y correcciones los planes y programas que servirn de base para el futuro. Con base en el anlisis anterior, se puede concentrar la utilidad del control en los siguientes conceptos:

Permite disear y establecer las normas, estndares y criterios de medicin para poder evaluar el cumplimiento de planes y programas. Ayuda a evaluar el cumplimiento y desempeo de las funciones, actividades y tareas de los integrantes de una empresa, comparando lo alcanzado contra lo esperado. Permite medir la eficiencia y eficacia en el cumplimiento de las operaciones de una empresa, al comparar lo realmente alcanzado contra lo esperado. Contribuye a la deteccin de fallas y desviaciones, as como a la correccin de errores en el desempeo de las actividades y operaciones de una empresa. Ayuda a modificar los planes y programas como consecuencia de la valoracin de los resultados. Retroalimenta la planeacin y programacin de las empresas. 42

stas son algunas de las muchas utilidades que puede tener el establecimiento del control en las empresas; dichas utilidades se pueden ampliar conforme a las caractersticas y necesidades de cada institucin.

42

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mxico. Pearson Educacin.2002.p. 101.

Leccin 5. Caractersticas, ciclo de aplicacin del control


Caractersticas del control Para que el control en las empresas sea verdaderamente efectivo, es obligatorio considerar algunas de sus caractersticas fundamentales al momento de establecerlo. Entre algunas de esas caractersticas estn: Oportuno sta caracterstica es la esencia del control, debido a que es la presentacin a tiempo de los resultados obtenidos con su aplicacin; es importante evaluar dichos resultados en el momento que se requieran, no antes porque so desconoceran sus verdaderos alcances, ni despus puesto que ya no serviran para nada. Cuantificable Para que verdaderamente se puedan comparar los resultados alcanzados contra los esperados, es necesario que sean medbles en unidades representativas de algn valor numrico para as poder cuantificar, porcentual o numricamente lo que se haya alcanzado. Calificable As como los valores de comparacin deben ser numricos para su cuantificacin, en auditoria en sistemas computacionales, se dan casos de evaluaciones que no necesariamente deben ser de tipo numrico, ya que, en algunos casos especficos, en su lugar se pueden sustituir estas unidades de valor por conceptos de calidad o por medidas de cualidad; mismas que son de carcter subjetivo, pero pueden ser aplicados para evaluar el cumplimiento, pero relativos a la calidad; siempre y cuando en la evaluacin sean utilizados de manera uniforme tanto para planear como para medir los resultados. Confiable Para que el control sea til, debe sealar resultados correctos sin desviaciones ni alteraciones y sin errores de ningn tipo, a fin de que se pueda confiar en que dichos resultados siempre son valorados con los mismos parmetros. Estndares y normas de evaluacin Al medir los resultados alcanzados, stos debern compararse de acuerdo con los estndares y normas previamente establecidos, a fin de contemplar

las mismas unidades para planear y controlar; con esto se logra una estandarizacin que permite valorar adecuadamente los alcances obtenidos. Ciclo de aplicacin del control Para que el control sea aplicado correctamente, las organizaciones deben establecer un ciclo adecuado que va desde el establecimiento en planes y programas iniciales hasta su culminacin en la retroalimentacin. En la siguiente grfica se presenta este ciclo:

1. 2. 3. 4. 5. 6. 7. 8. 9.

Determina objetivos y estrategias Planea programas Determina cargas de trabajo Asigna los recursos requeridos a las cargas de trabajo Adquiere/delega autoridad para utilizar recursos Desempea el trabajo Compara el desempeo con el plan Compara los objetivos alcanzados con los objetivos deseados Compara el programa alcanzado con el programa planeado

Capitulo 2.

Control interno

Leccin 1. Definicin y objetivos del control interno


Definicin 43 El control interno es la adopcin de una serie de medidas que se establecen en las empresas, con el propsito de contar con instrumentos tendientes a proteger la integridad de los bienes institucionales y as ayudar a la administracin y cumplimiento correctos de las actividades y operaciones de las empresas. Con la implantacin de tales medidas se pueden conseguir los siguientes beneficios: Proteger y salvaguardar los bienes de la empresa y a su personal. Prevenir y, en su caso, descubrir la presencia de fraudes, robos y acciones dolosas. Obtener la informacin contable, financiera y administrativa de manera confiable y oportuna. Promover el desarrollo correcto de las funciones, operaciones y actividades de la empresa. Definiciones de control interno Para entender cmo funciona el control interno en las empresas es conveniente conocer los marcos conceptuales de este trmino. A continuacin se presentan las aportaciones de algunos autores al respecto: JOS ANTONIO ECHENIQUE "El control interno comprende el plan de organizacin y todos los mtodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus actividades, verificar la razonabilidad y confiabilidad de su informacin financiera, promover la eficiencia operacional y provocar la adherencia a las polticas prescritas por la administracin." HOLMES R- ARTHUR "El control interno es una funcin de la gerencia que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos, y ofrecer la seguridad de que no se contraen obligaciones sin autorizacin." L. HALL "El control interno comprende la organizacin sistemtica del trabajo administrativo y de los procedimientos de rutina, con el objeto de provenir el

fraude, los errores y los trbalos intiles mediante el efecto disuasivo de los controles ejercidos."

El control interno es especialmente importante en las empresas, debido a que proporciona el grado de confiabilidad que se requiere para: Proteger los activos. Asegurar la validez de la informacin. Promover la eficiencia en las operaciones. Estimular y asegurar el cumplimiento de las polticas y directrices emanadas de la direccin. Para el diseo e implantacin del sistema de control interno, se cuenta con el apoyo de las siguientes tcnicas: Ejecucin del cuestionario do control. Anlisis del flujo de transacciones. Realizacin de pruebas de cumplimiento. Resultados. Medidas de correccin."

Una vez hecho el anlisis de las anteriores contribuciones, se puede deducir su concepto: "El control interno es el establecimiento de los mecanismos y estndares de control que se adoptan en las empresas, a fin de ayudarse en la administracin correcta de sus recursos, en la satisfaccin de sus necesidades de seguridad, en la salvaguarda y proteccin de los activos institucionales, en la ejecucin adecuada de sus funciones, actividades y operaciones, y en el registro correcto de sus operaciones contables y reportes de resultados financieros; todo ello para el mejor cumplimiento del objetivo institucional." 44

43 44

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002 MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mxico. Pearson Educacin.2002.p. 106.

control interno es un instrumento de eficiencia y no un plan que proporciona un reglamento tipo policiaco o de carcter tirnico, el mejor sistema de control interno, es aquel que no daa las relaciones de empresa a clientes y mantiene en un nivel de alta dignidad humana las relaciones de patrn a empleado.

Objetivos del control interno Establecer la seguridad y proteccin de los activos de la empresa. Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y actividades de la empresa. Establecer y hacer cumplir las normas, polticas y procedimientos que regulan las actividades de la empresa. Implantar los mtodos, tcnicas y procedimientos que permitan desarrollar adecuadamente las actividades, tareas y funciones de la empresa. Evitar o reducir fraudes. Salvaguarda contra el desperdicio y contra la insuficiencia. Comprobar la correccin y veracidad de los informes contables. Salvaguardar los activos de la empresa. Promover la eficiencia en operacin y fortalecer la adherencia a las normas fijadas por la administracin.

Leccin 2. Importancia y mtodos del control interno para la auditoria


Todas las empresas, sean publicas, privadas, deben contar con instrumentos adecuados de control que les permitan llevar su administracin con eficiencia y eficacia. Por esta razn es tan importante contar con un control interno en la empresa, para satisfacer sus expectativas en cuanto a la salvaguarda y custodia de sus bienes, a la promocin de la confiabilidad, oportunidad y veracidad de sus registros contables y la emisin de su informacin financiera, a la implantacin correcta de los mtodos, tcnicas y procedimientos que le permitan desarrollar adecuadamente sus actividades, tareas y funciones, as como al establecimiento y cumplimiento de las normas, polticas y

procedimientos que regulan sus actividades.

El establecimiento de un sistema de control interno facilita a las autoridades de la empresa la evaluacin y supervisin y, en su caso, la correccin de los planes, presupuestos y programas que determinarn el rumbo a seguir en la institucin, de acuerdo con la misin, visin y objetivos de sta. Con slo cumplir lo anterior se justificara la importancia del control interno. Sin embargo, se puede agregar que la utilidad del control interno se distingue por el establecimiento y vigilancia del cumplimiento de reglas, mtodos y procedimientos que se determinan para mantener la integridad y seguridad de los bienes de la empresa, as como para el manejo adecuado de los datos, para la confiabilidad en los registros y archivos contables, para la emisin de resultados financieros y para la definicin de normas, lineamientos,

procedimientos y reglas de actuacin para el desarrollo de las actividades de la empresa. Adems, con el control interno se establecen un conjunto de medidas y reglas concretas, que definen concretamente los alcances y limitaciones de actuacin de los funcionarios y empleados de la institucin.

Es precisamente en esas consideraciones donde se fundamenta la importancia de la auditoria, debido a que por medio del control interno se determinan las actividades, acciones y dems elementos que permiten satisfacer las necesidades de las instituciones. Adems, recordemos que de la definicin de la auditoria se desprende lo siguiente: es la revisin de las funciones, acciones, operaciones o de cualquier actividad de una entidad administrativa. Por esta razn, se evalan la existencia y el cumplimiento del control interno en la empresa, as como la forma en que se aplica; tambin se evala su utilidad en la salvaguarda y proteccin de archivos y en el desarrollo de las actividades de la empresa, adems de la existencia de los elementos que integran el sealado control interno. Es evidente que la importancia del control interno se funda-

menta en la evaluacin de lo que se determina por medio de l. Entre los mtodos para evaluar el control interno estn:

Mtodo de cuestionario: en el cual se evalan, por medio de cuestionarios, los procesos, rutinas y medidas bsicas de la empresa, tanto las fundamentales y las principales como las secundarias con las que se llevan a cabo las actividades de la empresa. Estos tiene cuestionarios previamente elaborados por el auditor contiene preguntas que incluyen como se afecta el manejo de las operaciones el manejo de las operaciones y quien tiene a su cargo las funciones.

Los cuestionarios son formulados de tal manera que las respuestas afirmativas indican la existencia de una adecuada medida de control, mientras que las respuestas negativas sealan una falla o debilidad en el sistema establecido.

Ventajas: Representa un ahorro de tiempo.


Por su amplitud cubre con diferentes aspectos, lo que contribuye a descubrir si algn procedimiento se alter o descontinu. Es flexible para conocer la mayor parte de las caractersticas del control interno.

Desventajas:
El estudio de dicho cuestionario puede ser laborioso por su extensin. Muchas de las respuestas si son positivas o negativas resultan intrascendentes si no existe una idea completa del porque de estas respuestas.

Su empleo es el ms generalizado, debido a la rapidez de la aplicacin.

Mtodo grafico: en el cual se hace la evaluacin de los mismos aspectos, pero mediante esquemas, grficos, cuadros, flujos de operacin y dems aspectos esquemticos que ayudan a entender visualmente este control interno.

Este mtodo permite detectar con mayor facilidad los puntos o aspectos donde se encuentran debilidades de control, an cuando hay que reconocer que se requiere de mayor inversin de tiempo por parte del auditor en la elaboracin de los flujogramas y habilidad para hacerlos.

Se recomienda el uso de la carta o grfica de organizacin que segn el autor George R. Terry, dichas cartas son cuadros sintticos que indican los aspectos ms importantes de una estructura de organizacin, incluyendo las principales funciones y sus relaciones, los canales de supervisin y la autoridad relativa de cada empleado encargado de su funcin respectiva. Existen dos tipos de grficas de organizacin: Cartas Maestras. Cartas suplementarias. Las cartas maestras presentan las relaciones existentes entre los principales departamentos. Las cartas suplementarias muestran cada una, la estructura de departamento en forma ms detallada.

Ventajas: Proporciona

una

rpida

visualizacin

de

la

estructura

del

negocio.

Desventajas: Prdida de tiempo cuando no se est familiarizado a este sistema.


Dificultad para realizar pequeos cambios o modificaciones ya que se debe elaborar de nuevo.

Se recomienda como auxiliar a los otros mtodos. Mtodo mixto: que es la combinacin de los dos anteriores, ya que interroga por medio de cuestionarios y complementa los procesos, rutinas, y procedimientos de la empresa por medio de graficas, cuadros y diagramas.

Leccin 3

Elementos del control interno

Se identifican 5 elementos generales del control: 45 Ambiente de control Evaluacin de riesgos Actividades de control Informacin y comunicacin Supervisin o monitoreo

Tomado de. http://www.ele-ve.com.ar/local/cache-vignettes/L350xH260/grafico-piramide-828d4.jpg

Ambiente de control El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por

45

http://www.monografias.com/trabajos12/coso/coso.shtml

lo tanto determinantes del grado en que los principios de este ltimo imperan sobre las conductas y los procedimientos organizacionales. Es, fundamentalmente, consecuencia de la actitud asumida por la alta direccin, la gerencia, y por carcter reflejo, los dems agentes con relacin a la importancia del control interno y su incidencia sobre las actividades y resultados. Fija el tono de la organizacin y, sobre todo, provee disciplina a travs de la influencia que ejerce sobre el comportamiento del personal en su conjunto. Constituye el andamiaje para el desarrollo de las acciones y de all deviene su trascendencia, pues como conjuncin de medios, operadores y reglas previamente definidas, traduce la influencia colectiva de varios factores en el establecimiento, fortalecimiento o debilitamiento de polticas y procedimientos efectivos en una organizacin. Los principales factores del ambiente de control son:

La filosofa y estilo de la direccin y la gerencia. La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento. La integridad, los valores ticos, la competencia profesional y el compromiso de todos los componentes de la organizacin, as como su adhesin a las polticas y objetivos establecidos. Las formas de asignacin de responsabilidades y de administracin y desarrollo del personal. El grado de documentacin de polticas y decisiones, y de formulacin de programas que contengan metas, objetivos e indicadores de rendimiento.

En las organizaciones que lo justifiquen, la existencia de consejos de administracin y comits de auditoras con suficiente grado de independencia y calificacin profesional.

El ambiente de control reinante ser tan bueno, regular o malo como lo sean los factores que lo determinan. El mayor o menor grado de desarrollo y excelencia de stos har, en ese mismo orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organizacin.

Evaluacin de riesgos El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A travs de la investigacin y anlisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evala la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento prctico de la entidad y sus componentes de manera de identificar los puntos dbiles, enfocando los riesgos tanto al nivel de la organizacin (internos y externos) como de la actividad. El establecimiento de objetivos es anterior a la evaluacin de riesgos. Si bien aqullos no son un componente del control interno, constituyen un requisito previo para el funcionamiento del mismo. Los objetivos (relacionados con las operaciones, con la informacin financiera y con el cumplimiento), pueden ser explcitos o implcitos, generales o particulares. Estableciendo objetivos globales y por actividad, una entidad puede identificar los factores crticos del xito y determinar los criterios para medir el rendimiento. A este respecto cabe recordar que los objetivos de control deben ser especficos, as como adecuados, completos, razonables e integrados a los globales de la institucin. Una vez identificados, el anlisis de los riesgos incluir: Una estimacin de su importancia / trascendencia. Una evaluacin de la probabilidad / frecuencia. Una definicin del modo en que habrn de manejarse.

Dado que las condiciones en que las entidades se desenvuelven suelen sufrir variaciones, se necesitan mecanismos para detectar y encarar el tratamiento de

los riesgos asociados con el cambio. Aunque el proceso de evaluacin es similar al de los otros riesgos, la gestin de los cambios merece efectuarse independientemente, dada su gran importancia y las posibilidades de que los mismos pasen inadvertidos para quienes estn inmersos en las rutinas de los procesos. Existen circunstancias que pueden merecer una atencin especial en funcin del impacto potencial que plantean: Cambios en el entorno. Redefinicin de la poltica institucional. Reorganizaciones o reestructuraciones internas. Ingreso de empleados nuevos, o rotacin de los existentes. Nuevos sistemas, procedimientos y tecnologas. Aceleracin del crecimiento. Nuevos productos, actividades o funciones.

Los mecanismos para prever, identificar y administrar los cambios deben estar orientados hacia el futuro, de manera de anticipar los ms significativos a travs de sistemas de alarma complementados con planes para un abordaje adecuado de las variaciones.

Actividades de control Estn constituidas por los procedimientos especficos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevencin y neutralizacin de los riesgos. Las actividades de control se ejecutan en todos los niveles de la organizacin y en cada una de las etapas de la gestin, partiendo de la elaboracin de un mapa de riesgos segn lo expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden agruparse en tres categoras, segn el objetivo de la entidad con el que estn relacionados: Las operaciones

La confiabilidad de la informacin financiera El cumplimiento de leyes y reglamentos

En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar tambin a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la informacin financiera, stas al cumplimiento normativo, y as sucesivamente. A su vez en cada categora existen diversos tipos de control: Preventivo / Correctivos Manuales / Automatizados o informticos Gerenciales o directivos En todos los niveles de la organizacin existen responsabilidades de control, y es preciso que los agentes conozcan individualmente cuales son las que les competen, debindose para ello explicitar claramente tales funciones. La gama que se expone a continuacin muestra la amplitud abarcativa de las actividades de control, pero no constituye la totalidad de las mismas: Anlisis efectuados por la direccin. Seguimiento y revisin por parte de los responsables de las diversas funciones o actividades. Comprobacin de las transacciones en cuanto a su exactitud, totalidad, y autorizacin pertinente: aprobaciones, revisiones, cotejos, reclculos, anlisis de consistencia, prenumeraciones. Controles fsicos patrimoniales: arqueos, conciliaciones, recuentos. Dispositivos de seguridad para restringir el acceso a los activos y registros. Segregacin de funciones. Aplicacin de indicadores de rendimiento. Es necesario remarcar la importancia de contar con buenos controles de las tecnologas de informacin, pues stas desempean un papel fundamental en la gestin, destacndose al respecto el centro de procesamiento de datos, la adquisicin, implantacin y mantenimiento del software, la seguridad en el

acceso a los sistemas, los proyectos de desarrollo y mantenimiento de las aplicaciones. A su vez los avances tecnolgicos requieren una respuesta profesional calificada y anticipativa desde el control.

Informacin y comunicacin As como es necesario que todos los agentes conozcan el papel que les corresponde desempear en la organizacin (funciones, responsabilidades), es imprescindible que cuenten con la informacin peridica y oportuna que deben manejar para orientar sus acciones en consonancia con los dems, hacia el mejor logro de los objetivos. La informacin relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales. La informacin operacional, financiera y de cumplimiento conforma un sistema para posibilitar la direccin, ejecucin y control de las operaciones. Est conformada no slo por datos generados internamente sino por aquellos provenientes de actividades y condiciones externas, necesarios para la toma de decisiones. Los sistemas de informacin permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisin a travs de rutinas previstas a tal efecto. No obstante resulta importante mantener un esquema de informacin acorde con las necesidades institucionales que, en un contexto de cambios constantes, evolucionan rpidamente. Por lo tanto deben adaptarse,

distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y actividades estratgicas, a travs de la evolucin desde sistemas exclusivamente financieros a otros integrados con las operaciones para un mejor seguimiento y control de las mismas.

Ya que el sistema de informacin influye sobre la capacidad de la direccin para tomar decisiones de gestin y control, la calidad de aqul resulta de gran trascendencia y se refiere entre otros a los aspectos de contenido, oportunidad, actualidad, exactitud y accesibilidad. La comunicacin es inherente a los sistemas de informacin. Las personas deben conocer a tiempo las cuestiones relativas a sus responsabilidades de gestin y control. Cada funcin ha de especificarse con claridad, entendiendo en ello los aspectos relativos a la responsabilidad de los individuos dentro del sistema de control interno. Asimismo el personal tiene que saber cmo estn relacionadas sus actividades con el trabajo de los dems, cules son los comportamientos esperados, de que manera deben comunicar la informacin relevante que generen. Los informes deben transferirse adecuadamente a travs de una comunicacin eficaz. Esto es, en el ms amplio sentido, incluyendo una circulacin multidireccional de la informacin: ascendente, descendente y transversal. La existencia de lneas abiertas de comunicacin y una clara voluntad de escuchar por parte de los directivos resultan vitales. Adems de una buena comunicacin interna, es importante una eficaz comunicacin externa que favorezca el flujo de toda la informacin necesaria, y en ambos casos importa contar con medios eficaces, dentro de los cuales tan importantes como los manuales de polticas, memorias, difusin institucional, canales formales e informales, resulta la actitud que asume la direccin en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una slida cultura de control no tendr dificultades de comunicacin. Una accin vale ms que mil palabras.

Supervisin o monitoreo Incumbe a la direccin la existencia de una estructura de control interno idnea y eficiente, as como su revisin y actualizacin peridica para mantenerla en un nivel adecuado. Procede la evaluacin de las actividades de control de los

sistemas a travs del tiempo, pues toda organizacin tiene reas donde los mismos estn en desarrollo, necesitan ser reforzados o se impone directamente su reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas pueden encontrarse en los cambios internos y externos a la gestin que, al variar las circunstancias, generan nuevos riesgos a afrontar. El objetivo es asegurar que el control interno funciona adecuadamente, a travs de dos modalidades de supervisin: actividades continuas o evaluaciones puntuales. Las primeras son aquellas incorporadas a las actividades normales y recurrentes que, ejecutndose en tiempo real y arraigadas a la gestin, generan respuestas dinmicas a las circunstancias sobrevinientes. En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones: a) Su alcance y frecuencia estn determinados por la naturaleza e importancia de los cambios y riesgos que stos conllevan, la competencia y experiencia de quienes aplican los controles, y los resultados de la supervisin continuada. b) Son ejecutados por los propios responsables de las reas de gestin (autoevaluacin), la auditoria interna (incluidas en el planeamiento o solicitadas especialmente por la direccin), y los auditores externos. c) Constituyen en s todo un proceso dentro del cual, aunque los enfoques y tcnicas varen, priman una disciplina apropiada y principios insoslayables. La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles existan y estn formalizados, que se apliquen cotidianamente como una rutina incorporada a los hbitos, y que resulten aptos para los fines perseguidos. d) Responden a una determinada metodologa, con tcnicas y herramientas para medir la eficacia directamente o a travs de la comparacin con otros sistemas de control probadamente buenos. e) El nivel de documentacin de los controles vara segn la dimensin y complejidad de la entidad.

Existen controles informales que, aunque no estn documentados, se aplican correctamente y son eficaces, si bien un nivel adecuado de documentacin suele aumentar la eficiencia de la evaluacin, y resulta ms til al favorecer la comprensin del sistema por parte de los empleados. La naturaleza y el nivel de la documentacin requieren mayor rigor cuando se necesite demostrar la fortaleza del sistema ante terceros. f) Debe confeccionarse un plan de accin que contemple: El alcance de la evaluacin Las actividades de supervisin continuadas existentes. La tarea de los auditores internos y externos. Areas o asuntos de mayor riesgo. Programa de evaluaciones. Evaluadores, metodologa y herramientas de control. Presentacin de conclusiones y documentacin de soporte Seguimiento para que se adopten las correcciones pertinentes.

Las deficiencias o debilidades del sistema de control interno detectadas a travs de los diferentes procedimientos de supervisin deben ser comunicadas a efectos de que se adopten las medidas de ajuste correspondientes. Segn el impacto de las deficiencias, los destinatarios de la informacin pueden ser tanto las personas responsables de la funcin o actividad implicada como las autoridades superiores.

Leccin 3. Principios de control interno 46


Al proyectarse los sistemas de control interno administrativo u operacional, contable y de verificacin interna, segn los requerimientos y posibilidades que existan, deben tenerse en cuenta los principios de control interno, que tradicionalmente se conocen como: Divisin del trabajo. Fijacin de responsabilidad.

El cargo y el descargo.

La divisin del trabajo: Consiste en dividir entre varias personas o departamentos una operacin determinada de forma tal que esta no se inicie ni termine en la misma persona o departamento, lo que posibilita que los segundos verifiquen y conozcan el trabajo que realizaron los primeros.

Un primer objetivo es lograr que el trabajo de la contabilidad y otras operaciones estn tan subdivididas que ninguna persona tenga el control completo de los cobros e ingresos, los pagos, las compras, los gastos, la confeccin de las nminas y las ventas.

Un segundo objetivo es el de descubrir errores y fraudes, para lograrlo es imprescindible la separacin de la contabilidad y las operaciones; con esto se logra que la misma persona que realice una operacin (venta, cobro, recepcin, pago, depsito, compra, gasto, etc.) no sea la misma que la registre contablemente.

La fijacin de responsabilidad consiste en que toda persona, departamento, etc. tenga fijada documentalmente y conozca la responsabilidad, no solo de sus funciones si no de la relacionada con los medios y recursos que tienen a su cargo, sus atribuciones, facultades y responsabilidades en relacin con estos.

El cargo y el descargo estn directamente relacionados con ceder y aceptar la responsabilidad de un recurso en cada operacin o transaccin, debe quedar absolutamente claro, mediante la firma en los documentos

correspondientes, quien recibe y quien entrega, en qu cantidad y qu tipo de recurso. Al asumirse la responsabilidad oficial por la custodia de algo, evidentemente se extreman las precauciones y el cuidado, lo que limita el mal
46

Capote Cordovs, Gabriel Capote. El control interno y el control. Economa y Desarrollo No. 2 / Vol. 129 / Jun.-Dic. / 2001

uso,

las

prdidas

las

sustracciones.

Tambin

ello

posibilita

exigir

responsabilidad incluso legal en casos de prdidas, sustracciones y desvos.

Leccin 5. El control interno y la prctica de la auditora


Como a los auditores les interesa, al practicar la auditoria, determinar la confiabilidad de las operaciones, a travs de las evidencias primarias que deben corroborar en la prctica, definir si existen debilidades en el control interno les resulta fundamental. Para arribar a conclusiones fundamentadas en una seguridad razonable el auditor requiere de evidencias suficientes; estas se presentan como evidencias primarias y evidencias corroboradas. No se logra una confiabilidad razonable considerando solo uno de estos dos tipos de evidencias. No obstante, en los extremos de confiar en una o en otra, existe una variedad de posiciones: mientras ms consistente sea la evidencia primaria, se requiere menos evidencia corroborativa o viceversa. Lgicamente, si las cuentas u operaciones estn sustentadas en evidencias primarias muy confiables, el auditor necesitar menor cantidad de evidencias adicionales o complementarias para corroborar tal situacin, por el contrario, mientras menos confiable sea la evidencia primaria se requerir mayor evidencia corroboradora. Cuando el control interno es dbil el auditor puede subsanar tal situacin aumentando el volumen y la variedad de las pruebas corroboradoras para determinar la confiabilidad de las cuentas u operaciones sujetas a examen. Por lo expuesto, la determinacin de las debilidades del Sistema de Control Interno que existe en la entidad auditada le es fundamental al auditor en la etapa de exploracin, ya que de ello depende el volumen y variedad de las evidencias corroboradoras que debe obtener, y considerarlo en la planeacin del trabajo para evitar excederse del presupuesto de la auditora y del tiempo planificado, al verse envuelto en complicadas y necesarias comprobaciones que no fueron previstas.

Capitulo 3. Control interno informtico

Control interno informtico: controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizacin y/o la Direccin de Informtica, as como los requerimientos legales. 47

La misin del Control Interno Informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas.

Leccin 1. Objetivos del control interno informtico


Como principales objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria Informtica, as como de las auditorias externas al Grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico, lo cual no debe considerarse como que la implantacin de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la funcin de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, as como de la implantacin de los medios de medida adecuados.

Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC's, etc.) y entornos informticos (produccin, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:
47

PIATTINI, Mario. Auditoria Informtica. Un enfoque practico. Mxico: Alfaomega, 1998.p 27.

El cumplimiento de procedimiento, normas y controles dictados. Merece resaltarse la vigilancia sobre el control de cambios y versiones del software. Controles sobre la produccin diaria. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informtica. Controles en las redes de comunicaciones. Controles sobre el software de base. Controles en los sistemas microinformticos. La seguridad informtica (su responsabilidad puede estar asignada a control interno o bien puede asignrsele la responsabilidad de control dual de la misma cuando est encargada a otro rgano): - Usuarios, responsables y perfiles de uso de archivos y bases de datos. - Normas de seguridad. - Control de informacin clasificada. - Control dual de la seguridad informtica. Asesorar y transmitir cultura sobre el riesgo informtico.

Leccin 2. Elementos del control interno informtico


En particular, se analizar los elementos que se pueden aplicar como control interno informtico en el rea de sistemas:

Controles internos sobre la organizacin del rea de informtica. Controles internos sobre el anlisis, desarrollo e implementacin de sistemas Controles internos sobre la operacin del sistema Controles internos sobre los procedimientos de entrada de datos, el procesamiento de informacin y la emisin de resultados Controles internos sobre la seguridad del rea de sistemas

El siguiente cuadro resume los elementos del control interno aplicable a la informtica:
48

CONTROL INTERNO EN EL AREA DE INFORMATICA Controles internos sobre la organizacin del rea de informtica
Direccin Divisin del trabajo Asignacin de responsabilidad y autoridad Establecimiento de estndares y mtodos Perfiles de cargos

Controles internos sobre el anlisis, desarrollo e implementacin de sistemas


Estandarizacin de metodologas para el desarrollo de proyectos Asegurar que el beneficio de los sistemas sea el ptimo Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el anlisis y diseo de sistemas Vigilar la efectividad y eficiencia en la implementacin y mantenimiento del sistema Optimizar el uso del sistema por medio de su documentacin

Controles internos sobre la operacin del sistema


Prevenir y corregir los errores de operacin Prevenir y evitar la manipulacin fraudulenta de la informacin Implementar y mantener la seguridad en la operacin Mantener la oportunidad, confiabilidad, veracidad y suficiencia en el procesamiento de la informacin de la organizacin

Controles internos sobre los procedimientos de entrada de datos, el procesamiento de informacin y la emisin de resultados
Verificar la existencia y funcionamiento de los procedimientos de captura de datos Comprobar que todos los datos sean debidamente procesados Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos Comprobar la oportunidad, confiabilidad y veracidad en la emisin de os resultados del procesamiento de informacin

Controles internos sobre la seguridad del rea de sistemas


Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las reas de sistematizacin Controles sobre la seguridad fsica del rea de sistemas Controles sobre la seguridad lgica de los sistemas Controles sobre la seguridad de las bases de datos Controles sobre la operacin de los sistemas computacionales Controles sobre la seguridad del personal de informtica Controles sobre la seguridad de la telecomunicacin de datos Controles sobre la seguridad de redes y sistemas multiusuarios
48

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mxico. Pearson Educacin.2002.

Controles internos sobre la organizacin del rea de informtica. Al instalar este elemento de control interno informtico, se busca determinar si la estructura de organizacin del rea de sistemas computacionales es la ms apropiada para que estos funcionen con eficacia y eficiencia en la empresa; esto se logra mediante el diseo adecuado de cargos, unidades de trabajo, lneas de autoridad y canales de comunicacin, complementados con la definicin correcta de funciones y actividades, la asignacin de responsabilidad y la definicin clara de los perfiles de cargos. Controles internos sobre el anlisis, desarrollo e implementacin de sistemas Para cumplir con este elemento de control interno informtico, es necesario utilizar alguna de las metodologas para el anlisis y diseo de sistemas. La metodologa general para el desarrollo de sistemas (anlisis, diseo, programacin, implementacin pruebas y y correcciones, documentacin, el anlisis, capacitacin, desarrollo e

mantenimiento)

garantiza

implementacin correctos de cualquier sistema.

Controles internos sobre la operacin del sistema Este elemento se encarga de verificar y vigilar la eficiencia y eficacia en la operacin de dichos sistemas. Su existencia ayuda a verificar el cumplimiento de los objetivos del control interno tales como: Establecer la seguridad y proteccin de la informacin, del sistema de cmputo y de los recursos informticos de la empresa. Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su procesamiento en el sistema y la emisin de informes.

Contando con este elemento bsico, se puede prevenir y evitar posibles errores y deficiencias de operacin, as como el uso fraudulento de la informacin que

se procesa en un centro de cmputo, adems de posibles robos, piratera, alteracin de la informacin y de los sistemas, lenguajes y programas.

Controles internos sobre los procedimientos de entrada de datos, el procesamiento de informacin procesamiento de informacin y la emisin de resultados La adopcin de estos controles en el rea de sistematizacin es de gran ayuda en el procesamiento de informacin. Para lograr la eficiencia y eficacia al establecer este elemento en la captura de datos, es necesario tener bien establecidos aquellos mtodos, procedimientos y actividades que regularan la entrada de datos al sistema, verificar que los datos sen procesados de manera oportuna, evaluar la veracidad de los datos que se introducen al sistema y proporcionar la informacin que se requiere en las dems reas de la empresa.

Controles internos sobre la seguridad del rea de sistemas Dentro de los aspectos fundamentales que se deben contemplar en el diseo de cualquier centro de informtica, se encuentra la seguridad de sus recursos informticos, del personal, de la informacin, de sus programas, etc., esto se puede lograra a travs de medidas preventivas o correctivas, o mediante el diseo de programas de prevencin de contingencias para la disminucin de riesgos. Dentro de los principales aspectos de este elemento se encuentran:

Seguridad

Fsica Lgica De las bases de datos En la operacin Del personal de informtica De las telecomunicaciones En las redes

Tambin es importante determinar todo lo relacionado con los riesgos y amenazas que afectan a los sistemas de informacin, as como la prevencin de contingencias y la recuperacin de la informacin de sistemas en caso de que ocurra alguna contingencia que afecte su funcionamiento. Esto es muy importante para el establecimiento de este control interno informtico , ya que la informacin del rea de sistemas es el activo mas valioso de la empresa y todas las medidas que se adopten par ala prevencin de contingencias ser en beneficio de la proteccin de los activos de la institucin.

Con el establecimiento de los siguientes subelementos

de control interno

informtico se busca determinar las bases fundamentales sobre las que se establecern los requerimientos para manejar la seguridad de los sistemas de informacin, el siguiente cuadro los resume:

Controles para prevenir y evitar las amenazas, riesgos y contingencias en las reas de sistematizacin

Controles para la seguridad del rea fsica de sistemas

Control e accesos fsicos del personal al rea de computo Control de accesos al sistema, a las bases de datos, a los programas y a la informacin Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios Monitoreo de acceso de usuarios, informacin y programas de uso Existencia de manuales e instructivos, as como difusin y vigilancia del cumplimiento de los reglamentos del sistema Identificacin de los riesgos y amenazas para el sistema con el fin de adoptar las medidas preventivas necesarias Elaboracin de planes de contingencia, simulacros y bitcoras de seguimiento Inventario del hardware, mobiliario y equipo Resguardo del equipo de cmputo Bitcoras de mantenimiento y correcciones Controles de acceso del personal al rea de sistemas Control del mantenimiento a instalaciones y construcciones Seguros y fianzas para el personal, equipos y sistemas Contratos de actualizacin, asesora y mantenimiento del hardware

Controles para la seguridad lgica de los sistemas

Controles para la seguridad de las bases de datos

Controles para la seguridad en la operacin de los sistemas computacionales Controles para la seguridad del personal de informtica

Control para el acceso al sistema, a los programas y a la informacin Establecimiento de niveles de acceso Dgitos verificadores y cifras de control Palabras clave de acceso Controles para el seguimiento de las secuencias y rutinas lgicas del sistema Programas de proteccin para impedir el uso inadecuado y la alteracin de datos de uso exclusivo Respaldos peridicos de informacin Planes y programas para prevenir contingencias y recuperar informacin Control de acceso a las bases de datos Rutinas de monitoreo y evaluacin de operaciones relacionadas con las bases de datos Controles para los procedimientos de operacin Controles para el procesamiento de informacin Controles para la emisin de resultados Controles especficos para la operacin del computador Controles para el almacenamiento de la informacin Controles para el mantenimiento del sistema Controles administrativos de personal Seguros y finanzas para el personad de sistemas Planes y programas de capacitacin Controles para evitar modificar la configuracin de una red Implementar herramientas de gestin de la red con el fin de valorar su rendimiento, planificacin y control Control a las conexiones remotas Existencia de un grupo de control de red Controles para asegurar la compatibilidad de un conjunto de datos entre aplicaciones cuando la red es distribuida Verificacin de protocolos de comunicacin, contraseas y medios controlados de transmisin, hasta la adopcin de medidas de verificacin de trasmisin de la informacin

Controles para la seguridad en sistemas de redes y multiusuarios

Controles para seguridad en la telecomunicacin de datos

Leccin 3. anlogos

Control interno y auditoria infor mticos: campos

La evolucin de ambas funciones ha sido espectacular durante la ltima dcada. Muchos controles internos fueron una vez auditores. De hecho,

muchos de los actuales responsables de Control Interno Informtico recibieron formacin en seguridad informtica tras su paso por la formacin en auditoria. Numerosos auditores se pasan al campo de Control Interno Informtico debido a la similitud de los objetivos profesionales de control y auditoria, campos anlogos que propician una transicin natural.

Aunque ambas figuras tienen objetivos comunes, existen diferencias que conviene mostrar: 49
CONTROL INTERNO AUDITOR INFORMATICO INFORMATICO Personal interno Conocimientos especializados en tecnologa de la informacin y verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la direccin de informtica y la direccin general para los sistemas de informacin. Anlisis de los controles Anlisis de un momento en el da a da informtico determinado Informa a la direccin del Informa a la direccin departamento de general de la informtica organizacin Solo personal interno Personal Interno y/o externo El alcance de sus funciones es sobre el Tiene cobertura sobre departamento de todos los componentes informtica de los sistemas de informacin de la organizacin

SIMILITUDES

DIFERENCIAS

Leccin 4. Necesidad de una Auditoria Informtica


Las empresas sienten la necesidad de realizar una auditoria cuando presentan indicios de: descoordinacin y desorganizacin, mala imagen e insatisfaccin de los usuarios, debilidades econmico-financiero y de Inseguridad.50

49

50

PIATTINI, Mario. Auditoria Informtica: Un enfoque practico. Mxico. Alfaomega. 2001. www.monografias.com, Auditoria Informtica. canaves@infovia.com.ar

Sntomas de descoordinacin y desorganizacin: No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa. Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. (Puede ocurrir con algn cambio

masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante). Sntomas de mala imagen e insatisfaccin de los usuarios: No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc.. No se

reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de

entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles. Sntomas de debilidades econmico-financieras: Incremento desmesurado de costos. Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costos y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin). Sntomas de Inseguridad: Evaluacin de nivel de riesgos (Seguridad Lgica, Seguridad Fsica, Confidencialidad). Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditoria. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

Leccin 5. Implantacin de un sistema de controles internos informticos


Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados: Entorno de red: esquema de la red, descripcin de la configuracin hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los ordenadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad de la red. Configuracin del ordenador base: Configuracin del soporte fsico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de base de datos y entornos de procesos distribuidos. Productos y herramientas: Software para desarrollo de programas, software de gestin de bibliotecas y para operaciones automticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc.

Para la implantacin de un sistema de controles internos informticos habr que definir: Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes. Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes.

Seguridad:

incluye las tres clases de controles fundamentales

implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestin del cambio: separacin de las pruebas y la produccin a nivel del software y controles de procedimientos para la migracin de programas software aprobados y probados.

FUENTES DOCUMENTALES

CASTRO, Carlos. Auditoria y evaluacin de sistemas gua de estudio. Bogota: UNAD. 1999 DAGOBERTO, Jos. Auditoria Informtica Aplicaciones en produccin .Ecoe Ediciones: Bogota. 1999 DAGOBERTO, Jos. Auditoria Informtica un enfoque operacional .Ecoe Ediciones: Bogota. 1997 MUOZ, Carlos. Auditoria en sistemas computacionales. Mexico: Pearson Educacin. 2002 PIATTINI, Emilio. Auditoria Informtica un enfoque Practico. Mexico:

Alfaomega:1998

Sitios WEB http://www.monografias.com/trabajos11/siste/siste.shtml http://www.medal.org.ar/stadhelp/Std00007.htm http://www.isaca.cl/guias.html http://www.ati.es/gt/seguridad/PtoEncuentroAreas/MTTAuditoria_2000-1107.pdf http://www.agapea.com/La-Auditoria-de-los-Sistemas-de-Gestion-de-la-Calidadn26754i.htm http://www.ilustrados.com/publicaciones/EpVAAyVZZyUDnCBaVI.php http://www.ua.es/es/novedades/comunicados/2005/cursoAuditoriaSi.html http://www.iai.es/upload/doc/SistemasInformaci%C3%B3n-12_05.pdf