ESCUEL ESCUEL A DE CIENCIAS BASICAS BA SICAS TECNOLOGIA E INGENIERIA
MODULO AUDITORIA AUDITO RIA DE D E SISTEMAS 90168
Adriana Aguirre Aguirre Cabrera
[email protected] [email protected]
2009
INTRODUCCIÓN
El curso curso de Auditoria uditoria de sistemas es uno de los componentes componentes fundament fundamentales ales de la estructura curricular del programa de Ingeniería de sistemas, se concibe como el proceso de revisión, análisis, evaluación y recomendación acerca del desempeño desempeño de las actividades actividades en una una organi organizac zación, ión, con el propósito de verificar su correcta realización. realización. Se enmarca enmarca dentro dentro del campo de formación formación profesional electiva y tiene como objetivo la preparación de los estudiantes en su labor como auditores en la estructura y funcionamiento general de una empresa. El curso tiene 3 créditos académicos los cuales comprenden el estudio independiente y el acompañamiento tutorial, con el propósito de: Integrar y aplicar las diferentes competencias que ha adquirido el estudiante durante su formación profesional con el propósito de que su desempeño en esta labor tan especializada del auditaje de sistemas sea eficaz y eficiente. Ubicar Ubica r al estudiante dentro de un contexto contexto organizacional organizacional que le permitirá permitirá conocer y aplicar los principios y puntos básicos de la auditoria. Este curso esta compuesto compuesto por tres tres unidades unidades didácticas didácticas:: Unidad 1: Conceptos generales de la auditoria de sistemas Unidad 2: Auditoria informática Unidad 3: El auditor informático El curso es de carácter teórico y la metodología a seguir será bajo la estrategia de educación a distancia. Por tal razón, es importante planificar el proceso de:
Estudio Independiente: se desarrolla a través del trabajo personal y del trabajo en pequeños grupos colaborativos de aprendizaje Acompañamiento tutorial: corresponde al acompañamiento que el tutor realiza al estudiante para potenciar el aprendizaje y la formación. La evaluación del curso se realiza a través de procesos de autoevaluación, coevaluacion coevaluacion y heteroealuacion, los cuales permit permiten en comprobar el avance en el autoaprend autoaprendizaje izaje del curso. curso. El Sistema de interactividades vincula a los actores del proceso pedagógico de la siguiente manera: Tut Tutor-e or-est stu udiant ante: a travé avés del del acom acomp pañam añamiient ento indi ndivid vidual Estudiante-estudiante: mediante la participación activa en los grupos colaborativos de aprendizaje. Estudiantes-tutor: a través del acompañamiento a los pequeños grupos colaborativos de aprendizaje. Tut Tutor-e or-est stu udiant antes: medi ediant ante el acom acompa pañ ñami amient ento en grupo de cur curso Estudiantes-estudiantes: en los procesos de socialización que se realizan en el grupo de curso. A través de ellas se puede potenciar y orientar el trabajo de los estudiantes en el logro de los objetivos del curso y pueden realizarse de la siguiente manera: sincrónica, sincrónica, es decir a través través de encuentros encuentros directos o mediados y asincrónicas asincrónicas o diferidas es decir por correo electrónico, foros, redes de cooperación o grupos de discusión. La tecnologí tecnología a juega un un papel import importante ante en el proceso pedagógico pedagógico,, estimula estimula y despierta el interés facilitando el acceso al conocimiento y a su vez permite la interlocución entre sus actores.
El acceso acces o a documentos documentos adquiere una dimens dimensión ión de suma import importancia ancia en tanto tanto que la información sobre el tema exige conocimientos y planteamientos preliminares, por tal razón es imprescindible el recurso de diversas fuentes document documentales ales y el acceso acceso a diversos diversos medios com como son: son: bibliotecas bibliotecas electrónicas, electrónicas, hemerotecas digitales e impresas, sitios Web especializados. Durante su form formación profesional, profesional, bajo la estrategia de educació educación n abierta abierta y a distancia el estudiant estudiante e se capacitará y desarrollará desarrollará en competencias competencias que le permitirán permitirán desarrollar desarrollar el trabajo de una auditoria, definir sus objetivos, alcances alcances y metodología para instrumentarla, captar la información necesaria para evaluar la funcionalidad funcionalidad y efectividad de los proces procesos os y funciones, diagnosti diagnostica carr sobre sobre los métodos de operación y sistemas de información, detectar hallazgos y evidencias e incorporarlos en los papeles de trabajo, respetar las normas dentro la organización, así como analizar su estructura y funcionamiento en todos sus niveles. Toda Todas estas estas habi abilida lidad des le perm ermitirán desar esarroll ollar un trabaj abajo o con congrue gruen nte y efectivo en un proceso efectivo de auditaje y a su vez el desempeño exitoso como profesional.
1. JUSTIFICACIÓN
Uno de los intereses en la formación de los estudiantes del programa de ingeniería de sistemas y en general de cualquier ámbito disciplinar, es su formación integral a través del desarrollo de competencias, las cuales le permitirán una adecuada interacción en diferentes contextos como profesionales competitivos, generadores de cambio y progreso. El curso de auditoria centra al estudiante dentro de un contexto empresarial donde con sus habilidades y conocimientos puede contribuir al desempeño y cumplimi cumplimiento ento exitoso de los procedimientos procedimientos de de la organización, organización, pues estará estará preparado para identificar situaciones de riesgo y sugerir e implantar controles que garantice la seguridad de cualquier sistema. Este curso, de carácter teórico esta dirigido a estudiantes que se encuentren en la etapa final en su proceso de formación, permite el desarrollo de competencias cognitivas, comunicativas, contextuales y valorativas, fundamentales para la formación profesional en todos los campos. El logro de éstas competencias exige una planificación responsable en su proceso de autoaprendizaje si se quieren obtener resultados positivos en el desarrollo del curso. Este proceso se puede planificar de la siguiente manera: Estudio independiente: Estudio individual del material sugerido y consulta de otras fuentes (documentales, consulta en biblioteca, Internet, bibliografía recomendada, consulta a bases de datos documentales, entre otros) Trab Trabaj ajo o en gr grupo: Crea Creaci ción ón de gr grupos de de est estudio o discu discusi sión ón con con el el pr propósi opósitto de preparar consultas estructuradas al docente-tutor. Consultas al tutor: Consulta al tutor de las inquietudes surgidas en el punto anterior.
Retroalimentación: Una vez el tutor haya resuelto las inquietudes, estudie nuevamente el tema, teniendo en cuenta las sugerencias o respuestas dadas por el tutor. Procesos de evaluación: Una vez se haya realizado el proceso de retroalimentación, desarrolle los diferentes momentos de evaluación propuestos en el curso curso como son son la autoevaluación, coevaluación y heteroevaluación. heteroevaluación. De esta manera se pretende alcanzar los objetivos propuestos en el curso y la preparación satisfactoria en el auditaje de sistemas.
2. INTENCIONALIDADES FORMATIVAS
2.1 PROPÓSITO
Contribuir al mejoramiento del funcionamiento empresarial, a través del análisis y evaluación evaluación de de los procesos procesos que permit permitan an a los los estud es tudiantes iantes participar participar en la conformación de empresas sostenibles y competitivas.
2.2 OBJETIVOS
2.3
Identificar las bases concept conceptuales uales de la auditoria auditoria de sistem sistemas as Identificar y analizar el impacto de los riesgos que pueden afectar el funcionamiento de una empresa Conocer los procedimientos que hacen parte de un plan de auditoria de sistemas
METAS
El estudiante estará capacitado para:
Identificar los tipos de auditoria y sus normas generales Clasificar los riesgos según su origen y el efecto que tienen en el desarrollo de procesos.
Identificar los objetivos y componentes del control interno
Identificar las áreas de la auditoria informática
Presentar adecuadamente informes de auditoria
2.4 COMPETENCIAS
El estud estudiante iante analiza, analiza, comprende comprende e identifica identifica los diferentes diferentes ries riesgos gos dentro de los procesos procesos organizacionales organizacionales y ofrece alternativas alternativas de solución solución de acuerdo a las las exigencias exigencias de los mism mismos, os, aplicando conocimientos propios de su disciplina. El estudiante presenta informes de auditoria los cuales sustenta de manera argumentada de acuerdo a los lineamientos exigidos por las normas.
El estudiantes esta en la capacidad de realizar un procedimiento de auditaje respetando los principios de la ética profesional y responsabilidad legal del auditor
El estud estudiante iante est esta en capacidad capacidad de com comprender la realidad de un un entorno empresarial y elabora propuestas para el mejoramiento del desempeño de las mis mism mas contri contribuyendo buyendo al desarrollo de su región o localidad.
TABLA DE CONTENIDO
UNIDAD 1
CONCEPTOS CONCEPTOS GENERALES DE AUDITORIA AUDITORIA DE SISTEMAS SISTEMAS
Capitulo apitulo 1. Aspect Aspectos os generales generales Auditoria Auditoria Lección ección 1.Origen 1.Origen y antecedentes antecedentes de la auditoria auditoria Lección 2. Concepto de auditoria Lección 3. Importancia de la auditoria Lección 4. Objetivos de la auditoria Lección 5. Clasificación de la auditoria Capitulo 2. Técnicas y procedimientos procedimientos de auditoria Lección 1.Conceptos Lección 2.Técnicas que se aplican en el trabajo de auditoría Lección 3.Otras Técnicas en el trabajo de auditoría Lección 4. La entrevista entrevista como como una técnica técnica de auditoría auditoría Lección 5. Tipos de preguntas en la técnica de entrevista Capitulo 3. El programa programa de auditoria auditoria Lección 1.Desarrollo del programa de auditoria Lección 2. Normas personales o generales Lección 3: Normas relativas al trabajo de campo Lección 4: Normas relativas a la elaboración del informe de Auditoría Lección 5. Metodología de la auditoria
UNIDAD 2: A UDITORIA UDITORIA INFORMÁTICA
Capitulo 1. La auditoria auditoria informát informática ica Lección 1. Concepto, objetivos de la auditoria informática Lección 2. Alcance, import importancia ancia Lección 3. Necesidad de la auditoria informática Lección 4. Tipos de Auditoria Informática Lección 5. Medios disponibles y específicos de auditoria. Capitulo 2. Metodología Metodología de la auditoria auditoria informática informática Lección ección 1. Etapas del método de trabajo trabajo Lección 2. Técnicas, de auditoria auditoria Lección 3. P rocedimient rocedimientos os de auditoria auditoria Lección ección 4. Herramientas Herramientas de auditoria auditoria Lección 5. Elaboración y redacción del Informe Informe Final
Capitulo 3. El auditor Lección ección 1. Lección 2. 2. Lección 3. Lección ección 4. Lección ección 5.
Norm Normas as que regulan el com comportam portamiento iento del auditor auditor Fraude informático informático Características aracterísticas de los delitos delitos informát informáticos icos Tipificación ipificación de los delitos delitos informáticos informáticos Audit Auditor or versus delitos delitos informáticos informáticos
UNIDAD 3. CONTROL INTERNO
Capitulo apitulo 1. 1. Ge Generalid neralidades ades del control control Lección 1. Concepto oncepto de de control control Lección 2. Clasificación de los controles controles Lección 3. 3. Objetivos Objetivos del control control Lección ección 4. Elementos lementos y utilidad utilidad del control control Lección 5. Características, aracterísticas, ciclo de aplicación aplicación del del control Capitulo 2. Control interno Lección ección 1. Lección ección 2. Lección ección 3 Lección 4. Lección ección 5. 5.
Definición y objetivos del control control interno interno Importancia Importancia y métodos métodos del control int interno erno para la auditoria auditoria Elementos lementos del del control interno interno P rincipios rincipios de control control int interno erno El control control interno interno y la práctica práctica de la auditoría
Capitulo 3 Control interno interno informático informático Lección ección 1. 1. Lección ección 2. 2. Lección ección 3. 3. Lección ección 4. Lección ección 5.
Objetivos del cont control rol interno interno informát informático ico Elementos lementos del control interno interno informático informático Control interno interno y auditoria informáticos informáticos:: campos campos análogos Necesidad Necesidad de una auditoria auditoria informát informática ica Implantación Implantación de un sistem sistema a de controles controles internos informáticos informáticos
PRIMERA UNIDAD
CONCEPTOS GENERALES DE AUDITORIA AUDITORIA DE SISTEMAS
UNIDA UNIDAD D1 CONCEPTOS GENERALES DE AUDITORIA DE SISTEM SISTE MAS INTRODUCCION En esta unidad, se presentan los antecedentes, conceptos y definiciones que se agrupan en torno a la auditoria, el propósito es que usted identifique la esencia y razón de ser de esta disciplina, así como su importancia como actividad profesional, en la evaluación de los los sist s istemas emas comput computacionales. acionales.
OBJ OBJ ETIV ETIVOS Identificar los orígenes de la auditoria Distinguir entre los diferentes tipos de auditoria Reconocer las etapas generales de la metodología de la auditoria
Cap i t u l o 1. A s p ec t o s g en er al es d e au d i t o r ía
L ec c i ó n 1. Or i r i g en y an t ec ed en t es d e l a au d i t o r i a
En la medida en que se expandía el comercio y por ende las operaciones comerciales, los incipientes comerciantes tuvieron la necesidad e establecer mecanismos de registro que les permitieran controlar las operaciones mercantiles que realizaban. Conforme el número de comerciante creció se agruparon en gremios y mercados locales, surgió entonces, la necesidad de
contar con un mejor registro de sus actividades tanto individuales como conjuntas. Posteriormente estas agrupaciones crecieron hasta convertirse en incipientes empresas, donde fue necesario establecer un mayor control para conocer sus sus actividades actividades financieras.1 Este crecimiento dio origen al registro de operaciones mercantiles, dichas operaciones se asentaban de forma muy elemental; posteriormente surge la surge la partida doble y el registro de las operaciones financieras apareciendo la teneduría de libros. Conforme esta técnica evoluciono, se impulsó la contabilidad y el registro de operaciones en libros y pólizas. En la medida en que esto evolucionaba, fue necesario que alguien evaluara estos registros y que los resultados fueran correctos y veraces. Esta actividad requirió de alguien que verificara la veracidad y confiabilidad de estas operaciones surgiendo en ese momento el acto de auditar. Los orígenes de la auditoria data desde la revisión y el diagnostico que se practicaban a los registros de las operaciones contables de las empresas, pasando por el análisis, verificación y evaluación de sus aspectos financieros, hasta llegar al análisis de todos aquellos aspectos que intervienen en sus acti actividades, vidades, incrementando incrementando su alcance cuando se llegó a lo que se llamo llamo revisión integral. Actualmente se llevan a cabo revisiones de algunas áreas y actividades específicas que se desarrollan en las organizaciones. Entre estas se encuentran: la auditoria de sistemas computacionales, auditoria del desarrollo
de proyectos de mercadotecnia, auditoria de proyectos económicos y de muchas otras ramas de la actividad empresarial, involucrando las ramas de la ingeniería, medicina, sistemas y otras. En cualquiera de ellas se tienen que considerar los mismos principios y fundamentos teóricos y practicas que le dan vigencia a la profesión del auditor. 2 Aunque la revisión de registros y cuentas se pueden contar como el inicio de la auditoria, su reconocimiento como profesión se inicio en el comienzo del siglo presente, aunque hay evidencias que a mediados del siglo pasado los británicos, estadounidenses, españoles y mexicanos iniciaron la actividad formal de la auditoria. 3 Antec An teceden eden tes de l a Audi Au di tor to r ia de d e si st emas computacionales, dice: Carlos Muñoz Razo, en su libro Auditoria en sistemas computacionales, ”seria ocioso y sin ningún beneficio pr áctico profundizar en los orígenes de este tipo de auditoria pues se carece de evidencias comprobables sobre tales inicios. Se citan algunos principales principales autores sobre este tema:”
di torr ia d e Sis temas, tem as, en el cual En 1988, Echenique publico su libro Au dito establece las principales bases para el desarrollo de una auditoria de sistemas computacionales, dando un enfoque teórico-practico sobre el tema. En 1992. Lee presento un libro en el cual enuncia los principales aspectos a evaluar en una auditoria de sistemas, mediante una especie de guía que le indica al auditor los aspectos que debe evaluar en este campo. En 1993, Rosalía Escobedo Valenzuela presentas la UVM, una tesis de auditoria a los centros de cómputo, como apoyo a la gerencia, destacando sus aspectos más importantes.
1
MUNOZ, Razo Carlos. Carlos. Auditoria en sistemas computacionales. computacionales. Mexico. Pearson Educación.2002 MUNOZ, Razo Carlos. Carlos. Auditoria en sistemas computacionales. computacionales. Mexico. Pearson Educación.2002 3 MUNOZ, Razo Carlos. Carlos. Auditoria en sistemas computacionales. computacionales. Mexico. Pearson Educación.2002 2
En 1994, G. Haffes, F. Holgin y A. Galan, en su libro sobre auditoria de los estados financieros, presenta una parte relacionada con la auditoria de sistemas, que profundiza en los aspectos básicos de control de sistemas y se complementa con una serie de preguntas que permiten evaluar aspectos relacionados con con este campo. En 1995, 1995, Ma. Guadalu G uadalupe pe Buiendia Buiendia Aguilar y Edith dith Antoniet Antonieta a Cam Campos pos de la O. presentan un tratado de auditoria informática (apoyándose en lo señalado por el maestro Echenique), en el cual presentan metodologías y cuestionarios útiles para realizar esta es ta especialidad. especialidad. En 1995, Yann Darrien presenta un enfoque particular sobre la auditoria de sistemas. Auditoria. Un En 1996, 1996, Alvin Alvin A. Arens y J ames ames K. K . Loebb Loebbecke ecke,, en su libro libro Auditoria. enfoque integral, presenta una parte de e sta obra como Auditoria de Sistemas Complejos PED.
En 1996, Hernández Hernández propone la auditoria en informatica, en la cual da ciertos aspectos relacionados con esta disciplina. En 1997, Francisco Avila obtiene mención honorífica en su examen profesional, en la UVM, Campus San Rafael, con una tesis en la cual propone un caso practico de auditoria de sistemas realizado en una empresa para estatal. En 1988, Yann Darrien Presenta, Técnicas de Auditoria, donde hace una propuesta propuesta de diversas diversas tecnicas tecnicas de esta disciplin disciplina. a.
EN 1998. Mario Mario G. P iatti iattini ni y Emilio milio del del Peso P eso present presentan an Auditoria Auditoria Informática, Informática, un enfoque práctico,
donde mencionan diversos enfoques y aplicaciones de esta
disciplina.
L ec c i ó n 2. Co n c ep t o d e au d i t o r i a Hay varios conceptos de auditoria, auditoria, pero en general general coinciden en que que es un proceso de revisión, evaluación y presentación de un informe final para la gerencia. Alguno Algunoss conceptos conceptos se presentan presentan a cont c ontinuación: inuación: La palabra auditoria viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.4 La Au d ito it o r ia , es una disciplina expresada en normas, conceptos, técnicas, procedimientos y metodología, que tiene por objeto examinar y evaluar críticamente una determinada realidad, para emitir una opinión independiente sobe un aspecto o la totalidad del objeto auditado.5 Aud A ud it or ía, es el examen profesional, objetivo e independiente, de las
operaciones financiera y/o Administrativas, que se realiza con posterioridad a su ejecución en las entidades públicas o privadas y cuyo producto final es un informe conteniendo opinión sobre la información financiera y/o administrativa auditada, así como conclusiones y recomendaciones tendientes a promover la 4
http://www.monografias.com/trabaj http://www.monografias.com/trabajos3/concepaudit/c os3/concepaudit/concepaudit.shtml#_Toc475957349 oncepaudit.shtml#_Toc475957349 PINILLA, José. Auditoria Informática. Un enfoque operacional. Segunda edición. Bogotá: Ecoe ediciones. 1997, p., 37 5
economía, eficiencia y eficacia de la gestión empresarial o gerencial, sin perjuicio de verificar el cumplimiento de las leyes y regulaciones aplicables. 6 Según Pablo Emilio Torres Flores, en: Curso elemental de auditoria, el concepto anterior destaca los siguientes elementos principales: Del concept concepto o se se aprecian los siguient iguientes es elementos elementos principales: principales: 1. Es un examen profesional, objetivo e independiente 2. De las operaciones financieras y/o Administrativas 3. Se realiza con posterioridad a su ejecución. 4. producto final es un informe 5. Conclusiones y recomendaciones 6. Promover la economía, eficiencia y eficacia En la grafica se resume el concepto:
6
http://www.mailxmail.com http://www.mailxmail.com/curso-elemental /curso-elemental-auditoria/co -auditoria/concepto-auditoria ncepto-auditoria
L ec c i ó n 3. Imp o r t an c i a d e l a au d i t o r i a Impor Impor tancia de la auditor auditor ia
La auditoria en general es muy importante, por cuanto permite a la dirección tener la seguridad de que el desarrollo de las actividades de la empresa son verdaderas verdaderas y confiables confiables.. La auditoria permite además, evaluar el grado de eficiencia y eficacia con el que se desarrollan las tareas administrativas, el desarrollo de los programas y las políticas de la gerencia. EL proceso de auditor auditoría ía perm permit ite e a las organizaciones mejorar mejorar el desempeño desempeño de sus funciones en forma continua, verificando que las actividades y los resultados están conforme a lo planeado y alcanzan los objetivos previstos, a la vez que proporciona a la gerencia información con el fin de que se realicen mejoras según los fallos detectados, permitiendo a la gerencia tomar decisiones con base en hechos según según los informes informes generados generados en en el proces proceso o de audit auditaje. Tamb También es import ortant ante con consid siderar erar la plan planiifica ficaci ción ón de la audi audittori oria, ent entre sus sus objetivos objetivos se s e destacan: 7
7
Conocer la estr es truct uctura ura organizacional
Familiarizarse con las operaciones
Estudiar la reglamentación aplicable
Identificar las áreas u objetivos a auditarse
Seleccionar los programas de auditoría que se utilizarán
Preparar un plan de trabajo y estimado de tiempo
http://www.ocpr.gov.pr/educacion_y_prevencion/auditoria_interna/2009/adistramiento_auditores_int/ agencias_departamentos_corp/Presentaciones%208%20de%20mayo%20SN/Planificacion%20de%20auditoria.pdf
Paso Pasoss a efectuarse efectuarse dur ante la planifi cación de una auditor ía: ía:
Asignar el equipo de trabajo (independencia)
Notificar el comienzo de la auditoría (solicitud de documentos)
Coordinar una reunión inicial con el funcionario principal del área auditada
Obtener y estudiar documentos e información sobre la unidad a auditarse
Reunirse con el Auditor que hizo la auditoría anterior
Preparar un Plan de Trabajo y Estimado de Tiempo para la Planificación
L ec c i ó n 4. Ob je j et i v o s d e l a au d i t o r i a Objetivos Objetivos generales generales de la auditoria 8
Realizar una evaluación independiente de las actividades, áreas o funciones especiales de una institución, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados. Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos que regulan la actuación de los empleados y funcionarios de una institución, así como evaluar las actividades que se desarrollen en sus áreas y unidades administrativas. Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus funciones y cumplimiento de sus objetivos y operaciones
8
MUNOZ, Razo Carlos. Carlos. Auditoria en sistemas computacionales. computacionales. Mexico. Pearson Educación.2002
L ec c i ó n 3. Cl as i f i f i c ac i ó n d e l a au d i t o r i r i a En la tabla 9 se indican los tipos de auditoria, según la procedencia del auditor, su área de aplicación, en áreas especificas y en sistemas computacionales: AUDITORIA AUD ITORIA POR L A
AUDITO RIAS POR SU
AUDIT ORIAS
AUDITO RIA EN SISTE MAS
PROCEDENCIA PROCEDENCIA D E
AREA DE APLICAC A PLICAC ION
ESPECILIZADAS EN AREAS
COMPUTACIONALES
AUDITO R
ESPECIFICAS
Audi Au di tor ia ex ter na
Aud it or ia fi nanci nan ci era
Au dito di tori ri a del área me dica di ca
Aud it or ia i nfor nf ormát mátic ic a
Audi Au di tor ia i nter na
Aud it or ia admi ni st rat iv a
Au dito di tori ri a al d esarr oll ol l o de
Aud it or ia con c on el com c om put ado r
Aud it or ia op eraci onal on al
Aud it or ia si n el co mput mpu t ador
Aud it or ia in tegr al
Aud it or ia a l a gest ió n
Aud it or ia guber gu ber namen tal
obras y construcciones Au dito di tori ri a fis cal Audi Au di tor ia l abor al Au dito di tori ri a de pr oy ectos ect os de
informática
inversión Au dito di tori ri a a la caj a meno r
computo
Aud it or ia al rededor reded or del computador
Au dito di tori ri a al man ejo d e
mercancías
Aud i tor ia al si st ema de
Aud it or ia de l a seg uri dad en sistemas computacionales computacionales
Au dito di tori ri a ambi ental
Aud i tor ia a l os s is t emas d e redes
Aud it or ia i ntegr nt egral al a l os cent ros ro s de computo
Aud i tor ia ISO-9000 a lo s sistemas computacionales computacionales
Aud it or ia ou ts ourc ou rcin ing g
Aud i tor ia erg onóm on ómic ic a de de sistemas computacionales computacionales
Por la procedencia del auditor:
se refiere a la forma en que se realiza este
tipo de trabajo y también a como se establece la relación laboral en las empres empresas as donde se llevara llevara cabo la auditoria. Se Se divide en auditorí auditoría a interna interna y externa.
Au di to ría exter ext erna: na: el objetivo fundamental es el de examinar y evaluar una
determinada determinada realidad por personal ext externo erno al ente auditado, auditado, para para emitir emitir una una 9
MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. computacionales. Mexico. Pearson Educación.2002
opinión independiente sobre el resultado de las operaciones y la validez técnica del sistema de control que esta operando en el área auditada. Ventajas:
al no tener ninguna dependencia de la empresa el trabajo del auditor es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada.
En su realización estas auditorias pueden estar apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan técnicas y herramientas que ya fueron probadas en otras empresas con caracterís característi ticas cas similares similares..
Desventajas:
La información del auditor puede estar limitada a la información que puede recopilar debido a que conoce poco la empresa.
Dependen en absoluto de la cooperación que el auditor pueda obtener por parte de los auditados. Su evaluación, alcances y resultados pueden ser muy limitados. Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan.
Aud A ud it or ía inter in ter n a: es una función de control al servicio de la alta dirección
empres empresarial. arial. E l auditor interno interno no no ejerce autoridad autoridad sobre quienes quienes toman toman decisiones o desarrollan el trabajo operativo, no revela en ningún caso la responsabilidad de otras otras personas en la organización. El objetiv objetivo o final final es contar con un un dictamen dictamen interno interno sobre las actividades actividades de toda toda la la empres empresa, a, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan.
Por su área de aplicación:
Au d it or ía fi nanc nan c ier ie r a: tiene como objeto el estudio de un sistema contable y
los correspondientes estados financieros, con miras a emitir opinión independiente sobre la razonabilidad financiera mostrada en los estados financieros del ente auditado.
Au di to ria ri a admin adm in istr is tr ativ ati v a: Evalúa el adecuado cumplimiento de las
funciones, operaciones y actividades de la empresa principalmente en el aspecto aspecto administrati administrativo. vo. Es la revisión sistem sistemática ática y exhausti exhaustiva va que que se realiza en la actividad administrativa de una empresa, en cuanto a su organización, las relaciones entre sus integrantes y el cumplimiento de las funciones y actividades que regulan sus operaciones.
Au d it or ia oper op eraci aci on al: tiene como objeto de estudio el proceso
administrativo y las operaciones de las organizaciones, con miras a emitir opinión sobre la habilidad de la gerencia para manejar el proceso administrativo administrativo y el grado de economicidad, economicidad, eficiencia eficiencia y efectividad de de las operaciones del ente auditado.
Au d it or ia in tegr teg r al: la auditoria integral esta dada por el desarrollo integrado
de la de audit auditoria financiera, financiera, operacional y legal. Tiene como como objeto objeto de estudio los respectivos campos de las finanzas, la administración y el derecho, en relación con su aplicación a las operaciones económicas, de los entes auditados auditados.. Tiene como objetivo objetivo emitir emitir una opinión independiente independiente sobre la aplicación de las normas contables, administrativas y legales de las operaciones económicas con base en los parámetros de economicidad, eficiencia y efectividad.
En esta auditoría se conjuga la participación de muchos profesionales de distintas especialidades, quienes aparentemente no tienen relación entre si por lo diferente de sus áreas de actuación, pero que al conjuntar sus trabajos contribuyen en gran medida a elevar los alcances, la profundidad y eficacia de la evaluación de todas las áreas de una misma empresa. Au di tor to r ia
gu ber nament nam ent al: Es la revisión exhaustiva, sistemática y concreta
que se realiza a todas las actividades y operaciones de una entidad gubernamental. gubernamental. E sta evaluación se ejecuta con el fin de de evaluar el correcto correcto desarrollo de las funciones de todas las áreas y unidades administrativas de dichas entidades, así como los métodos y procedimientos que regulan las actividades necesarias para cumplir con os objetivos gubernamentales. el avance de la auditoria no se detiene y requiere de una una mayor mayor especializac especialización ión en la evaluación evaluación de las áreas y ramas ramas del desarrollo tecnológico. Por esta razón las auditorias son cada vez mas singulares singulares y est están enfocadas a satisfacer necesidades concretas concretas de revisión revisión y dictamen, según la especialidad de que se trate Especializada en áreas específicas:
Au di to ria ri a del de l área ár ea médi mé dica: ca: es la revisión sistemática, exhaustiva y
especializada que se realiza a las ciencias medicas y de la salud, aplicadas solo por especialistas de disciplinas medicas o similares con el fin de emitir un dictamen especializado sobre el correcto desempeño de las funciones y actividades del personal medico, técnicos en salud y similares, como también sobre la atención que las dependencias y el personal prestan a pacientes, familiares y proveedores.
Au di to ria ri a al d esar es arro roll lo de o br as y co ns tr uc cion ci on es: es la revisión técnica
especializadas que se realiza a la edificación de construcciones. Su propósito es establecer un dictamen especializado sobre la correcta
aplicación de las técnicas, cálculos, métodos y procedimientos de la ingeniería civil y la arquitectura.
Au di to ría fis f is cal: ca l: es la revisión exhaustiva, pormenorizada y completa que
se realiza a los registros y operaciones contables de una empresa, así como la evaluación de la correcta elaboración de los estados financieros.
Au d it or ia labo la borr al: es la evaluación de las actividades, funciones y
operaciones operaciones relacionadas con el
factor humano humano de una empresa empresa,, su
propósito es dictaminar sobre el adecuado cumplimiento en la selección, capacitación y desarrollo del personal, la correcta aplicación de las prestaciones sociales y económicas, el establecimiento de las medidas de seguridad e higiene en la empresa, los contratos de trabajo, los reglamentos internos de trabajo, normas de conducta y demás actividades que intervienen en la gestión de personal de una empresa.
Au d it or ia d e pr o yec tos to s de in ver si ó n: es la revisión y evaluación que se
realiza a los planes, programas y ejecución de las inversiones de los recursos económicos de una institución pública o privada, con el propósito de dictaminar sobre el uso y control correctos de esos recursos, evaluando que su aplicación sea exclusivamente para cumplir el objetivo del proyecto.
Au d it or ia a la c aja meno men o r o c aja may ma y or: or : es la revisión periódica del
manejo del efectivo que se asigna a una persona o área de una empresa, y de los comprobantes de ingresos y egresos generados por sus operaciones cotidianas; dicha revisión se lleva a cabo con el fin de verificar el adecuado manejo, control y custodia del efectivo disponible para gastos menores, así como de evaluar el uso, custodia y manejo correctos de los fondos de la empresa.
Au d it or ía ambi am bi ental: ent al: es la evaluación que se hace de la calidad del aire, la
atmósfera el ambiente, las aguas, los ríos, los lagos y océanos, así como de la conservación de la flora y la fauna silvestres, con el fin de dictaminar sobre las medidas preventivas y correctivas que disminuyan y eviten la contaminación provocada por los individuos las empresas, los automotores, las maquinarias, y así preservar la naturaleza y mejorar la calidad de vida de la sociedad. De sist emas emas com putacionales (auditor (auditor ia inform ática): ática):
Au d it or ia in for fo r mátic mát ic a: es la revisión técnica, especializada y exhaustiva
que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales o compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de los recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo.
Au d it or ia co n el co mp utad ut ador or:: Es la auditoria que se realiza con el apoyo
de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas, pero sí susceptibles de ser automatizadas; dicha auditoria se realiza también a las actividades del propio centro de sistemas y a sus componentes. La principal característica de este tipo de auditoria es que, sea en un caso o en otro, o en ambos, se aprovecha el computador y sus programas para la evaluación de las actividades a revisar, de acuerdo con las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditoria.
Au d it or ia s in el c o mp utad ut ado o r: Es la auditoria cuyos métodos, técnicas y
procedimientos están orientados únicamente a la evaluación tradicional de! comportamiento y validez de tas transacciones económicas, administrativas y operacionales de un área de cómputo, y en sí de todos los aspectos que afectan a las actividades en las que se utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de los sistemas computacionales. Es también la evaluación tanto a la estructura de organización, funciones y actividades de funcionarios y personal de un centre de cómputo, así como a los perfiles de sus puestos, como de los reportes, informes y bitácoras de los sistemas, de la existencia y aplicación de planes, programas y presupuestos en dicho centro, así como del uso y aprovechamiento de los recursos informáticos para la realización de actividades, operaciones y tareas. Asimismo, es la evaluación de los sistemas de seguridad y prevención de contingencias, de la adquisición y uso del hardware, software y personal informático, y en sí de todo lo relacionado con el centro de cómputo, pero sin el uso directo de los sistemas computacionales.
Au d it or ia a l a g esti es tión ón
info in forr m átic áti c a: Es la auditoria cuya aplicación se
enfoca exclusivamente a la revisión de las funciones y actividades de tipo administrativo que se realizan dentro de un centro de cómputo, tales como la planeación, organización, dirección y control de dicho centro. Esta auditoria se realiza también con el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios, empleados y usuarios de las áreas de sistematización, así como para revisar y evaluar las operaciones del sistema, el uso y protección de los sistemas de procesamiento, los programas y la información. Se aplica también para verificar el correcto desarrollo, instalación, mantenimiento y explotación de los sistemas de cómputo, así como sus equipos e instalaciones. Todo esto se lleva a cabo con el propósito de dictaminar sobre la adecuada gestión administrativa de
los sistemas computacionales de una empresa y del propio centro informático.
Au d it or ia al sis si s tema tem a d e có mpu mp u to : Es la auditoria técnica y especializada
que se enfoca únicamente a la evaluación del funcionamiento y uso correctos del equipo de cómputo, su hardware, software y periféricos asociados. Esta auditoria también se realiza a la composición y arquitectura de las partes físicas y demás componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones internas o externas, así como al diseño, desarrollo y uso del software de operación, de apoyo y de aplicación, ya sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo, o paquetería de aplicación institucional que se utiliza en la empresa donde se encuentra el equipo de cómputo que será evaluado. Se incluyo también la operación del sistema.
Au d it or ia en el ento en torr n o d el com co m pu tado tad o r : Es la revisión específica que se
realiza a todo lo que está alrededor de un equipo de cómputo, como son sus sistemas, actividades y funcionamiento, haciendo una evaluación de sus métodos y procedimientos de acceso y procesamiento de datos, la emisión y almacenamiento de resultados, las actividades de planeación y presupuestación del propio centro de cómputo, los aspectos operacionales y financieros, la gestión administrativa de accesos al sistema, la atención a los usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en sí, a todos aquellos aspectos que contribuyen al buen funcionamiento de un área de sistematización .
Au di to ria ri a so br e la seg ur i dad de sist si st emas co mp utac ut acio io nales nal es:: es la
revisión exhaustiva, técnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cómputo, sus áreas y personal, así como a las actividades, funciones y acciones preventivas y correctivas
que
contribuyan
a
salvaguardar
la
seguridad
de
los
equipos
computacionales, las bases de datos, redes, instalaciones y usuarios del sistema. Es también la revisión de los planes de contingencia y medidas de protección para la información, los usuarios y los propios sistemas computacionales, y en sí para todos aquellos aspectos que contribuyen a la protección y salvaguarda en el buen funcionamiento del área de sistematización, sistemas de redes o computadores personales, incluyendo la prevención y erradicación de los virus informáticos.
Au di to ria ri a a lo s sist si st emas de redes re des : es la revisión exhaustiva, específica y
especializada que se realiza a los sistemas de redes de una empresa, considerando en la evaluación los tipos de redes, arquitectura, topología, sus protocolos de comunicación, las conexiones, accesos, privilegios, administración y demás aspectos que repercuten en su instalación, administración, funcionamiento y aprovechamiento. Es también la revisión del software institucional, de los recursos informáticos e información de las operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones, software y hardware de un sistema de red.
Au d it or ia in tegr teg r al a lo s c entr en tros os d e c ompu om puto to : es la revisión exhaustiva,
sistemática y global que se realiza por medio de un equipo multidisciplinario de auditores, de todas las actividades y operaciones de un centro de sistematización, a fin de evaluar, en forma integral, el uso adecuado de sus sistemas de cómputo, equipos periféricos y de apoyo para el procesamiento de información de la empresa, así como de la red de servicios de una empresa y el desarrollo correcto de las funciones da sus áreas, personal y usuarios. Es también la revisión de la administración del sistema, del manejo y control de los sistemas operativos, lenguajes, programas y paqueterías de aplicación, así como de la administración y control de proyectos, la adquisición del hardware y software institucionales, de la adecuada integración y
uso de sus recursos informáticos y de la existencia y cumplimiento de las normas, políticas, estándares y procedimientos que regulan la actuación del sistema, del personal y usuarios del centro de cómputo. Todo esto hecho de manera global por medio de un equipo multidisciplinario de auditores.
es la revisión exhaustiva, sistemática y especializada que se realiza para evaluar la calidad en el servicio de asesoría o procesamiento externo de información que proporciona una empresa a otra. Esto se lleva a cabo con el fin de revisar la confiabilidad,
Au d it or ia
outs ou tsou ourr c ing: in g:
oportunidad, suficiencia y asesoría por parte de los prestadores de servicios de procesamiento de datos, así como el cumplimiento de las funciones y actividades que tienen encomendados tos prestadores de servidos, usuarios y el personal en general. Dicha revisión so realiza también en los equipos y sistemas.
Au dito di to r ia erg on óm ica ic a de si stemas st emas c om pu tacio tac io nales: nal es: es la revisión
técnica, específica y especializada que se realiza para evaluar la calidad, eficiencia y utilidad del entorno hombre-máquina-medio ambiente que rodea el uso de sistemas computacionales en una empresa. Esta revisión se realiza también con el propósito de evaluar la correcta adquisición y uso del mobiliario equipo y sistemas, a fin de proporcionar el bienestar, confort y comodidad que requieren los usuarios de los sistemas de cómputo de la empresa, así como evaluar la detección de los posibles problemas y sus repercusiones, y la determinación de las soluciones relacionadas con la salud física y bienestar de los usuarios de los sistemas de la empresa.
Cap i t u l o 2. Téc n i c as y p r o c ed i m i en t o s d e au d i t o r i a
L ec c i ó n 1. Co n c ep t o s
10
Técnicas de auditoría: se refieren a los métodos usados por el auditor para
recolectar evidencia. Los ejemplos incluyen, entre otras, la revisión de la documentación, entrevistas, cuestionarios, análisis de datos y la observación física.11 Procedimientos de auditoría: son el conjunto de técnicas aplicadas por el
auditor en forma secuencial; desarrolladas para comprender la actividad o el área objeto del examen; para recopilar la evidencia de auditoría para respaldar una observación o hallazgo; para confirmar o discutir un hallazgo, observación o recomendación con la administración.12 Relación Relación entr e técnicas técnicas y procedimi pr ocedimientos entos de aud auditor itoría ía::
10
http://www.cgr.gov.bo/Porta http://www.cgr.gov.bo/PortalCGR/ lCGR/uploads/Tecproaud.pdf uploads/Tecproaud.pdf http://www.cgr.gov.bo/PortalCG http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf R/uploads/Tecproaud.pdf 12 http://www.cgr.gov.bo/PortalCG http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf R/uploads/Tecproaud.pdf 13 http://www.cgr.gov.bo/PortalCG http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf R/uploads/Tecproaud.pdf 11
13
Considerando que los procedimientos de auditoría constituyen el conjunto de técnicas de investigación que el auditor aplica a la información sujeta a revisión, mediante las cuales obtiene evidencia para sustentar su opinión profesional; las técnicas constituyen un detalle del procedimiento. El auditor para realizar su trabajo utiliza un conjunto de herramientas, que se denominan técnicas de auditoría. Dado que procedimiento significa método de ejecutar alguna cosa, la aplicación de las distintas técnicas de auditoría para aplicarlas al estudio particular de una cuenta u operación se denomina procedimiento de auditoría. Respecto de los procedimientos, es conveniente determinar los procedimientos de auditoría, en el sentido de decidir qué técnica o técnicas de auditoría deberían formar parte, con carácter general, de un procedimiento de auditoría. Ello es así porque el auditor, generalmente, no puede obtener la evidencia necesaria y suficiente mediante la aplicación de un solo procedimiento de auditoría, sino que -por el contrario- debe examinar los hechos que se le presentan mediante la aplicación simultánea o sucesiva de varios procedimientos de auditoría. Cuando se aplican o ejecutan los procedimientos de auditoría, se dice que se está realizando una prueba de auditoría. Por ello, resumiendo las definiciones expuestas, se puede señalar que: los procedimientos de auditoría son un conjunto de técnicas y que la puesta en práctica de dichos procedimient procedimientos os constituyen constituyen o se se materializan materializan en pruebas pruebas de audit auditorí oría. a.
L ec c i ó n 2 Téc n i c as q u e s e ap l i c an en el t r ab a j o d e au d i t o r ía14 El examen de cualquier operación, actividad, área, programa, proyecto o transacción, se realiza mediante la aplicación de técnicas, y el auditor debe conocerlas para seleccionar la más adecuada, de acuerdo con las características y condiciones del trabajo que realiza. 14
http://www.cgr.gov.bo/PortalCG http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf R/uploads/Tecproaud.pdf
En el trabajo de Auditoría, se pueden utilizar las técnicas de general aceptación, las cuales se clasifican generalmente sobre la base de la acción que se va a efectuar, es así que tenemos las siguientes: • • • • •
Verbal Verbales es o testim estimoni onial ales es Docu Docum mentales Físicas Anal Analíti íticas Informáticas
Técn Técnicas icas verbales o testi testimoni moniales ales
Permiten conseguir información de forma oral al interior o fuera de la entidad. Estas son utilizadas muy frecuentemente y le permiten al auditor confirmar evidencias encontradas en otras indagaciones así como también dilucidar asuntos que ameriten mayor investigación y documentación.
La evidencia que se obtenga a través de esta técnica, debe documentarse adecuadamente mediante papeles de trabajo preparados por el auditor, en los cuales se describan las partes involucradas y los aspectos tratados. Las técnicas verbales pueden ser:
- Entrevista: Consiste en la averiguación mediante la aplicación de preguntas directas al personal de la entidad auditada o a terceros, cuyas actividades guarden relación con las operaciones de esta. - Encuestas y cuestionarios: Es la aplicación de preguntas, relacionadas con las operaciones realizadas por el ente auditado, para conocer la verdad de los hechos, situaciones u operaciones.
Documentales
Consisten en obtener información escrita para soportar las afirmaciones, análisis o estudios realizados por los auditores. Estas pueden ser: Comprobación : Consiste en verificar la evidencia que apoya o - Comprobación: sustenta una operación o transacción, con el fin de corroborar su autoridad, legalidad, integridad, propiedad, veracidad mediante el examen de los documentos que las justifican. Radica en corroborar la verdad, certeza o probabilidad de hechos, situaciones, sucesos u operaciones, mediante datos o información obtenidos de manera directa y por escrito de los funcionarios o terceros que participan o ejecutan las operaciones sujetas a verificación. verificación. -
Conf Conf irmación: irmación:
L ec c i ó n 3.Ot r as Téc n i c as en el t r ab a jo j o d e au d i t o r í r ía
Físicas
Consisten en verificar en forma directa y paralela, paralela, la manera como los responsables desarrollan y documentan los procesos o procedimientos, mediante los cuales la entidad auditada ejecuta las actividades objeto de control. Esta técnica permite tener una visión de la organización desde el ángulo que el auditor necesita, o sea, los procesos, las instalaciones físicas, los movimientos diarios, la relación con el entorno, etc. Entre estas técnicas tenemos las siguientes: -
Consiste en el reconocimiento mediante el examen físico y ocular, de hechos, situaciones, operaciones, activos tangibles, transacciones y actividades, aplicando para ello otras técnicas como son: indagación, observación, comparación, rastreo, análisis, tabulación y comprobación.
-
Observación:
Inspección:
Consiste en la contemplación a simple vista, que realiza el auditor durante la ejecución de una actividad o proceso.
- Comparación o confrontación: Es cuando se fija la atención en las operaciones realizadas por la entidad auditada y en los lineamientos normativos, técnicos y prácticos establecidos, para descubrir sus relaciones e identificar sus diferencias y semejanzas. - Revisión selectiva: Radica en el examen de ciertas características importantes, que debe cumplir una actividad, informes o documentos, seleccionándose así parte de las operaciones, que serán evaluadas o verificadas verificadas en la ejecución de la audit auditoría. oría. - Rastreo: Es el seguimiento que se hace al proceso de una operación, con el objetivo de conocer y evaluar su ejecución.
Analític An alíticas as
Son aquellas desarrolladas por el propio auditor a través de cálculos, estimaciones, comparaciones, estudios de índices y tendencias,
investigación de variaciones y operaciones no habituales. Esta técnica se aplica de las formas formas siguientes: siguientes: Análisis: Consiste en la separación de los elementos o partes que - Análisis:
conforman una operación, actividad, transacción o proceso, con el propósito de establecer sus propiedades y conformidad con los criterios de orden normativo y técnico. Permite identificar y clasificar para su posterior análisis, todos los aspectos de mayor significación y que en un momento dado pueden afectar la operatividad de la entidad auditada, entre estas podemos identificar, por ejemplo, al análisis de relaciones, análisis de tendencias, etc.
- Conciliación: Consiste en confrontar información producida por diferentes unidades administrativas o instituciones, en relación con una misma operación o actividad, a efectos de hacerla coincidir, lo que permite determinar la validez, veracidad e idoneidad de los registros, informes y resultados objeto de examen. Consiste en la verificación de la exactitud aritmética de las operaciones, contenidas en los documentos tales como informes, contratos, comprobantes y presupuestos.
-
Cálculo:
-
Tabulación:
Informáticas
Se realiza mediante la agrupación de los resultados importantes, obtenidos en las áreas y elementos analizados, para arribar o sustentar las conclusiones.
Más comúnmente conocidas como Técnicas de Auditoría Asistidas por Computador (TAAC), se refiere a las técnicas de auditoría que contemplan herramientas informáticas con el objetivo de realizar más eficazmente, eficientemente y en menor tiempo pruebas de auditoría. En resumen, los procedimientos de auditoría son la agrupación de técnicas aplicables al estudio particular de una cuenta u operación; prácticamente resulta inconveniente clasificar los procedimientos ya que la experiencia y el criterio del auditor deciden las técnicas que integran el procedimiento en cada caso particular.
L ec c i ó n 3. L a en t r e r ev i s t a c o m o u n a t éc n i c a d e au d i t o r ía 15 Es un dialogo entre personas, en torno a una situación determinada, en la cual una interroga (pregunta, entrevista) y la otra responde (entrevistado). Esta técnica de auditoría puede utilizar preguntas estandarizadas o puede ser un diálogo abierto, en cualquier caso se requiere de guías que orienten el proceso. En una entrevista generalmente dos personas hablan, interactuando con preguntas y respuestas en torno a un solo tema y tiene como propósito conseguir o dar información, proporcionar o recibir indicaciones o recomendaciones, etc.
Tipos de Entr Entrevista evista
Los tipos de entrevistas se pueden clasificar según la complejidad del tema a tratar, se identifican más comúnmente: -
Entrevista estructurada:
Llamada también formal o estandarizada. Se caracteriza por estar rígidamente estandarizada, se plantean idénticas preguntas y en el mismo orden a varios entrevistados, por ejemplo de una misma área de trabajo o que realizan actividades similares, quienes deben escoger la respuesta entre dos, tres o más alternativas que se les ofrecen. Para orientar mejor la entrevista se elabora un cuestionario, que contiene todas las preguntas. Sin embargo, al utilizar este tipo de entrevista el entrevistador tiene limitada libertad para formular preguntas independientes generadas por la interacción personal. Entre las ventajas que tiene este tipo de entrevista, se mencionan: 15
http://www.cgr.gov.bo/PortalCG http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf R/uploads/Tecproaud.pdf
La información es más fácil de procesar, simplificando el análisis comparativo.
El ent entrevistad revistador or no necesit necesita a estar estar entrenado entrenado arduamente arduamente en la técnica. técnica.
Hay uniformidad en la información obtenida.
Entre las desventajas se tienen:
Es difícil obtener información confidencial.
Se limita la posibilidad de profundizar en un tema que emerja durante la Entrevista.
- Entrevista no estructurada:
Es más flexible y abierta, aunque los objetivos de la investigación rigen a las preguntas, su contenido, orden, profundidad y formulación se encuentran por entero en manos del entrevistador. Si bien el entrevistador; sobre la base del problema, los objetivos y las variables; elabora las preguntas antes de realizar la entrevista, modifica el orden, la forma de encauzar las preguntas o su formulación para adaptarlas a las diversas situaciones y características particulares de los sujetos de estudio. Entre las ventajas de este tipo de entrevista se tienen:
Es adaptable y susceptible de aplicarse a toda clase de sujetos en situaciones situaciones diver versas. Permite profundizar en temas de interés. Orienta posibles hipótesis y variables cuando se exploran áreas nuevas.
Entre sus desventajas se mencionan:
Se requiere de mayor tiempo.
Es más costoso por la inversión de tiempo de los entrevistadores.
Se dificulta la tabulación de los datos.
Se requiere mucha habilidad técnica para obtener la información y mayor conocimiento del tema. tema.
El siguiente grafico resume lo anterior:
L ec c i ó n 5. Ti p o s d e p r eg u n t as en l a t éc n i c a d e en t r ev i s t a El entrevistador puede hacer cinco clases de preguntas: preliminares o introductorias, informativas, de análisis o de evaluación, y de admisión o confirmación. En una entrevista, donde el objeto es obtener información, solo tres de las cinco clases de preguntas deben ser normalmente utilizadas: Introductorias, informativas y preguntas personales. Si el entrevistador tiene razonable fundamento o causa para creer que el entrevistado no está siendo honesto,
preguntas de análisis o de evaluación pueden ser utilizadas. Finalmente, si el entrevistador decide con razonable fundamento o causa que el entrevistado esta respondiendo con vacilación, puede utilizar preguntas de confirmación o admisión. Preguntas Preliminares o Introductorias:
Son usadas por el entrevistador con dos propósitos principales: informarle al entrevistado acerca del objetivo y del proceso de la entrevista y obtener de este verbalmente un acuerdo de cooperación durante la entrevista. Son de carácter general y pueden pueden tocar tocar aspectos pers personales onales y profesionales, profesionales, como por ejemplo, acerca de su profesión o especialidad, antigüedad en la entidad y en el puesto, etc. Luego de haber establecido el clima propicio se pasará a utilizar las preguntas diseñadas y posibilitar así un mayor diálogo. Preguntas Informativas:
Una vez que el formato apropiado de la entrevista está establecido, el entrevistador entonces trata de obtener la información verdadera sobre el tema de interés para la auditoría. Hay esencialmente tres tipos de preguntas que pueden ser hechas: cerradas, abiertas y deliberadas (con el propósito de obtener una respuesta esperada). • Preguntas Cerradas Esta forma de pregunta es la que se puede contestar con un “si” o un “no”. Generalmente, una pregunta limitada debería evitarse porque no invita a discusión y falla al no indicar qué está pensando el entrevistado. Cuando se usa, la pregunta cerrada debería estar seguida por: “¿por qué?”, “¿ cómo?” o “¿ “¿ dónde? dónde?”, para que a la persona persona que responda se le exija explicar sus puntos de vista.
En una entrevista, estas preguntas son hechas de forma cerrada con el propósito de reconfirmar los hechos, obtener información no obtenida previamente, obtener nueva evidencia, y mantener una buena relación con el entrevistado. • Preguntas abiertas Esta forma forma de pregunta pregunta exige elaboración: elaboración: ej: ¿ Cómo ómo se se realiza est es ta actividad?. Estas preguntas pueden tomar dos formas: pregunta directa o pregunta indirecta. Preguntas de Evaluación o de Análisis:
Cada tipo de pregunta es usada en una secuencia lógica, para maximizar el desarrollo de la información. Si el entrevistador tiene razón para creer que el entrevistado no está siendo honesto, entonces puede hacer preguntas de evaluación o de análisis. Asimismo, la entrevista deberá llevar a un final lógico. Por medio de la observación de las reacciones del entrevistado a estas preguntas, el entrevistador puede evaluar la credibilidad del entrevistado con algún grado de precisión. Estas evaluaciones podrían ser la base que el entrevistador decida acerca de realizar preguntas de admisión para obtener evidencia acerca de un hecho irregular.
Preguntas de Admisión o de Declaración:
Las preguntas de admisión o de declaración están reservadas específicamente cuando se tiene evidencia razonable acerca la existencia de hechos irregulares o deficiencias manifiestas en la actividad u proceso
objeto de la auditoría. Estas preguntas no deben violar los derechos y libertades de la persona que está siendo entrevistada.
Cap i t u l o 3.
El p r o g r am a d e au d i t o r i a
Lección Lecció n 1: Desa Desarro rrollo llo del pro grama de auditoria audito ria 16 Un programa de auditoría es un conjunto de procedimientos documentados, diseñados diseñados para alcanzar alcanzar los objetivos planificados en una una auditoria. auditoria. El programa de auditoría es fundamental para el proceso de auditoría ya que da la seguridad de que el trabajo se planeó adecuadamente, permite realizar el seguimiento y supervisión, es una guía para la ejecución del trabajo y para documentar los diversos pasos de auditoria así como también para señalar la ubicación del material material de evidencia. Generalmente eneralmente tiene tiene la siguiente estru estructura: ctura: Procedimientos de Auditoría
Lugar
Papeles Trabajo Referencia_______
Realizado por:__________________ Fecha_________________________
El esquema característico de un programa de auditoría incluye lo siguiente:
Tema Tema de audito ría : donde se identifica el área a ser auditada. 16
http://www.monografias.com/t http://www.monografias.com/trabajos12/condeau/condeau.shtml rabajos12/condeau/condeau.shtml#DESARR #DESARR
Objetivos Objetivos de auditoría: donde se indica el propósito del trabajo de auditoría a
realizar. Al can c es d e audi au di tor to r ía: se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado. Planificación previa: se identifica los recursos y destrezas que se necesitan
para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar. Procedimientos d e auditoría para:
Recopilación de datos. Identificación de lista de personas a entrevistar. Identificación y selección del enfoque del trabajo Identificación y obtención de políticas, normas y directivas. Desarrollo de herramientas y metodología para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicación con la gerencia. Procedimientos de seguimiento. Los procedimientos de auditoría incluidos en los programas de trabajo deben ser ser lo suficientem suficientemente ente claros de tal tal forma forma que permit permitan an a los miembros miembros del equipo de auditoría comprender que es lo que se va a realizar. Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las políticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las políticas o procedimientos son eficaces.
Normas generales generales de auditori a17
Las normas son los medios que regulan la calidad de trabajo del auditor. Pueden ser:
L ec c i ó n 2. No r m as p er s o n al es o g en er al es : Se refieren generalmente a la calidad de trabajo y a las cualidades que el Auditor debe tener para poder analizar. Entrenamiento y capacidad social: el examen debe ser efectuado por personas que tienen entrenamiento técnico adecuado y capacidad profesional como Auditor. Esmero y capacidad profesional: el Auditor debe ejercer el debido cuidado profesional en la ejecución del examen y la reparación del informe. Independencia de criterio: en todos los asuntos relacionados con el examen del Auditor debe tener independencia de criterio.
L ec c i ó n 3: No r m as r el at i v as al t r ab a j o d e c am p o Son los elementos básicos fundamentales en la ejecución de trabajo del Auditor, se encuentran: Planeamiento y dirección profesional (supervisón adecuada): el examen debe ser planeado adecuadamente y el trabajo de los asistentes del Auditor si los hay debe ser debidamente supervisado. Estudio y evaluación del control interno: el Auditor debe estudiar y evaluar apropiadamente el sistema de control interno como base para determinar el grado de confianza que merece y consecuentemente por determinar el alcance de las comprobaciones que deben efectuarse mediante los procedimientos de Auditoria. 17
http://www.mailxmail.c http://www.mailxmail.com/curso/empresa/a om/curso/empresa/auditoria/capitulo2.ht uditoria/capitulo2.htm m
Evidencia, suficiencia suficiencia y com competencia: el Auditor Auditor debe obtener una evidencia adecuada en grado suficiente mediante la inspección, observación, indagación, confirmación para contar una base que nos permita dar una operación de los Estados Financieros sujetos al examen.
Lección 4: Normas relativas a la elaboración del inf orme de Auditorí a El producto final de una auditoria es la elaboración de un informe, este es uno de los documentos documentos más más important importantes es del trabajo trabajo realizado. realizado. Contiene la opinión del auditor la cual puede alternativas:
Sin salvedades
Con salvedades
Adversa
Puede abstenerse de opinar.
tener las siguient siguientes es
El informe debe indicar las sugerencias que considere convenientes para mejorar los índices de eficiencia y efectividad.
L ec c i ó n 5: Met o d o l o g ía d e l a au d i t o r i a Existen algunas metodologías de Auditoria de Sistemas y todas dependen de lo que se pretenda pretenda revisar o analizar, analizar, pero como estándar, estándar, las cuatro cuatro fases fases básicas en un proceso de revisión son:
Fases Fases de un proceso de auditor ia
Estudio preliminar: Incluye definir el grupo de trabajo, el programa de
auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD. Revisión y evaluación de controles y seguridades : Consiste en la
revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades. Examen detallado de áreas criticas: Con las fases anteriores el auditor
descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoria, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado. Comunicación de resultados: Se elaborará elaborará el borrador borrador del inform informe e a ser
discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas
encontrados, los efectos y las recomendaciones de la Auditoria. El informe debe contener lo siguiente: o Motivos de la Auditoria Objetivos o o Alcance o Estructura structura Orgáni Orgánico-F co-Fun uncional cional del área Informáti Informática ca o Configuración onfiguración del Hard Hardware ware y Softw S oftware are inst instalado o Control ontrol Int Interno erno Resultados de la Auditoria o
SEGUNDA UNIDAD
AUDITORIA INFORMATICA
A uditoria Informática INTRODUCCION En esta unidad, se desarrollan aspectos de la auditoria informática relacionados con el alcance, importancia y tipos de la auditoria informática. El propósito es que usted identifique el proceso de una auditoria informática, su metodología y las diferentes diferentes técnicas aplicadas en su ejecución.
OBJ OBJ ETIV ETIVOS Identificar el propósito de la auditoria informática Distinguir entre los diferentes tipos de auditoria informática Identificar el papel del auditor informático
Cap i t u l o 1.
L a au d i t o r i a i n f o r m át i c a
L ec c i ó n 1. Co n c ep t o , o b je j et i v o s d e l a au d i t o r i a i n f o r m r mát i c a La auditoria informática: es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas de
Concepto:
seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de los resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa. 18 Objetivos de la auditor ia info rmática
Evaluar el uso de los recursos técnicos y materiales para el procesami procesamiento ento de la información así com como tambi también én el aprovechamiento aprovechamiento de los equipos de cómputo, sus periféricos, las instalaciones y mobiliario del centro de cómputo. Evaluar el desarrollo e instalación de nuevos sistemas, el aprovechamiento de de los sistemas de procesamiento, los sistemas operativos, operativos, los lenguajes, lenguajes, program programas as y aplicaciones. aplicaciones.
Operatividad Verificación de las normas existentes en el departamento de Informática y su coherencia con las del resto de la empresa
La operatividad, se encarga de verificar que la organización y las maquinas
funcionen, siquiera mínimamente. No es aceptable detener la los recursos de
com computo para descubrir descubrir sus fallos y comenzar de nuevo. Cuando los sistemas sistemas est están operando la auditoria inicia su acti actividad. vidad. De ahí que la principal principal preocupación del auditor informático es la de mantener la operatividad de los sistemas y para lograrlo debe verificar que se estén realizando los siguientes tipos de controles: Controle Controles s Técnico Técnicos s Gener Generales ales de Operati Operatividad vidad y Controles Técnicos Específicos de Operatividad .
La verificación de las normas existentes en el departamento de Informática y su coherencia con las del resto de de la empresa, empresa, implica implica que se debe revi revissar:
18
MUÑOZ, Razo Carlos. Auditoria en Sistemas Computacionales. México: Pearson Educación. 2002 . p.
L ec c i ó n 2. Al A l c an c e, i m p o r t an c i a, n ec es i d ad d e l a au d i t o r i a i n f o r m át i c a Alcan Al can c e de la A udit ud itor or ia In form fo rm ática áti ca
El alcance define el entorno y los límites donde va a desarrollarse la auditoria informática, informática, complement complementándos ándose e con los objetivos objetivos definidos para el proceso proceso de revisión. El E l alcance debe manifestar anifestarse se claram claramente ente en el Inform Informe e Final, Final, de modo que queden perfectamente detallados no solamente los puntos que fueron examinados examinados,, sino tamb también ién cuales cuales fueron omitidos. omitidos. 19 Import ancia de la Auditor ia Inform Inform ática
La Auditoria Informática, es importante en las organizaciones por las siguientes razones: Se pueden difundir y utilizar resultados o información errónea si la calidad de datos de entrada es inexacta o los mismos son manipulados, lo cual abre la posibilidad de que se provoque un efecto dominó y afecte seriamente las operaciones, toma de decisiones e imagen de la empresa. Las computadoras, servidores y los Centros de Procesamiento de Datos se han convertido en blancos apetecibles para fraudes, espionaje, delincuencia y terrorismo informático. La continuidad de las operaciones, la administración y organización de la empresa no deben descansar en sistemas mal diseñados, ya que los mismos pueden convertirse en un serio peligro para la empresa. Las bases de datos pueden ser propensas a atentados y accesos de usuarios no autorizados o intrusos.
19
www.monografias.com Auditoria de Sistema y p olíticas de Seguridad Informática. Integrantes: COITE, Angélica y ROMERO, Hugo.
L ec c i ó n 3. Nec es i d ad d e l a au d i t o r i a i n f o r m r m át i c a Necesidad Necesidad de la Audit oria Inform Inform ática
20
Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
Síntomas de descoordinación y desorganización:
No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
Los estándares estándares de productiv productividad idad se desvían sensiblem sensiblement ente e de los promedios conseguidos habitualmente.
Síntomas de mala imagen e insatisfacción de los usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido desatendido permanentem permanentemente. ente. No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
Síntom ntomas as de debilidades debilidades económico-financiero: económico-financiero:
20
Incremento desmesurado de costes.
http://www.monografias.com/t http://www.monografias.com/trabajos/auditoinf rabajos/auditoinfo/auditoinfo.shtml o/auditoinfo.shtml
Necesidad Necesidad de justificación justificación de Inversiones Informáticas Informáticas (la empresa empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad: Evaluación de nivel de riesgos
Seguridad Lógica
Seguridad Física
Confidencialidad
Continuidad del Servicio. Es un concepto aún más importante que la Seguri S eguridad. dad. Establece E stablece las estr es trat ategias egias de continu continuidad idad entre entre fallos mediante Planes de Contingencia* Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
L ec c i ó n 4. Ti p o s d e A u d i t o r i a In f o r m át i c a La división de la auditoria informática o de sistemas se ha realizado teniendo en cuenta las diferentes funciones que se desarrollan en esta área, se indican brevemente brevemente cada una de estas divisiones: divisiones: 21 21
www.monografias.com Auditoria de Sistema y p olíticas de Seguridad Informática. Integrantes: COITE, Angélica y ROMERO, Hugo.
Explotación xplotación u Operación Operación.. Desarrollo de Proyectos. De Sistemas. De Comunicaciones y Redes y de Seguridad. Auditoria de la Seguridad Informática Auditoria Informática para Aplicaciones en Internet. Au di to ria ri a In form fo rm ática áti ca de Pro ducc du cc ió n o Exp lotac lo tació ión: n:
conocida también como
de operación, se ocupa de revisar todo lo que se refiere con producir resultados informáticos, listados impresos, archivos soportados magnéticamente, ordenes automatizadas para ejecutar o modificar procesos, etc. La producción, operación o explotación informática dispone de una materia prima, los datos, que son necesarios para transformar y que se someten previamente previamente a controles de integridad integridad y calidad. calidad. La transformación transformación se realiza por medio del proceso informático, el cual está regido por programas y una vez obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario. La auditoria informática de producción, operación o explotación se encarga de revisar las secciones que la componen y sus interrelaciones, las cuales generalmente son: planificación, producción y soporte técnico. Au di to ria ri a Infor Inf ormát mátic ic a de Desarr ol lo de Proy ect os :
La función de desarrollo
es una evolución del llamado análisis y programación de sistemas, y abarca muchas áreas tales como: prerrequisitos del usuario y del entorno, análisis funcional, diseño, análisis orgánico (reprogramación y programación) y pruebas. Estas fases deben estar sometidas a un exigente control interno, de lo contrario,
los costos pueden ser excesivos o se puede no satisfacer todas las necesidades del usuario. La auditoria en este caso deberá principalmente comprobar la seguridad de los programas en el sentido de garantizar que lo ejecutado por la máquina sea exactamente lo previsto o lo solicitado inicialmente. Se ocupa de analizar y revisar los controles y efectividad de la actividad que se conoce como técnicas de sistemas en todas sus facetas y se enfoca principalmente en el entorno general de
Audi Au di tori to ri a Info In form rm ática áti ca de Sis temas: tem as:
sistemas, el cual incluye sistemas operativos, software básico, aplicaciones, administración de base de datos, etc. Este tipo de revisión se enfoca en las redes, líneas, líneas, concentradores, concentradores, multiplex ultiplexores, ores, etc. El auditor auditor informático deberá indagar sobre los índices de utilización de las líneas cont contratadas, ratadas, solicitar información información sobre tiem tiempos pos de desuso. desuso. También También será será necesario que obtenga información sobre la cantidad de líneas existentes, cómo son y donde están instaladas, sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas, pues la contratación e instalación de líneas va asociada a la instalación de los puestos de trabajo correspondientes (pantallas, servidores de redes locales,
Audi Au di tori to ri a Infor Inf ormát mátic ica a de Comun Com unii cacio cac iones nes y Redes: Redes :
computadoras, impresoras, etc.). La auditoria de la seguridad en la informática informática comprende los conceptos de seguridad física fís ica y lógica. La
Audi Au di tori to ri a d e l a Segu ri dad Info In form rm ática: áti ca:
seguridad físic físic a se refiere a la resguardo del hardware y los soportes de datos,
así así como como la seguridad seguridad de los edificios e instalaciones instalaciones que los alojan. Es papel del auditor informático contemplar situaciones de incendios, sabotajes, inundaciones, inundaciones, robos, catást c atástrofe rofess naturales, naturales, etc. etc.
Por su parte, la seguridad lógica hace referencia referencia a la seguridad eguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. El auditar la seguridad de los sistemas, también implica que se debe tener cuidado de que no exis existen copias piratas piratas,, o de que, al conectarnos conectarnos en red con otros computadores, no exista la posibilidad de transmisión de virus. Au di to ria ri a Infor Inf or mátic mát ica a par a Ap licac li cacio io nes en Int ernet: ern et:
En este tipo de
revisiones, se enfoca principalmente en verificar los siguientes aspectos, que el auditor auditor informático informático no puede pasar por alto:
Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia. Evaluación de vulnerabilidades y la arquitectura de seguridad implementada. Verificar la confidencialidad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.
Lección 5. 5. Medios dis ponibl es y específicos específicos de audito audito ria. 22
Medios técnicos o Equipo quipo físico y locales. locales. o Software básico. Medios humanos. Medios financieros.
1. Medios Medios técnicos:
22
Equipo quipo físico y locales. locales.
http://zip.rincondelvago.com/00022558
Comprende omprende el ordenador propiament propiamente e dicho, el hardware y los soportes soportes físicos físicos de los ficheros, así como los locales donde se instalan estas máquinas. Aspecto Aspectoss a tener en cuenta: cuenta:
Los equipos físicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, aplicaciones, tanto cualitativas cualitativas como cuantitat cuantitativas ivas..
Dada la evolutividad de los objetivos el equipo físico debe ser también evolutivo sin dejar de resultar adecuado y modular.
Cada componente del equipo físico de formar parte de un todo homogéneo. Otros criterios de elección son la fiabilidad del material y la rapidez de las restauraciones.
Para garantizar la consecución de la finalidad se hace necesario garantizar la seguridad del hardware. Es conveniente disponer disponer de un plan preventivo y curativo para garantizar esa esa seguridad. seguridad. El plan preventivo debe prever catástrofes generales ( incendio, inundación,...) así como otros sucesos ( cortes de fluído eléctrico, aumentos de tensión, presencia de polvo,...). El plan curativo está formado por soluciones de emergencia en circunstancias circunstancias diversas. diversas. Resulta fundamental fundamental la salvaguarda salvaguarda en lugares distintos de un número suficiente de generaciones de ficheros, de programas y su modo de empleo.
Una documentación actualizada y disponible debe describir las características técnica del equipo físico.
Herr Herr amientas de aud aud itor ía específica:
a) La auditor auditoríía del equipo equipo físico debe comprobar comprobar si se aplican las reglas anteriores: adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para
ello, el auditor debe estar provisto de unos conocimientos técnicos sólidos. b) El auditor valorará la adaptación a los objetivos y a las acciones tomando como base de juicio la evolución histórica. c) El interés interés del auditor por las ejecuciones ejecuciones trás la adaptación a las finalidades. d) Estimación stimación de la homogeneidad de los componentes componentes y su fiabilidad atendiendo a las estadísticas de tiempo de utilización y la conservación de grabaciones en caso de fallos. e) El estudio del presupuesto de seguridad evaluando los medios en función del servicio que prestan y conforme a la probabilidad de fallo que pueden tener. También se examinará la seguridad del material suplementario y los formularios que contienen talonarios y letras. f) La conservación se evalúa a partir de los contratos y de los informes de indisponibilidad. indisponibilidad. P uede ser ser preventiva preventiva (mantenim (mantenimiento) iento) o curativa (restauración). Software básico. Constituye una parte creciente del coste de un sistema. Tiene una importancia primordial en la seguridad de las operaciones pero a medida que va creciendo más compleja compleja es su evaluación. evaluación.
Aspectos a tener en cuenta:
1. El soft software ware básico básico se adapt adapta a a las las final finaliidades dades siempr siempre e y cuand cuando o perm permit ita a una correcta utilización del hardware con el lenguaje y en el modo de explotación elegidos para ejecutar las aplicaciones. El software posee muchas posibilidades pero lo más interesante a nivel práctico es la posibilidad de poder incorporarse en gran parte al equipo físico.
2.
La evol evolut utiv ivid idad ad del del soft oftware ware exig exige e una una tran transpar sparen encia cia de su depen depende denci ncia a
con respecto a las aplicaciones del equipo físico. Los límites de las posibilidades del software deben encontrarse bastante alejados, así como los obstáculos no deben ser tan rígidos. Tant Tanto las opci opcion one es del soft software are com como sus sus modi odifica ficaci cion one es futuras deben eben anotarse dentro de un estudio como ya ocurre con el hardware. 3. Los compo compone nent ntes es del del soft softw ware are bási básico co deb deben en estar estar adap adapttados ados ent entre sí y con la configuración del equipo físico siempre en función de la finalidad. Por otro lado, también ha de adaptarse a los medios humanos, tanto para aquellos que desarrollan las aplicaciones como también para los que las usan. 4. La fiabi fiabililida dad d del del soft software are básico básico se consig consigue ue med media iant nte e el regi regist stro ro de de las anomalías para su posterior análisis y rectificación por el constructor aunque el software debe emplear “ ayudas” para diagnóstico de fallos. Resulta esencial que el software permita implantar los puntos de enlace eficazmente utilizables mediante la reinicialización en la eventualidad de un mal funcionamiento, como una adecuada recuperación de los ficheros. En definitiva, la fiabilidad de una base de datos está señalada en su sistema de gestión. 5. P ara ara la segur segurid idad ad del del soft software are básic básico o se requi requier ere e una una prot protecci ección ón cont contra ra los accesos prohibidos, especialmente en el modo interactivo y en un sistema de base de datos. Se aconseja la protección de los programas y datos temporales alojados en la memoria central, así como recomendable la rápida destucción de ficheros con información confidencial. Las distintas protecciones del software deben registrar el intento de acceso ilegal. Aunque resulta difícil obtener una protección eficaz contra el acceso no
autorizado en pequeños sistemas debiendo colocar los ficheros en soportes que sólo se manejen a la hora de su empleo. 6. Resulta esulta im import portant ante que que el softwa software re cont contenga enga una una docum document entaci ación ón completa y actualizada que le sirva de referencia al usuario. Herr Herr amienta de auditor ía esp especí ecífica: fica:
a) La auditoría del software básico, en primer lugar, puede tener por fin la evaluación de su adaptación y de su evolutividad así como de su homogeneidad con los otros componentes. Igualmente, la auditoría del software básico puede versar sobre la fiabilidad y/o la seguridad. b) El auditor ha de ser realista pues al examinar el software directamente no puede hacer más que comprobar reducidos fragmentos, incluso cuando la documentación existe y está bien hecha. Es indispensable que el auditor adquiera los conocimientos para comprender el funcionamiento y poder intentar encontrar las deficiencias o la mala realización como si fuera un sistema de gestión de ficheros ordinarios. c) El auditor ha de examinar la consulta de la documentación pues ésto le indica la complejidad del software o bien su falta de actualización. 2. Medio Medio s human os.
Aspectos a tener en cuenta: 1. Las personas tienen tienen su propia finalidad finalidad la la cuál tratan tratan de de satisfacer, aún así en una empresa se ha de respetar la realización de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la ostilidad particular.
2. Es necesario necesario un reparto de las las responsa responsabilidades bilidades de form forma a arborescent arborescente, e, cada equipo ha de contar con un escaso número de miembros, incluso resulta aconsejable una rotación de las responsabilidades. 3. Se requiere buenas relaciones ent entre re los miemb miembros ros del personal, lo que cada uno hace debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente. Tamb También es im import ortant ante una for form maci ación y una infor formaci ación suf suficien cientte para ara que el personal tenga una visión bastante amplia de los problemas y de las interrelaciones. 4. Se ha de proceder a una verificación verificación de de las informacio informaciones nes transmit transmitidas idas y tratadas por cada miembro del personal. Las comprobaciones deben ser tales que se detecte con rapidez el error humano y se rectifique antes de que se produzcan grandes consecuencias. La documentación e información recíprocas deben ser suficientes para que nadie resulte insustituible. 5. La segur s eguridad idad comienza comienza por la selección del personal y continúa continúa por el control mutuo en la realización de las tareas más importantes. Aún así, es preciso precaverse contra un posible sabotaje directo o indirecto. 6. S in informació información n no hay motivación, por tanto tanto los fines y métodos adoptados han de ser comprendidos y aceptados, a la vez que la formación del personal es en sí sí mismo ismo una finalidad.
Herr Herr amientas de aud aud itor ía específica:
a) Es conveniente tener el historial general del se servicio rvicio y de los movimientos movimientos del personal. b) Comprobar omprobar la adecuación al plan de de los medios medios humanos por m medio edio de los organigramas y fichas de función. c) Los medios humanos del sistema de informaciones son también piezas externas al servicio informático. d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas de consola nos indican la fiabilidad de las operaciones de explotación. La separación de funciones, un examen de todas las protecciones materiales y lógicas y un conocimiento de los modos operativos proporcionan en su conjunto la seguridad humana. La realización de cursos como la utilización de libros y revistas conllevan una mejor documentación y una mayor formación. 3. Medios Medios financieros.
La elección de los medios financieros ha de considerarse de forma global. No sólo consiste en determinar qué equipos físicos, programas o realizaciones cuestan más o menos, sino también abarca otros aspectos, además del económico, tales como: fiabilidad, velocidad de procesamiento, rentabilidad, etc.... Asp A sp ecto ec to s a tener t ener en cuen cu enta: ta:
1. La adecuación de los m medios edios financieros financieros a la finalidad finalidad se mide por la proporción entre los gastos exigidos y los resultados (financieros o no) obtenidos.
Los métodos de control de gestión y contabilidad presupuestaria clásicos sirven para prever y posteriormente controlar la adecuación a los objetivos. La evolutividad implica un presupuesto no sólo flexible sino modulado en el tiempo, ya que los costes son importantes. 2. Los métodos métodos clásicos clás icos de la contabilidad contabilidad analítica analítica permit permiten en establecer es tablecer los estándares de homogeneidad de los medios financieros. Tamb También es muy út útil ver verif ific icar ar per periódi ódicam cament ente si los los cost coste es imputados ados son todavía competitivos con relación a un servicio exterior. 3. P ara elaborar elaborar un sist sistema ema equit equitativo ativo sería precis preciso que que dos dos servicios semejantes diera lugar a una misma valoración. Los costos deben ser registrados de forma fiable, completa y pertinente, y los cálculos y agrupaciones efectuados deben ser legítimos. El trabajo del personal debe ser registrado o repartido según conceptos para que las cifras conserven algún sentido. 4. La seguridad financiera se obtiene por una rentabilidad rentabilidad duradera duradera de la financiación de hardware y el software. A la hora de la entrega de los equipos informáticos, el contrato debe recoger un plan y un informe de gastos que condujo a su elección. La garantía de fiabilidad material reside en una cláusula que fija el plazo de intervención, en caso de avería, y el grado de fiabilidad de los componentes. También puede contratarse un seguro para una garantía eficaz de los equipos. 5. Tanto los contratos de adquisic adquisición ión y seguro como como los documentos documentos contables comprenden la documentación sobre los medios financieros. Herr Herr amientas de aud aud itor ía específica:
a) Unos mínimos conocimientos por el auditor a nivel de contabilidad analítica y presupuestaria así como de derecho comercial y seguros, con lo que podrá comprobar la existencia y la adecuación de los presupuestos de inversión, la
corrección de las previsiones y medios de control, así como la forma de financiación. b) Para la seguridad de los medios financieros el auditor consultará todos los documentos contractuales que vinculan a la empresa.
Capit pi t ulo ul o 2. Metodo to dolo logía gía de la auditoria informática
L ec c i ó n 1. Et ap as d el m ét o d o d e t r ab a jo j o El método de trabajo del auditor pasa por las siguientes etapas: 23 Alcance y Objetivos de la Auditoría Informática.
23
Estudio studio inicial del ent entorno orno audi auditabl table. e. Determinación de los recursos necesarios para realizar la auditoría. Elaboración del plan y de los Programas de Trabajo. Actividades propiamente dichas de la auditoría. Confección y redacción del Informe Final. Redacción de la Carta de Introducción o Carta de Presentación del Informe final.
http://www.monografias.com/tr http://www.monografias.com/trabajos5/audi/audi2.sht abajos5/audi/audi2.shtml ml
Al can c e y Objeti Obj etivo vo s d e la Audi Au di tori to ri a Infor Inf or máti mát i ca: El alcance de la
Auditoria expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. auditar. A efectos de delimitar delimitar el trabajo, trabajo, result res ulta a muy muy beneficios beneficioso o para ambas ambas partes expresar las excepciones de alcance de la Auditoria, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances com c omo o las excepciones excepciones deben figurar figurar al comienzo comienzo del Inform Informe e Final. F inal. Las personas que realizan la Auditoria han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos específicos, éstos se añadirán a los objetivos generales y comunes de a toda Auditoria Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática. Estudio in icial del entorno entorno audit able.
Para realizar dicho estudio se deben examinar las funciones y actividades generales de la informática. Para su realización el auditor debe conocer lo siguiente: Para el equipo auditor, el conocimiento de quién ordena, quién diseña diseña y quién quién ejecuta es fundam fundamental. ental. Para P ara realizar realizar esto en auditor auditor deberá
Organización:
fijarse en: El organigrama expresa la estructura oficial de la organización a auditar. Si se descubriera que existe un organigrama fáctico diferente al
Organigrama:
oficial, se pondrá de manifiesto tal circunstancia.
Departamentos:
Se entiende como departamento a los órganos que siguen
inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos. Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor verificará si se cumplen las relaciones funcionales y J erár erárq quicas cas prev previista stas por el orga organ nigrama, ama, o por el el con contrari ario dete etectar ctará, á, por por ejemplo, ejemplo, si si algún empleado empleado tiene tiene dos jefes. Las de J erarquía erarquía implican implican la correspondiente subordinación. Las funcionales por el contrario, indican relaciones no estrictamente subordinables. Flujos de Información: Además de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa. Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización. Número de Puestos de trabajo: El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer
tal circunstancia y expresarán el número de puestos de trabajo verdaderamente verdaderamente diferentes. diferentes. Número de personas por Puesto de Trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización. El equipo de Auditoria informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos: Entorno Operacional:
Situación geográfica de los Sistemas: Sistemas:
Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo. Ar q u itec it ectu turr a y con co n fig fi g u ració rac ió n d e Hardw Hard w are ar e y So ftw ft w are: ar e:
Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos. Inventario de Hardware y Software:
El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables. Comunicación y Redes Redes de Comunicación:
En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la Empresa. Ap lic li c acio aci o nes b ases d e dato s y arch arc h ivos iv os :
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. P ara ello deberán deberán conocer lo sigui siguient ente: e: Volumen, antigüedad y complejidad de las Aplicaciones Metodología del Diseño: Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto. Documentación: La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La documentación de programas disminuye gravemente el mantenimiento de los mismos. Cantidad y complejidad de Bases de Datos y Archivos: El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los archivos, así como la frecuencia de actualizaciones de los mismos. Estos datos
proporcionan una visión aceptable de las características de la carga informática.
Determinación Determinación d e los recursos necesarios necesarios para realiza realizarr la Auditor ia:
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la Auditoria. Recursos materiales: Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos:
Recursos materiales Software: Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos verificarlos.. Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes. Recursos materiales Hardware : Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cuál habrá de convenir, tiempo de maquina, espacio de disco, impr impresoras esoras ocupadas, ocupadas, etc. etc.
Recursos Humanos: La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado depende de la materia auditable. Es igualmente reseñable que la Auditoria en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.
Elaboración Elaboración del plan y d e los Programas de Trabajo: Trabajo:
Una vez asignados los recursos, el responsable de la Auditoria y sus colaboradores establecen un plan de trabajo. Decidido éste, se procede a la programación programación del mismo. mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa.
Si la Auditoria es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal. En el plan no se consideran calendarios, porque se manejan recursos o genéricos y no específicos. o En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios. o En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. El Plan establece disponibilidad futura de los recursos durante la o revisión. o El Plan estructura las tareas a realizar por cada integrante del grupo. o En el P lan se expresan todas todas las ayudas que el audi auditor tor ha ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.
Ac tivi ti vid d ades ad es pr p r op iament iam ente e dic d ichas has de l a Au dito di tori ri a:
La Auditoria Informática general se realiza por áreas generales o por áreas específicas. Si se examina
Auditoria Auditoria por temas generales o por áreas específicas: específicas:
por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos. Cuando la Auditoria se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.
Confección Confección y redacción d el Informe Final. Final.
La función de la auditorí auditoría a se se materializa materializa exclusivam exclusivamente ente por esc escrit rito. o. P or lo tanto tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría.
Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.
Cuerpo Cuerpo expositivo :
Para cada tema, se seguirá el siguiente orden a saber: a) Situación actual. actual. Cuando Cuando se trate trate de una revisió revisión n periódica, periódica, en en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) P untos untos débiles y amenazas amenazas.. d) Recomendaciones ecomendaciones y planes planes de acción. Consti Constituy tuyen en junto junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. Redacción posterior de la Carta de Introducción o Presentación.
Redacc Redacción ión de d e la Carta Carta de Intr Introd od ucción ucc ión o Carta Carta de Presentació Presentació n del Infor me final.
La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos:
Tendrá como máximo 4 folios.
Incluirá Incluirá fecha, fecha, naturaleza, naturaleza, objetivos objetivos y alcance.
Cuantificará la importancia de las áreas analizadas.
Proporcionará una conclusión general, concretando las áreas de gran debilidad.
Presentará las debilidades en orden de importancia y gravedad.
En la carta de Introducción no se escribirán nunca recomendaciones.
L ec c i ó n 2: Téc n i c as d e au d i t o r i a Las técnicas, procedimientos herramientas de auditoria son utilizadas por el auditor para hacer una evaluación correcta del funcionamiento del área de sistemas computacionales. El auditor las diseña, utiliza y adecua a las necesidades específicas requeridas en el ambiente de sistemas. Técnicas Técnicas de audito ria
Las técnicas son las herramientas de las que se vale el auditor para obtener la
evidencia evidencia del objeto objeto audit auditado. ado. Los Los tipos tipos de técnicas técnicas con los cuales puede fundamentar su opinión son: 24
Técnic Técnic as oc ulares:
Observación: Observación: consiste consiste en cerciorarse cerciorarse en forma forma ocular como ciertos hechos o procedimientos operativos y de control establecidos se llevan a cabo en la empresa. Comparación: es el estudio de los casos o hechos para igualar, descubrir, diferenciar, diferenciar, examinar examinar con fines de descubrir diferencias diferencias o sem semejanzas. ejanzas. Revisión: consiste en el examen ocular y rápido con fines de separar mentalmente las transacciones que no son normales o que reviste un indicio especial en cuanto a su originalidad o naturaleza.
Técnicas verbales:
Indagación: consiste en obtener información verbal de los empleados de la entidad a través de averiguaciones y conversaciones sobe diversos hechos, datos y situaciones el proceso de la auditoria como por ejemplo políticas generales de la empresa, procedimientos de control,
24
http://www.mailxmail.c http://www.mailxmail.com/curso/empresa/a om/curso/empresa/auditoria/capitulo3.ht uditoria/capitulo3.htm m
contingencias entre entre otras. Es una técnica en la que hay que tener mucho cuidado cuando se pregunta, hay que saber hacerla.
Técn Técn icas escri tas: tas:
Análisis: permite examinar una cuenta en cuanto a su movimiento y saldo, para establecer su razonabilidad conforme la teoría contable y a los aspectos jurídicos relacionados, en el caso de la auditoria financiera consolidación: consiste en hacer que concuerde dos cifras independientes. ejemplo. conciliación bancaria, etc. confirmación: permite comprobar por escrito, información proveniente de terceros, en relación con la información financiera de la empresa auditada.
L ec c i ó n 3. Pr o c ed i m i en t o s d e au d i t o r i a Los p rocedimientos de auditoría auditoría:: 25 son las actividades que deben realizarse
para obtener evidencias. evidencias . Estos procedimientos se denominan normalmente pruebas, las cuales pueden ser de cumplimiento, sustantivas y de doble finalidad.
Las pruebas de cumplimiento, tienen como objetivo, confirmar si los
procedimientos de control interno están siendo operados adecuadamente y además, además, si s i garantizan garantizan la confiabilidad confiabilidad de los procesos. procesos.
Las pruebas sustantivas son las que se realizan con el objeto de
est establecer la exactitud exactitud de los procesos.
25
PINILLA, José. Auditoria Informática. Informática. Un enfoque operacional. Bogota, ECOE Ediciones. 1997
Las pruebas de doble finalidad , son las que se hacen con objetivos de
cumplimiento y sustantivo a la vez. Evidencias: 26
La recopilación de material que ayude en la generación de una opinión lo más correcta posible es un paso clave en el proceso de la auditoria. El auditor debe conocer las diversas formas de evidencias y de como estas pueden ser recopiladas y examinadas para respaldar los hallazgos de la auditoria. Una vez recopilada evidencia suficiente, subsecuentemente se evalúa la información recopilada con la finalidad de emitir opiniones y recomendaciones finales. Evidencia ocular:
Comparación ;
es observar la similitud o diferencia existente entre dos o más elementos. Observación ;
es el examen ocular para cerciorarse como se ejecutan las operaciones.
se obtiene de otras personas en forma de declaraciones hechas en el curso de investigaciones o entrevistas. Las declaraciones que sean importantes para la auditoria deberán corroborarse siempre que sea posible mediante evidencia adicional. También será necesario evaluar la evidencia testimonial para cerciorarse que los informantes no hayan estado influidos por prejuicios o tuvieran sólo un conocimiento parcial del área auditada. Evidencia Oral:
26
VILCHES, Troncoso Ricardo. Apuntes del estudiante de auditoria. P 49
Indagación; es el acto de obtener información verbal sobre un asunto mediante averiguaciones directas o conversaciones con los funcionarios de la empresa. Entrevistas; pueden ser efectuadas al personal de la empresa auditada o personas beneficiarias de los programas o proyectos. Encuestas; pueden ser útiles para recopilar información de un gran universo de datos o grupos de personas.
Evidencia Escrita:
Analizar; consiste en la separación y evaluación crítica, objetiva y minuciosa de los elementos o partes que conforman una operación, actividad, transacción o proceso, con el fin de establecer su naturaleza, su relación y conformidad con los criterios normativos y técnicos existentes.
Confirmación; es la técnica que permite comprobar la autenticidad de los registros y documentos analizados, a través de información directa y por escrito, otorgada por funcionarios que participan o realizan las operaciones sujetas a examen. Tabulación; es la técnica de auditoria que consiste en agrupar los resultados obtenidos en áreas, segmentos o elementos examinados, de manera que se facilite la elaboración de conclusiones. Conciliación; implica hacer que concuerden los conjuntos de datos relacionados, relacionados, separados e independient independientes. es.
consiste en la información elaborada, como la contenida en cartas, contratos, registros de contabilidad, facturas y documentos de administración relacionados con su desempeño. Evidencia Documental:
Comprobación; se aplica en el curso de un examen, con el objeto de verificar la existencia, legalidad, autenticidad y legitimidad de las
operaciones efectuadas por una empresa, mediante la verificación de los documentos que las justifiquen.
Computación; se utiliza para verificar la exactitud y corrección aritmética de una operación o resultado. Rastreo; es utilizada para dar seguimiento y controlar una operación de manera progresiva, de un punto a otro de un proceso interno determinado o, de un proceso a otro realizado por una unidad operativa dada.
Evidencia analítica : comprende cálculos, comparaciones, razonamiento y
separación de información en sus componentes. es el examen físico y ocular de activos, obras, documentos y valores, con el objeto de establecer su existencia y autenticidad. Esta evidencia se obtiene mediante inspección u observación directa de las actividades, bienes y/o sucesos. La evidencia de esa naturaleza puede presentarse en forma de memorando (donde se resuman los resultados de la inspección o de otra observación), fotografías, gráficas, mapas o muestra materiales.
Evidencia física:
L ec c i ó n 4. Her r r am i en t as d e au d i t o r i a Dentro de las Herramientas de auditoria27, que puede utilizar el auditor se encuentran:
Cuestionarios
Las Auditorias informáticas se materializan consiguiendo información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los 27
www.monografias.com. Auditoria informática. Tra Trabajo bajo enviado p or:
[email protected]
diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando el diligenciamiento de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo fondo y su forma. forma. Sobre esta base, base, se se estudi estudia a y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la Auditoria.
Entrevistas
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. responsabilidad. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada
por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular.
Checklist
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para el cumplimiento sistemática de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El
profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoria Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética. El auditor deberá aplicar el Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará marcará cuestionarios cuestionarios en su presencia. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofí "filosofía" a" de calificación o evaluación: evaluación: Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo). Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en los checklist binarios. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor. o
Checklist Binaria Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente. Los o
Checklists Binarios siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del
frente a la mayor riqueza del intervalo.
No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptación correspondientes en las preguntas a realizar.
Trazas y/o Huellas
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. programa. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo. Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignación de unidades de servicio según cuales tipos carga. Estas actuaciones, en principio útiles, pueden resultar resultar cont contrapr raproducent oducentes es si s i se s e traspasan los lím lí mites ites..
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la Auditoria informática de Sistemas: el auditor informático emplea preferentemente la amplia información que proporciona el propio Sistema: Así, los ficheros de o de , en donde se encuentra la producción completa de aquél, y los de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de errores de maquina central, periféricos, etc.
L og
El log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando (información). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atómicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación (grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. La transacción tiene un principio y un fin, cuando la transacción llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transacción se cortó por x razón, lo que se hace es volver para atrás. El log te permite analizar cronológicamente que es lo que sucedió con la información que está en el Sistema o que existe dentro de la base de datos.
Software de Interrogación
Hasta hace ya algunos años se han utilizado productos software llamados genéricamente , capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación.
En la actualidad, los productos Software especiales para la Auditoria informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación. Del mismo modo, la proliferación de las redes locales y de la filosofía "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informático copia en su propia PC la información más relevante para su trabajo. Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la Auditoria) a recabar información de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones más autorizadas indican que el trabajo de campo del auditor informático debe realizarse principalmente con los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi impresc imprescindible indible una una cierta soltura en el manejo manejo de Proces P rocesadores adores de Texto, Texto, paquetes de Gráficos
L ec c i ó n 5. El ab o r ac i ó n y r ed ac c i ó n d el In f o r m e Fi n al
Los p apeles de trabajo
El registro eficiente de la información que el auditor va recolectando en su evaluación, es uno de los aspectos fundamentales de la auditoria, esta información le sirve al auditor para respaldar las opiniones que expresa en el informe de auditoria y puede ser recolectada en documentos manuscritos, manuales, instructivos, graficas, resultados de procesamiento o en medios electromagnéticos (discos duros, discos flexibles, cintas, cartuchos, CD-ROM, DVD) , en los cuales recopilara hechos pruebas, tabulaciones interpretaciones, así como el análisis de los datos obtenidos. En estos papeles de trabajo bien sean documentos o electromagnéticos, el auditor señala y destaca las observaciones que son de interés para él, con el fin de fundamentar fundamentar el resultado de su evaluación, evaluación, también también le sirven para mantener mantener el sentido e importancia de las desviaciones que encontró durante la revisión, así como también para establecer establecer las posibles causas caus as de las desviaciones y p para ara proponer proponer las probables probables soluciones que reporta como parte de su trabajo.
Concepto
Los papeles de trabajo hacen referencia al conjunto de documentos preparados por el auditor, los cuales le permiten permiten disponer de la información y de las pruebas efectuadas durante su trabajo profesional en la empresa, así como también de las decisiones tomadas para fundamentar su opinión, también permiten el registro eficiente de la información que se recolecta en el proceso de evaluación, la planificación, la ejecución, supervisión y revisión de la la auditoria auditoria así como también también suministrar suministrar la evidencia evidencia del trabajo llevado a cabo para respaldar la opinión del auditor. Los papeles de trabajo deben presentar la información requerida en forma clara y plena de significado, deben ser detallados y completos. Se elaboran en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su protección sin peligro y su confidencialidad ya que el
auditor va integrando en los papeles de trabajo documentos reservados y de uso exclusivo de la empresa.
Objetivo s de los papeles de trabajo
En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes: 28 El objetivo general de los papeles de trabajo es ayudar al auditor a garantizar en forma adecuada que una auditoria se hizo de acuerdo a las normas de auditoria generalmente aceptadas. aceptadas . Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo. Presentar informes a las partes interesadas. Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente. Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por persona distinta de la que la inició. Facilitar la labor de revisiones posteriores y servir para la información y evaluación personal. Anotar los hechos, acontecimientos y fenómenos observados durante la revisión Coordinar y organizar todas las fases del trabajo. Servir de guía en revisiones subsecuentes. F acilitar la preparación del informe. informe. Comprobar y explicar en detalle las opiniones y conclusiones resumidas en el informe. Se utilizan para transcribir y concentrar los resultados de entrevistas, cuestionarios, encuestas, investigaciones y observaciones del personal auditado. Proveer un registro histórico permanente de la información examinada y los procedimientos de auditoria aplicados. Se utiliza como memoria puntualizada del registro de la evaluación de los documentos formales del área, de los resultados de las pruebas que se aplican en el sistem sistema a y de cualquier cualquier otra otra evidencia documental documental o sistematizada que se utilice para concentrar la información relacionada con la administración y seguridad del área de sistemas, la operación del sistema, el comportamiento de las bases de datos o cualquier otro aspecto que afecte la operación normal del área o de los sistemas auditados.
28
http/www.eumed.net/cursecon/li http/www.eumed.net/cursecon/librería/rgl-genaud/inde brería/rgl-genaud/index.htm. x.htm. Generalidades en la auditoria informática. Roberto Gómez López
Tipos de papeles de trabajo
En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar en tres grupos: 29 Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: trabajo: estados financieros, financieros, memoria, emoria, escrit escritura, ura, contratos, contratos, acuerdos Preparados por la entidad auditada.
Una parte del trabajo de auditoria consiste en la verificación de los saldos que aparecen en el balance de situación a auditar. Confirmaciones de terceros.
Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones y otros. Preparados por el auditor.
Contenid o del legajo de los papeles de trabajo
Los siguientes enunciados dan una idea de la cantidad minina de documentos, con los que el auditor puede integrar los papeles de trabajo, pero también el auditor puede utilizar su criterio personal, experiencia y conocimiento para determinar el contenido y orden de los mismos, lo importante es que dichos papeles existan. El contenido puede variar dependiendo del tipo de auditoria y del auditor, ya que en cada trabajo existen procedimientos, técnicas y métodos de evaluación especiales que forzosamente harán diferente la recolección de los documentos. Una propuesta para integrar los papeles de trabajo puede ser: 30 Hoja de identificación identificación Índice de contenido de los papeles de trabajo Dictamen preliminar (borrador) 29
http/www.eumed.net/cursecon/li http/www.eumed.net/cursecon/librería/rgl brería/rgl-genaud/index.htm. -genaud/index.htm. Generalidades en la aud itoria informática. Roberto Gómez López 30 MUÑOZ, Razo Carlos. Auditoria en sistemas computacionales. computacionales. México. Pearson Educación. 2002. p. 247
Resumen de desviaciones detectadas Situaciones encontradas (situaciones, causas y soluciones) Programa de trabajo de auditoria Guía de auditoria Inventario de software Inventario de hardware Inventario de consumibles Manual de organización Descripción de puestos Reportes de pruebas y resultados Backup Backupss de de datos, disquet disquetes es y program programas as de aplicación de audit auditoria oria Backups de las bases de datos y de los sistemas Guías de claves para el señalamiento de los papeles de trabajo Cuaros Cuaros y estadi es tadissticas ticas concentradores concentradores de inform información Anexos de recopilación de información información Diagramas de flujo, de programación y desarrollo de sistemas Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema Testimoniales, actas y documentos legales de comprobación y confirmación 31
Marcas Marcas de d e audit audit oria or ia e indi ces de referenc referenc ia
Las marcas son s on claves de carácter informal informal que utiliza exclusivam exclusivament ente e el el auditor, con el fin de facilitar facilitar la uniformidad uniformidad de de los papeles de trabajo y para identificarlos mejo mejor. r. Su utilidad esta en que tienen un dignificado preciso que todos los auditores conocen y utilizan para destacar aspectos importantes de los documentos que van revisando, y en que sirven como como identificadore identificadoress uniformes uniformes de todas las actividades actividades que se desarrollan desarrollan durante durante la evaluación; todos todos los auditores auditores deben utilizar utilizar los mismos símbol símbolos os al hacer las anotaciones en los documentos que evalúen. Las marcas también también ayudan ayudan al auditor a: Realizar un resumen de observaciones para identificar de manera rápida y sencilla las posibles pos ibles desviaciones y estandarizar estandarizar su trabajo siempre iempre y cuando sean las mismas para toda la revisión Evitar copias inútiles de papeles de evaluación y documentos oficiales, los cuales sirven para identificar los aspectos revisados, como apoyo para la evaluación.
31
MUÑOZ, Razo Carlos. Auditoria en sistemas computacionales. computacionales. México. Pearson Educación. 2002. p. 247
Facilitar la revis revisión de de documentos documentos impresos impresos,, de disquetes, disquetes, bases bases de datos datos y todo lo relacionado con los sistemas evaluados. No existe un convenio formal respecto al tipo de marcas utilizadas entre un auditor y otro, su diseño es producto de las experiencias de auditoria anteriores compartidas entre los auditores. Sin embargo por sentido común se unifican las marcas o símbolos que se utilizan en los papeles de trabajo; algunos ejemplos de marcas son:
CUES EP EU EF OBS ENT VIR !! ¿?
Cuestionario Entrevista al personal Entrevista ntrevista usuario usuario Entrevista funcionario Observación Coment omentario ario especial es pecial Entrevista Virus informático, contaminado Observación Observación import importante ante Confirmar onfirmar preguntas preguntas
disco
El Informe final
El informe de auditoria debe estar basado en la documentación o papeles de trabajo. trabajo. La L a función de la Auditoria Auditoria se se materializa materializa exclusivam exclusivament ente e por escrit escrito. o. P or lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.
Estructura del infor me final
El informe comienza con la fecha de comienzo de la Auditoria y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.
Definici Definici ón de objetivos y alcance alcance de la Auditoria
Declaración de los objetivos de la auditoria para identificar su propósito señalando los objetivos incumplidos
Enumeración Enumeración de temas temas con siderados
Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la Auditoria.
Cuerpo Cuerpo expositivo
Para cada tema, se seguirá el siguiente orden a saber:
Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. futuras. P untos untos débiles débiles y amenaza amenazas. s.
Tendencias:
Recomendaciones y planes de acción:
Redacción posterior de la Carta de Introducción o Presentación.
Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la Auditoria informática.
Modelo Modelo con ceptual de la la exposic exposic ión del infor me final
El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector. El Informe debe consolidar los hechos que se describen en el mismo. El término de "hechos consolidados" adquiere un especial significado de
verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios: El hecho debe poder ser sometido a cambios. o Las ventajas del cambio deben superar los inconvenientes o o
o
derivados de mantener la situación. No deben existir alternativas viables que superen al cambio propuesto. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación.
La aparición de un hecho en un informe de Auditoria implica necesariamente la existencia de una debilidad que ha de ser corregida. Flujo del hecho o debilidad debilidad
Hecho encontrado. Ha de ser relevante para el auditor y pera el cliente. Ha de ser exacto, y además convincente. No deben existir hechos repetidos.
Consecuencias onsecuencias del hecho Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.
Repercusión del hecho Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa.
Conclusión del hecho No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja.
Recomendación del auditor informático Deberá entenderse entenderse por sí s í sola, por simple simple lectura. lectura. Deberá estar suficientemente soportada en el propio texto. Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación.
La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.
Redacci Redacci ón de la carta de presentación del Informe final :
La carta de introducción tiene especial importancia porque en ella ha de resumirse la Auditoria realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la Auditoria. Así como pueden existir tantas copias del informe Final como solicite el cliente, la Auditoria no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos:
Tendrá como máximo 4 folios. Incluirá Incluirá fecha, fecha, naturaleza, naturaleza, objetivos objetivos y alcance. Cuantificará la importancia de las áreas analizadas. Proporcionará una conclusión general, concretando las áreas de gran debilidad. Presentará las debilidades en orden de importancia y gravedad. En la carta de Introducción no se escribirán nunca recomendaciones. CRMR (Computer resource management review)
Cap i t u l o 3. El au d i t o r
Lección Lecció n 1. 1. Normas que regulan el el comportamiento comp ortamiento del audit audit or Las normas que regulan el comportamiento del auditor se pueden clasificar de la siguiente manera: 32 Normas permanentes de carácter profesional: son aquellas que debe
cumplir invariablemente el profesional dedicado a la actividad de la auditoria de sistemas computacionales; el auditor no debe admitir bajo ninguna circunstancia variación alguna respecto a la aplicación y cumplimiento de dichas normas. Esto se debe a que es obligación profesional (deber ético, moral y profesional) del propio auditor y del personal que colabora con él, hacer una cabal observancia de dichas normas a fin de mantener su prestigio y credibilidad en las empresas donde realice su evaluación. Entre los casos más relevantes encontramos los siguientes:
Emitir una opin ión respons able y pr ofesional respaldada respaldada en evidencias evidencias comprobadas: una auditoría solamente es válida cuando está debidamente
fundamentada por técnicas, métodos y procedimientos de carácter profesional que han sido previamente aprobados y comprobados; estos métodos son un soporte para que el auditor, apoyado en su experiencia y conocimientos de la materia, emita una opinión confiable y de tipo profesional. La opinión fundamentada del auditor le hace confiable en los juicios que emite
Mantener Mantener una disc iplina pro fesional: al igual que en cualquier profesión e
Guardar el secreto profesional : debido a que el auditor está en contacto
32
incluso en algunas de las actividades laborales, sociales y cotidianas de la vida, un profesional de la auditoría también debe mantener una actuación permanentemente profesional por encima de cualquier cosa, tanto en el aspecto laboral como el personal, lo cual sólo se logra con constancia, voluntad y una férrea disciplina. con información confidencial de la empresa que audita, es su obligación no sólo profesional sino también ética y moral, que en todos los casos mantenga el secreto profesional, tanto de la información que le es confiada como de los resultados de su evaluación. Por ningún motivo debe dar a conocer la información que le fue confiada.
MUÑOZ, Razo Carlos. Auditoria en sistemas computacionales. México. Pearson Educación. 2002.
Tener independencia mental : también se debe considerar que para ser
auditor no sólo hay que trabajar en ello, sino tener una aptitud, competencia y disposición profesional de tipo muy especial, caracterizada por una actitud mental independiente que siempre debe estar libre de cualquier influencia. Además, el auditor debe tener los suficientes conocimientos, habilidades y experiencia para saber evitar las influencia de cualquier género, así como las amenazas y los aspectos sentimentales que encontrará en la realización de su trabajo. Para ser auditor hay que ser independiente de pensamiento, palabra y actuación.
Contar con responsabilidad profesional: si se considera que no es lo
mismo ser un profesional que trabaja en la auditoría que ser un profesional de la auditoría, es evidente que no sólo hay que laborar como auditor para sobrevivir, sino que hay que actuar y pensar como verdadero profesional de la auditoría; lo anterior se refleja en la forma de aceptar la responsabilidad que se tiene para cumplir con las actividades de una auditoría; ésta no sólo es una norma y obligación profesional, sino que es un requisito ético, moral y personal para actuar como auditor. No sólo hay que laborar como auditor, también hay que aceptar la responsabilidad que esto implica.
Capacitación y adiestramiento permanentes : como en toda actividad
profesional, el auditor también requiere de una constante capacitación profesional, laboral y técnica, para que adquiera nuevos conocimientos de métodos, procedimientos y herramientas de evaluación que le ayuden a desempeñar mejor su trabajo. La capacitación puede ser de carácter formal o informal, de tipo académico, laboral o personal. Lo importante es que estos profesionales se capaciten constantemente para realizar mejor su actividad profesional. Para el auditor, la capacitación es la herramienta fundamental para el buen desempeño de su actividad profesional.
Hacer una planeación de la auditoría y de los programas de evaluación : para realizar un buen trabajo de auditoria, es necesario que
para cualquier tipo de auditoría que practique, el auditor se apoye en una previa planeación de todas las actividades, herramientas y recursos que deba utilizar, incluyendo los planes, programas y presupuestos, no sólo de los recursos a utilizar, sino también de las técnicas, métodos y procedimientos de auditoría. Es evidente que esta actividad es producto de normas y obligaciones de tipo profesional y permanentes. La planeación de la auditoría es la herramienta indispensable para un buen desarrollo y cumplimiento profesional de la misma.
Hacer la presentación del dictamen por escrito, así como la aclaración aclaración de diferencias : el informe que presente el auditor debe ser lo
más confiable posible, con lenguaje claro, bien estructurado y debe contener todos los aspectos fundamentales que apoyan su opinión como profesional, evitando en todos los casos la subjetividad en lo evaluado; la mejor forma de lograrlo es presentar este informe por escrito, a fin de no dejar dudas sobre lo que se está informando. Además, no basta con presentarlo por escrito, también es un requisito normado y una obligación profesional que el contenido del informe esté comentado con los involucrados en la revisión y, si es el caso, deben estar aclaradas las posibles divergencias y dudas que surjan entre el auditor y el auditado. Esto le dará al auditor auditor su su carácter profesional. profesional. El informe de auditoría es un documento legal que no debe ser ocultado a los auditados ni ser presentado a sus espaldas, sino que les debe ser presentado con pleno conocimiento de su contenido.
Normas de carácter social: El auditor, como todo profesional y cualquier
ciudadano, vive en una sociedad en la cual desempeña su actividad profesional y a la cual sirve con su trabajo. Dicha sociedad soc iedad se rige por una serie do normas normas y obligaciones, muchas de ellas no escritas, pero sí aceptadas por los integrantes integrantes de esa comunidad. comunidad. Entre ntre las normas normas de carácter social que regulan regulan la actuación del auditor están:
Ac atar l as nor no r mas y ob liga li gaci cio o nes de car ácter áct er s oc ial: ial : al convivir con un
grupo de personas dentro de un núcleo de la sociedad, el auditor debe
La planeación de la auditoría es la herramienta indispensable para un buen desarrollo y cumplimiento profesional de la misma.
regir su conducta con las normas y lineamientos que regulan la actuación de cualquier profesional. Estas normas y obligaciones sociales, que por lo general no están establecidas por escrito, son las que determinan la actuación de este tipo de profesionales y en general de toda la sociedad.
Respetar a las autoridades, leyes, normas y reglamentos : dentro de
las enseñanzas de carácter social que desde pequeños se nos inculcan en la familia y en la sociedad, se encuentra el aprendizaje del civismo, por medio del cual se nos enseña a respetar respetar y acatar, entr entre e otras otras cosas, lo determinado por la normas, leyes y reglamentos que regulan el comportamiento de las personas que cohabitan dentro de un conglomerado social; también se nos inculca el respeto a las autoridades y disposiciones sociales. Es requisito de carácter social que el auditor sepa respetar y hacer cumplir las disposiciones y normas emanadas de las autoridades que regulan su actividad profesional, tanto en su actuación con las empresas que audita como con la» personas que trata en la realización de una auditoría.
Evitar y prevenir sobornos, componendas y dádivas : es requisito
indispensable, sin admitir ninguna variación al respecto, que el auditor prevenga y evite cualquier tipo de soborno, componenda o dádiva que pudieran resultar de su actividad profesional.
Ser leal con los auditados : un requisito indispensable para el auditor,
también de comportamiento social, ético, profesional y moral, es que debe ser leal con las empresas que audita y con el personal que labora dentro de ellas. No es válido ni profesional ser desleal con quienes se audita. Además, cumplir con esta obligación, en mucho le ayuda a fundamentar sus relaciones con las empresas, con sus colegas y con la sociedad sociedad en general. general. Contar con una opinión profesional y defenderla : al emitir el informe
de una auditoria y plasmar su opinión en un dictamen, el auditor demuestra a la sociedad que tiene una opinión personal, la cual fundamenta en la aplicación de sus técnicas, métodos y procedimientos de auditoría, misma que defiende por medio de su opinión profesional, la
cual está cimentada por las evidencias que obtiene al realizar su trabajo; eso es lo que espera la colectividad de este profesional. Por esta razón, la comunidad le confiere al auditor una gran calidad moral, social y profesional, ya que da por hecho que su actuación está apegada a una estricta ética profesional y personal, la cual demuestra con la opinión que emite emite y defiende.
Emitir un dictamen con firma profesional : La sociedad, las
autoridades y los responsables de las empresas auditadas reclaman que el informe que emite el auditor esté respaldado por una firma profesional, ya sea la de una empresa que avale su actuación o la del propio auditor. Este profesional debe estar avalado y certificado por las autoridades y asociaciones asociaciones de profesionales del ramo ramo para ejercer esta actividad. actividad. Para ejer ejerccer la Contar con apoyo didáctico y normativo vigente : Para profesión de auditor, también es requisito contar con el apoyo didáctico y normativo que esté vigente en esta actividad, ya que la sociedad, las empresas y sus ejecutivos y empleados reclaman que al realizar esta actividad, el auditor cuente con la capacitación y conocimientos más adelantados y vigentes de su profesión.
Normas de comportamiento ético-moral: las normas de conducta que como
profesional debe acatar el auditor, dentro de un estricto sentido ético y moral son las siguientes.
normas de carácter carácter social, se Ser incorruptible e insobornable: en las normas
señalo, señalo, que es requisito indispensable, indispensable, sin admitir admitir ninguna variación al respecto, que el auditor sea insobornable e incorruptible y que no haya ninguna duda respecto a su actuación en la evaluación que está realizando. Esta cualidad moral, más que norma y obligación, es la que da la confianza en la actuación de un profesional de la auditoría. Alterar en algo el informe de la auditoría para minimizar, no informar o modificar lo encontrado en una evaluación no es una actitud ética del auditor, mucho menos moral ni profesional. Si esta actitud se deriva de sobornos, corruptelas y componendas para alterar su opinión, este pseudoauditor carece de calidad profesional. Igual si obedece a otro tipo de intereses ajenos a los fines de la auditoría.
Ser imparcial en los juicios que emite como auditor : se debe ser
imparcial, imparcial, esto con el propósito propósito de poder emiti emitirr un juicio juicio acertado acertado y ecuánime respecto a lo que se está evaluando. El cumplimiento de esta
cualidad o norma ético-moral es lo que le da validez y vigencia a la profesión de auditor, debido a que, al emitir un dictamen, éste se hace libre de cualquier presión e influencia y sin ningún sesgo ni parcialidad; el auditor auditor sólo debe inform informar de lo que realmente realmente observó. Además, Además, debe fundamentar su opinión en las evidencías y pruebas que obtuvo con los métodos, técnicas y herramientas de auditoría que utilizó. Esto no sólo es una norma ético-moral, sino profesional y laboral.
Contar Contar con un juic io s ereno, ereno, ético ético y mo ral : también fue señalado en los
elementos de juicio que el objetivo final de una evaluación es emitir un dictamen sobre los aspectos quo se están evaluando a la luz de las técnicas que utilice el auditor. Por esta razón, es importante identificar los elementos señalados en ese punto y los criterios y obligaciones de carácter ético y moral que adquiere este profesional al emitir un dictamen, mismo que fundamenta en un juicio sereno, el cual apoya con las evidencias de que dispone y con las pruebas obtenidas con sus herramientas de evaluación. Ac atar y hacer ha cer cu mp lir li r las no r mas mo ral es y éticas éti cas : Parece reiterativo decir
que el auditor debe acatar y hacer cumplir las normas ético-morales que regulan su actuación como profesional, lo cual se aplica invariablemente a su actuación tanto en el ámbito profesional, como en el ámbito personal y social. Esto es lo que esperan de su actuación los funcionarios y empleados de las empresas que audita, sus colegas, las asociaciones a las que pertenezca y la comunidad en general. Todos esperan que su actuación como auditor se apegue invariablemente a un estricto cumplimiento de las normas morales y éticas que que regulan regulan a la sociedad.
L ec c i ó n 2. Fr au d e i n f o r m át i c o Fraude Fraude in formático
33
33
www.monografias.com. Delitos informáticos. LANDAVERDE, Melvin, SOTO, Joaquin y T ORRES, Jorge
A nadie escapa la enorme influencia que ha alcanzado la informática en la vida diaria de las personas pers onas y organizaciones organizac iones,, y la importancia importancia que que tiene tiene su progreso para el desarrollo de un país. Las transacciones comerciales, la comunicación, los procesos industriales, las investigaciones, la seguridad, la sanidad, etc. son todos aspectos que dependen cada día más de un adecuado desarrollo de la tecnología informática. J unt unto al avan avance ce de de la tec tecn nolog ología ía inf inform ormáti ática y su inf influen uencia cia en casi casi tod todas as las las áreas de la vida social, ha surgido una serie de comportamientos ilícitos denominados, de manera genérica, «delitos informáticos». Conceptualización
Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición de Delito puede ser más compleja. Muchos estudiosos del Derecho Penal han intentado formular una noción de delito que sirviese para todos los tiempos y en todos los países. Esto no ha sido posible dada la íntima conexión que existe entre la vida social y la jurídica de cada pueblo y cada siglo, aquella condiciona a ésta. Según el ilustre penalista CUELLO CALON, los elementos integrantes del delito son: El delito es un acto humano, es una acción (acción u omisión) Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido. Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico. El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona La ejecución u omisión del acto debe estar sancionada por una pena. Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado por una pena.
Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancion sancionado ado con una pena. De esta maner manera, a, el autor autor mexi mexicano cano J ulio ulio TE T E LLE LLEZ VALDEZ VAL DEZ señal s eñala a que los los delitos informáticos son "actitudes ilícitas en que se tienen a las computadoras como instrumento o fin (concepto atípico) o las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin (concepto (concepto típico)". típico)". P or su parte, parte, el tratad tratadista ista penal italiano italiano Carlos Carlos SAR S ARZAN ZANA, A, sostiene que los delitos informáticos son "cualquier comportamiento criminal en que la computadora está involucrada como material, objeto o mero símbolo". An tec edent ed entes es
En la actualidad los computadores se utilizan no solo como herramientas auxiliares de apoyo a diferentes actividades humanas, sino como medio eficaz para obtener y conseguir información, lo que las ubica también como un nuevo medio de comunicación, y condiciona su desarrollo de la informática; tecnología cuya esencia se resume en la creación, procesamiento, almacenamiento y transmisión de datos. La informática esta hoy presente en casi todos los campos de la vida moderna. Con mayor o menor rapidez todas las ramas del saber humano se rinden ante los progresos tecnológicos, y comienzan a utilizar los sistemas de Información para ejecutar tareas que en otros tiempos realizaban manualmente. El progreso cada día más importante y sostenido de los sistemas computacionales permite hoy procesar y poner a disposición de la sociedad una cantidad creciente de información de toda naturaleza, al alcance concreto de millones de interesados y de usuarios. Las más diversas esferas del conocimiento humano, en lo científico, en lo técnico, en lo profesional y en lo
personal están siendo incorporadas a sistemas informáticos que, en la práctica cotidiana, de hecho sin limitaciones, entrega con facilidad a quien lo desee un conjunto conjunto de datos que que hasta hasta hace unos unos años sólo podían ubicarse ubicarse luego luego de de largas búsquedas y selecciones en que el hombre jugaba un papel determinante y las máquinas existentes tenían el rango de equipos auxiliares para imprimir los resultados. En la actualidad, en cambio, ese enorme caudal de conocimiento puede obtenerse, además, en segundos o minutos, transmitirse incluso documentalmente y llegar al receptor mediante sistemas sencillos de operar, confiables y capaces de responder casi toda la gama de interrogantes que se planteen a los archivos informáticos. Puede sostenerse que hoy las perspectivas de la informática no tienen límites previsibles y que que aumentan aumentan en forma forma que aún puede impresionar impresionar a muchos muchos actores del proceso. Este es el panorama de este nuevo fenómeno científico tecnológico en las sociedades modernas. Por ello ha llegado a sostenerse que la Informática es hoy una forma de Poder Social. Las facultades que el fenómeno pone a disposición de Gobiernos y de particulares, con rapidez y ahorro consiguiente de tiempo y energía, configuran un cuadro de realidades de aplicación y de posibilidades posibilidades de juegos lícit lícito o e ilícito, en donde donde es necesario el derecho para regular los múltiples efectos de una situación, nueva y de tantas potencialidades en el medio social. Los progresos mundiales de las computadoras, el creciente aumento de las capacidades de almacenamiento y procesamiento, la miniaturización de los chips de las las computadoras computadoras instalados en productos industriales, industriales, la fusión fusión del proceso de la información con las nuevas tecnologías de comunicación, así com como la investi investigación gación en el campo de la inteligencia artificia artificial,l, ejemplifican el desarrollo actual definido a menudo como la "era de la información". Esta marcha de las aplicaciones de la informática no sólo tiene un lado ventajoso sino que plantea también problemas de significativa importancia para el funcionamiento y la seguridad de los sistemas informáticos en los negocios, la administración, la defensa y la sociedad.
Debido a esta vinculación, el aumento del nivel de los delitos relacionados con los sistemas informáticos registrados en la última década en los Estados Unidos, Europa Occidental, Occidental, Aust Australia y J apón, representa representa una una amenaza amenaza para la economía de un país y también para la sociedad en su conjunto. De acuerdo con la definición elaborada por un grupo de expertos, invitados por la OCDE 34 a París P arís en en mayo mayo de 1983, 1983, el término término delitos delitos relacionados con con las computadoras se define como cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el procesado automático de datos y/o transmisiones de datos. La amplitud de este concepto es ventajosa, puesto que permite el uso de las mismas hipótesis de trabajo para toda clase de estudios penales, criminólogos, económicos, preventivos o legales. En la actualidad la informatización se ha implantado en casi todos los países. Tant Tanto en la org organiz anizac aciión y adm administ nistrraci ación de emp empresas esas y adm administ nistrraci aciones ones públicas como en la investigación científic científica, a, en la la producció producción n industrial o en el estudio e incluso en el ocio, el uso de la informática es en ocasiones indispensable y hasta conveniente. Sin embargo, junto a las incuestionables ventajas que presenta presenta comienzan a surgir surgir algunas facetas negativas, como por ejemplo, lo que ya se conoce como "criminalidad informática". El espectacular desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La manipulación fraudulenta de los ordenadores con ánimo de lucro, la destrucción de programas o datos y el acceso y la utilización indebida de la información que puede afectar la esfera de la privacidad, son algunos de los procedimientos relacionados con el procesamiento electrónico de datos mediante los cuales es posible obtener grandes beneficios económicos o causar importantes daños materiales o morales. Pero no sólo la cuantía de los perjuicios así ocasionados es a menudo infinitamente superior a la que es usual en la delincuencia tradicional, sino que también son mucho más elevadas las posibilidades de que
34
Organización de Cooperación y Desarrollo Econó mico.
no lleguen a descubrirse. Se trata de una delincuencia de especialistas capaces muchas veces de borrar toda huella de los hechos. hechos. En este sentido, la informática puede ser el objeto del ataque o el medio para cometer otros delitos. La informática reúne unas características que la convierten en un medio idóneo para la comisión de muy distintas modalidades delictivas, en especial de carácter patrimonial (estafas, apropiaciones indebidas, etc.). La idoneidad proviene, básicamente, de la gran cantidad de datos que se acumulan, con la consiguiente facilidad de acceso a ellos y la relativamente fácil manipulación de esos datos. La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos. A ello se une que estos ataques son relativamente fáciles de realizar, con resultados altamente satisfactorios y al mismo tiem tiempo po procuran a los autores una probabilidad bastante alta de alcanzar los objetivos sin ser descubiertos.
L ec c i ó n 3. Car ac t er í r ís t i c as d e l o s d el i t o s i n f o r m át i c o s Según el mexicano mexicano J ulio Tellez Valdez, V aldez, los delitos delitos informáti informáticos cos presentan presentan las siguientes siguientes caracterís característticas principal principales: es: Son conductas criminales de cuello blanco (white collar crime), en tanto que sólo un determinado número de personas con ciertos conocimientos (en este caso técnicos) puede llegar a cometerlas. Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando. Son acciones de oportunidad, ya que se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico. Provocan serias pérdidas económicas, ya que casi siempre producen "beneficios" de más de cinco cifras a aquellos que las realizan.
Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. Son muy sofisticados y relativamente frecuentes en el ámbito militar. Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico. Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley. Sistemas Sistemas y empresas empresas con mayor riesgo.
Evidentemente el artículo que resulta más atractivo robar es el dinero o algo de valor. Por lo tanto, los sistemas que pueden estar más expuestos a fraude son los que tratan pagos, como los de nómina, ventas, o compras. En ellos es donde es más fácil convertir transacciones fraudulentas en dinero y sacarlo de la empresa. Por razones similares, las empresas constructoras, bancos y compañías de seguros, están más expuestas a fraudes que las demás. Los sistemas mecanizados son susceptibles de pérdidas o fraudes debido a que: Tratan grandes volúmenes de datos e interviene poco personal, lo que impide verificar todas las partidas. Se sobrecargan los registros magnéticos, perdiéndose la evidencia auditable o la secuencia de acontecimientos. A veces los registros magnéticos son transitorios y a menos que se realicen pruebas dentro de un período de tiempo corto, podrían perderse los detalles de lo que sucedió, quedando sólo los efectos. Los sistemas son impersonales, aparecen en un formato ilegible y están controlados parcialmente por personas cuya principal preocupación son los
aspectos técnicos del equipo y del sistema y que no comprenden, o no les afecta, el significado de los datos que manipulan. En el diseño de un sistema importante es difícil asegurar que se han previsto todas las situaciones posibles y es probable que en las previsiones que se hayan hecho queden huecos sin cubrir. Los sistemas tienden a ser algo rígidos y no siempre se diseñan o modifican al ritmo con que se producen los acontecimientos; esto puede llegar a ser otra fuente de "agujeros". Sólo parte del personal de proceso de datos conoce todas las implicaciones del sistema y el centro de cálculo puede llegar a ser un centro de información. Al mismo tiempo, el centro de cálculo procesará muchos aspectos similares de las transacciones. En el centro de cálculo hay un personal muy inteligente, que trabaja por iniciativa propia la mayoría del tiempo y podría resultar difícil implantar unos niveles normales de control y supervisión. El error y el fraude son difíciles de equiparar. A menudo, los errores no son iguales al fraude. Cuando surgen discrepancias, no se imagina que se ha producido un fraude, y la investigación puede abandonarse antes de llegar a esa conclusión. Se tiende a empezar buscando errores de programación y del sistema. Si falla esta operación, se buscan fallos técnicos y operativos. Sólo cuando todas estas averiguaciones han dado resultados negativos, acaba pensándose en que la causa podría ser un fraude.
L ec c i ó n 4. Ti p i f i c ac i ó n d e l o s d el i t o s i n f o r m át i c o s
Clasificación Clasificación Según Según la Actividad Informática
Sabotaje informático
El término sabotaje informático comprende todas aquellas conductas dirigidas a causar daños en el hardware o en el software de un sistema. Los métodos utilizados para causar destrozos en los sistemas informáticos son de índole muy
variada y han ido evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección. Básicamente, se puede diferenciar dos grupos de casos: por un lado, las conductas dirigidas a causar destrozos físicos y, por el otro, los métodos dirigidos a causar daños lógicos. Conductas dirigidas a causar daños físicos El primer grupo comprende todo tipo de conductas destinadas a la destrucción «física» del hardware y el software de un sistema (por ejemplo: causar incendios o explosiones, introducir piezas de aluminio dentro de la computadora para producir cortocircuitos, echar café o agentes cáusticos en los equipos, etc. En general, estas conductas pueden ser analizadas, desde el punto de vista ju jurídi ídico, co, en en for form ma sim similar ilar a los los com comport ortami amient entos an análog álogos os de de de destr strucci cción física ísica de otra clase de objetos previstos típicamente en el delito de daño. Conductas dirigidas a causar daños lógicos El segundo grupo, más específicamente relacionado con la técnica informática, se refiere a las conductas que causan destrozos «lógicos», o sea, todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático. Este tipo de daño a un sistema se puede alcanzar de diversas formas. Desde la más simple que podemos imaginar, como desenchufar el ordenador de la electricidad mientras se esta trabajando con él o el borrado de documentos o datos de un archivo, hasta la utilización de los más complejos programas lógicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su posibilidad de destruir gran cantidad de datos en un tiempo mínimo. Estos programas destructivos, utilizan distintas técnicas de sabotaje, muchas veces, en forma combinada. Sin pretender realizar una clasificación rigurosa de estos métodos de destrucción lógica, podemos distinguir: Bombas lógicas (time bombs): En esta modalidad, la actividad o destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o
o
o
o
a una hora determinada), o por la aparición de determinada señal (que puede aparecer o puede no aparecer), como la presencia de un dato, de un código, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el programa como la señal para empezar a actuar. La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado programó el sistema de tal forma que los ficheros de la empresa se destruirían automáticamente si su nombre era borrado de la lista de empleados de la empresa. Otra modalidad que actúa sobre los programas de aplicación es el llamado «cáncer de rutinas» («cancer routine»). En esta técnica los programas destructivos tienen la particularidad de que se reproducen, por sí mismos, en otros programas, arbitrariamente escogidos. Una variante perfeccionada de la anterior modalidad es el «virus informático» que es un programa capaz de multiplicarse por sí mismo y contaminar los otros programas que se hallan en el mismo disco rígido donde fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contacto a través de una conexión.
Fraude a través de computadores
Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas. Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input. Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia alemana: Una empleada de un banco del sur de Alemania transfirió, en febrero de 1983, un millón trescientos mil marcos alemanes a la cuenta de una amiga - cómplice en la maniobra - mediante el simple mecanismo de imputar el crédito en una terminal de computadora del banco. La operación fue realizada a primera hora de la mañana y su falsedad podría haber sido detectada por el sistema de seguridad del banco al mediodía. Sin embargo, la rápida transmisión del crédito a través de sistemas informáticos conectados en línea (on line), hizo posible
que la amiga de la empleada retirara, en otra sucursal del banco, un millón doscientos ochenta mil marcos unos minutos después de realizada la operación informática. En segundo lugar, es posible interferir en el correcto procesamiento de la información, alterando el programa o secuencia lógica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor. A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informática, esta modalidad es más específicamente informática y requiere conocimientos técnicos especiales. Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana: El autor, empleado de una importante empresa, ingresó al sistema informático un programa que le permitió incluir en los archivos de pagos de salarios de la compañía a «personas ficticias» e imputar los pagos correspondientes a sus sueldos a una cuenta personal del autor. Esta maniobra hubiera sido descubierta fácilmente por los mecanismos de seguridad del banco (listas de control, sumarios de cuentas, etc.) que eran revisados y evaluados periódicamente por la compañía. Por este motivo, para evitar ser descubierto, el autor produjo cambios en el programa de pago de salarios para que los «empleados ficticios» y los pagos realizados, no aparecieran en los listados de control. Por último, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta modalidad se la conoce como manipulación del output. Una característica general de este tipo de fraudes, interesante para el análisis ju jurídi ídico, co, es es que que,, en en la may mayor oría ía de los los ca casos sos det dete ectad ctado os, la con conducta cta deli elicti ctiva es es repetida varias veces en el tiempo. Lo que sucede es que, una vez que el autor descubre o genera una laguna o falla en el sistema, tiene la posibilidad de repetir, cuantas veces quiera, la comisión del hecho. Incluso, en los casos de
“manipulación del programa”, la reiteración puede ser automática, realizada por el mismo sistema sin ninguna participación del autor y cada vez que el programa se active. En el ejemplo jurisprudencial citado al hacer referencia a las manipulaciones en el programa, el autor podría irse de vacaciones, ser despedido de la empresa o incluso morir y el sistema seguiría imputando el pago de sueldos a los empleados ficticios en su cuenta personal. Una problemática especial plantea la posibilidad de realizar estas conductas a través de los sistemas de teleproceso. Si el sistema informático está conectado a una red de comunicación entre ordenadores, a través de las líneas telefónicas o de cualquiera de los medios de comunicación remota de amplio desarrollo en los últimos años, el autor podría realizar estas conductas sin ni siquiera tener que ingresar a las oficinas donde funciona el sistema, incluso desde su propia casa y con una computadora personal. Aún más, los sistemas de comunicación internacional, permiten que una conducta de este tipo sea realizada en un país y tenga efectos en otro. Respecto a los objetos sobre los que recae la acción del fraude informático, estos son, generalmente, los datos informáticos relativos a activos o valores. En la mayoría de los casos estos datos representan valores intangibles (ej.: depósitos monetarios, créditos, etc.), en otros casos, los datos que son objeto del fraude, representan objetos corporales (mercadería, dinero en efectivo, etc.) que obtiene el autor mediante la manipulación del sistema. En las manipulaciones referidas a datos que representan objetos corporales, las pérdidas para la víctima son, generalmente, menores ya que están limitadas por la cantidad de objetos disponibles. En cambio, en la manipulación de datos referida a bienes intangibles, el monto del perjuicio no se limita a la cantidad existente sino que, por el contrario, puede ser «creado» por el autor. Estafas electrónicas: La proliferación de las compras telemáticas permite que
aumenten aumenten también también los casos casos de estafa. Se Se tratarí trataría a en este caso caso de una dinámica comisiva que cumpliría todos los requisitos del delito de estafa, ya que
además del engaño y el "animus defraudandi" existiría un engaño a la persona persona que com compra. No obstante seguiría existiendo una laguna legal en aquellos países cuya legislación no prevea los casos en los que la operación se hace engañando al ordenador. Blanqueo de dinero: Se espera que el comercio electrónico sea el nuevo lugar de transferencia electrónica de mercancías o dinero para lavar las ganancias que deja el delito, sobre todo si se pueden ocultar transacciones. Copia ilegal de software y espionaje informático. Se engloban las conductas dirigidas a obtener datos, en forma ilegítima, de un sistema de información. Es común el apoderamiento de datos de investigaciones, listas de clientes, balances, etc. En muchos casos el objeto del apoderamiento es el mismo programa de computación (software) que suele tener un importante valor económico. Infracción de los derechos de autor: La interpretación de los conceptos de copia, distribución, cesión y comunicación pública de los programas de ordenador utilizando la red provoca diferencias de criterio a nivel jurisprudencial. Infracción del Copyright de bases de datos: No existe una protección uniforme de las bases de datos datos en los los países que tienen tienen acceso a Int Internet ernet.. El E l sistema sistema de protección más habitual es el contractual: el propietario del sistema permite que los usuarios hagan "downloads" de los ficheros contenidos en el sistema, pero prohibe el replic replicado ado de la base de dat datos os o la copia mas masiva iva de información. información. Uso ilegítimo de sistemas informáticos ajenos. Esta modalidad consiste en la utilización sin autorización de los ordenadores y los programas de un sistema informático ajeno. Este tipo de conductas es comúnmente cometida por empleados de los sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados y actividades complementarias a su trabajo. En estos supuestos, sólo se produce un perjuicio económico importante para las empresas en los casos de abuso en
el ámbito del teleproceso o en los casos en que las empresas deben pagar alquiler por el tiempo de uso del sistema. Acceso no autorizado: La corriente reguladora sostiene que el uso ilegítimo de passwords y la entrada en un sistema informático sin la autorización del propietario debe quedar tipificado como un delito, puesto que el bien jurídico que acostumbra a protegerse con la contraseña es lo suficientemente importante para que el daño producido sea grave. Delitos informáticos contra la privacidad. Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos Esta tipificación se refiere a quién, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo de archivo o registro público o privado. Existen circunstancias agravantes de la divulgación de ficheros, los cuales se dan en función de: 1. El carácter de los datos: datos: ideología, religión, creencias, creencias, salud, origen origen racial y vida sexual sexual.. 2. Las circunstan circunstancias cias de la la víctima: víctima: menor menor de edad o incapaz incapaz.. Tambi También én se com comprend ende la in interce ercept ptac aciión de de las las com comunicaci cacion one es, la uti utilizaci zación ón de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen o de cualquier otra señal de comunicación, se piensa que entre lo anterior se encuentra el pinchado de redes informáticas. Interceptación de e-mail: En este caso se propone una ampliación de los preceptos que casti castigan gan la violación violación de correspondencia, correspondencia, y la interce interceptación ptación de telecomunicaciones, de forma que la lectura de un mensaje electrónico ajeno revista la la misma misma gravedad. gravedad.
Pornografía infantil La distribución de pornografía infantil por todo el mundo a través de la Internet está en aumento. Durante los pasados cinco años, el número de condenas por transmisión o posesión de pornografía infantil ha aumentado de 100 a 400 al año en un país norteamericano. El problema se agrava al aparecer nuevas tecnologías, como la criptografía, que sirve para esconder pornografía y demás material "ofensivo" que se transmita o archive.
Clasificac ión Según el Ins Instru trumento, mento, Medio Medio o Fin u Objetivo
Asimism Asimismo, o, TE T E LLE LL EZ VALDE VAL DEZ Z clasifica clasifica a estos delit delitos, de acuerdo acuerdo a dos criterios: criterios: Como instrumento o medio. En esta categoría se encuentran las conductas criminales que se valen de las computadoras como método, medio o símbolo en la comisión del ilícito, por ejemplo: a. Falsificación de documentos vía computarizada (tarjetas de crédito, cheques, etc.) b. Variación Variación de los activos y pasivos en la situación ituación contable de las empresas empresas.. c. Planeamiento y simulación de delitos convencionales (robo, homicidio, fraude, etc.) d. Lectura, sustracción sustracción o copiado de información información confidencial. e. Modificación Modificación de datos datos tanto en la entrada entrada como como en la la salida. salida. f. Aprovecham Aprovechamiento indebido indebido o violación de un código para penetrar a un sistema introduciendo instrucciones inapropiadas. g. Variación Variación en cuanto cuanto al desti destino no de pequeñas pequeñas cantidades de di dinero nero hacia una cuenta bancaria apócrifa. h. Uso Uso no autorizado de programas programas de computo. computo. i. Introducción de instruccio instrucciones nes que provocan "int "interrupciones errupciones"" en la la lógica interna de los programas. j. j. Alt Alterac eració ión n en el funcion cionam amie ien nto de los sist sistem emas as,, a través avés de los vir virus informáticos. k. Obtención de información información residual residual impres impresa a en papel luego de de la ejecución de trabajos. l. Acceso Acceso a áreas inform informatizadas atizadas en forma forma no autoriz autorizada. ada. m. Intervención en las líneas líneas de comunicación comunicación de datos datos o teleproces teleproceso. o. Como fin u objetivo.
En esta categoría, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física, como por ejemplo: a. P rogramación rogramación de instru instrucciones cciones que produce producen n un bloqueo total total al sistema. b. Destru Des trucción cción de program programas as por cualquier método. método. c. Daño a la memoria. emoria. d. Atentado Atentado fís físico ico contra contra la la máquin máquina a o sus accesorios. accesorios. e. Sabotaje político o terroris terrorism mo en que que se destruya o surja un apoderamiento apoderamiento de los centros neurálgicos computarizados. f. Secuestro ecuestro de soportes magnéticos magnéticos entre entre los que figure informació información n valiosa con fines de chantaje chantaje (pago de rescate, etc.).
Clasificación Clasificación según A ctivid ades Delictivas Graves Graves
Por otro lado, la red Internet permite dar soporte para la comisión de otro tipo de delitos: Terr Terroris orism mo: Men Mensaje sajess anón anóniimos aprove ovechad chados os por grupos terr errori oristas stas para ara remitirse consignas y planes de actuación a nivel internacional. La existencia de hosts que ocultan la identidad del remitente, convirtiendo el mensaje en anónimo ha podido ser aprovechado por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. De hecho, se han detectado mensajes con instrucciones para la fabricación de material explosivo. Narcotráfico: Transmisión de fórmulas para la fabricación de estupefacientes, para el blanqueo de dinero y para la coordinación de entregas y recogidas. Tant Tanto el el FBI com como o el el Fiscal Fiscal Gener General al de los los Estad Estado os Unid Unidos han han aler alerttado ado sobr sobre e la necesidad de medidas que permitan interceptar y descifrar los mensajes encriptados que utilizan los narcotraficantes para ponerse en contacto con los cárteles. Espionaje: Se ha dado casos de acceso no autorizado a sistemas informáticos gubernamentales e interceptación de correo electrónico del servicio secreto de los Estados Unidos, entre otros actos que podrían ser calificados de espionaje si el destinatario final de esa información fuese un gobierno u organización extranjera. Entre los casos más famosos podemos citar el acceso al sistema
informático del Pentágono y la divulgación a través de Internet de los mensajes remitidos por el servicio secreto norteamericano durante la crisis nuclear en Corea del Norte en 1994, respecto a campos de pruebas de misiles. Aunque no parece que en este caso haya existido en realidad un acto de espionaje, se ha evidenciado una vez más más la vulnerabilidad vulnerabilidad de los sistem sis temas as de seguridad gubernamentales. Espionaje industrial: También se han dado casos de accesos no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y know how estratégico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgación no autorizada. Otros delitos: Las mismas ventajas que encuentran en la Internet los narcotraficantes pueden ser aprovechadas para la planificación de otros delitos como el tráfico de armas, proselitismo de sectas, propaganda de grupos extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al ciberespacio o al revés.
Infracciones que no Constituy en Delitos Delitos Informáticos
Usos comerciales no éticos: Algunas empresas no han podido escapar a la tentación tentación de aprovechar la la red para hacer una oferta a gran escala de sus productos, llevando a cabo "mailings electrónicos" al colectivo de usuarios de un gateway, gateway, un nodo o un territorio territorio determinado. determinado. Ello, E llo, aunque no consti constitu tuye ye una infracción, es mal recibido por los usuarios de Internet, poco acostumbrados, hasta fechas recientes, a un uso comercial de la red. Actos parasitarios: Algunos usuarios incapaces de integrarse en grupos de discusión o foros de debate online, se dedican a obstaculizar las comunicaciones ajenas, interrumpiendo conversaciones de forma repetida, enviando enviando mensajes mensajes con insultos insultos personales, etc. Tambi También én se de deben tomar omar en cuen cuentta las las ob obscen sceniidades ades que que se rea reallizan zan a tr través avés de la Internet.
Impacto Impacto de los delitos informático s
Impacto a Nivel General General
En los años recientes las redes de computadoras han crecido de manera asombrosa. Hoy en día, el número de usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con sus médicos online supera los 200 millones, comparado con 26 millones en 1995. A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernéticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorización o "piratería informática", el fraude, el sabotaje informático, la trata de niños con fines pornográficos y el acecho. Los delincuentes de la informática son tan diversos como sus delitos; puede tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos delincuentes pueden pasar desapercibidos a través de las fronteras, ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningún documento documento de rastro. Pueden P ueden despachar directamente directamente las comu comunicaciones nicaciones o esconder pruebas delictivas en "paraísos informáticos" - o sea, en países que carecen de leyes o experiencia para seguirles la pista -. Según datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden unos 500 millones de dólares al año debido a los piratas que les roban de las cuentas online sus números de tarjeta de crédito y de llamadas. Dichos números se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnéticas de tarjetas bancarias y de crédito, señala el Manual de la ONU. Otros delincuentes de la informática pueden sabotear las computadoras para ganarle ventaja económica a sus competidores o amenazar con daños a los sistemas con el fin de cometer extorsión. Los malhechores manipulan los datos o las operaciones, ya sea directamente o mediante los llamados "gusanos" o "virus", que pueden paralizar completamente los sistemas o borrar todos los
datos del disco duro. Algunos virus dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por medio de disquetes "infectados"; también se están propagando últimamente por las redes, con frecuencia camuflados en mensajes electrónicos o en programas "descargados" de la red. En 1990, se supo por primera vez en Europa de un caso en que se usó a un virus para sonsacar dinero, cuando la comunidad de investigación médica se vio amenazada con un virus que iría destruyendo datos paulatinamente si no se pagaba un rescate por la "cura". Los delincuentes cibernéticos al acecho también usan el correo electrónico para enviar mensajes amenazantes especialmente a las mujeres. De acuerdo al libro de Barbara J enson "Acec "Acecho ho cibernét cibernético: ico: delito, delito, represión y responsabilidad personal en el mundo online", publicado en 1996, se calcula que unas 200.000 personas acechan a alguien cada año. Además de las incursiones por las páginas particulares de la Red, los delincuentes pueden abrir sus propios sitios para estafar a los clientes o vender mercancías y servicios prohibidos, como armas, drogas, medicamentos sin receta ni regulación y pornografía. La CyberCop Holding Cell, un servicio de quejas online, hace poco emitió una advertencia sobre un anuncio clasificado de servicio de automóviles que apareció en la Internet. Internet. Por P or un precio precio fijo de $399, el servicio servicio publicaría publicaría una descripción del auto del cliente en una página de la Red y garantizaban que les devolverían el dinero si el vehículo no se vendía en un plazo de 90 días. Informa CyberCop que varios autos que se habían anunciado en la página electrónica no se vendieron en ese plazo, pero los dueños no pudieron encontrar a ninguno de los autores del servicio clasificado para que les reembolsaran el dinero. Desde entonces, el sitio en la Red de este "servicio" ha sido clausurado.
Impacto a Nivel Social
La proliferación de los delitos informáticos a hecho que nuestra sociedad sea cada vez más escéptica a la utilización de tecnologías de la información, las cuales pueden ser de mucho beneficio para la sociedad en general. Este hecho puede obstaculizar el desarrollo de nuevas formas de hacer negocios, por ejemplo el comercio electrónico puede verse afectado por la falta de apoyo de la sociedad en general. Tambi También én se observ serva el grado ado de esp especi eciali alizaci zación ón técn écnica que adqu adquiieren eren los delincuentes para cometer éste tipo de delitos, por lo que personas con conductas maliciosas cada vez más están ideando planes y proyectos para la realización de actos delictivos, tanto a nivel empresarial como a nivel global. Tambi También én se obse obserrva que las emp empresas esas que posee oseen n acti ctivos infor nform máti áticos cos importantes, son cada vez más celosas y exigentes en la contratación de personal para trabajar en éstas áreas, pudiendo afectar en forma positiva o negativa a la sociedad laboral de nuestros tiempos. Aquellas personas que no poseen los conocimientos informáticos básicos, son más vulnerables a ser víctimas de un delito, que aquellos que si los poseen. En vista de lo anterior aquel porcentaje de personas que no conocen nada de informática (por lo general personas de escasos recursos económicos) pueden ser engañadas si en un momento dado poseen acceso a recursos tecnológicos y no han sido asesoradas adecuadamente para la utilización de tecnologías como la Internet, correo electrónico, etc. La falta de cultura informática puede impedir de parte de la sociedad la lucha contra los delitos informáticos, por lo que el componente educacional es un factor clave en la minimización de esta problemática. Impacto en la Esfera Esfera Judi cial
Captura de delincuentes cibernéticos A medida que aumenta la delincuencia electrónica, numerosos países han promulgado leyes declarando ilegales nuevas prácticas como la piratería
informática, o han actualizado leyes obsoletas para que delitos tradicionales, incluidos el fraude, el vandalismo o el sabotaje, se consideren ilegales en el mundo virtual. Singapur, por ejemplo, enmendó recientemente su Ley sobre el Uso Indebido de las Computadoras. Ahora son más severos los castigos impuestos a todo el que interfiera con las "computadoras protegidas" --es decir, las que están conectadas con la seguridad nacional, la banca, las finanzas y los servicios públicos y de urgencia-- así como a los transgresores por entrada, modificación, uso o intercepción de material computadorizado sin autorización. Hay países que cuentan con grupos especializados en seguir la pista a los delincuentes cibernéticos. Uno de los más antiguos es la Oficina de Investigaciones Especiales de la Fuerza Aérea de los Estados Unidos, creada en 1978. Otro es el de Investigadores de la Internet, de Australia, integrado por oficiales de la ley y peritos con avanzados conocimientos de informática. El grupo australiano recoge pruebas y las pasa a las agencias gubernamentales de represión pertinentes en el estado donde se originó el delito. Pese a estos y otros esfuerzos, las autoridades aún afrentan graves problemas en materia de informática. El principal de ellos es la facilidad con que se traspasan las fronteras, por lo que la investigación, enjuiciamiento y condena de los transgresores se convierte en un dolor de cabeza jurisdiccional y jurídico. Además, una vez capturados, los oficiales tienen que escoger entre extraditarlos para que se les siga juicio en otro lugar o transferir las pruebas --y a veces los testigos-- al lugar donde se cometieron los delitos. En 1992, los piratas de un país europeo atacaron un centro de computadoras de California. La investigación policial se vio obstaculizada por la doble tipificación penal --la carencia de leyes similares en los dos países que prohibían ese comportamiento-- y esto impidió la cooperación oficial, según inform informa el Depart Departam ament ento o de J usticia usticia de los Es E stados tados Unidos. U nidos. Con C on el tiem tiempo, po, la policía del país de los piratas se ofreció a ayudar, pero poco después la piratería terminó, se perdió el rastro y se cerró el caso.
Asimismo, en 1996 el Servicio de Investigación Penal y la Agencia Federal de Investigación (FBI) de los Estados Unidos le siguió la pista a otro pirata hasta un país sudamericano. El pirata informático estaba robando archivos de claves y alterando los registros en computadoras militares, universitarias y otros sistemas privados, muchos de los cuales contenían investigación sobre sat satélites, élites, radiación e ingeniería ingeniería energética. energética. Los oficiales del país sudamericano requisaron el apartamento del pirata e incautaron su equipo de computadora, aduciendo posibles violaciones de las leyes nacionales. Sin embargo, los dos países no habían firmado acuerdos de extradición por delitos de informática sino por delitos de carácter más tradicional. Finalmente se resolvió la situación sólo porque el pirata accedió a negociar su caso, lo que condujo a que se declarara culpable en los Estados Unidos. Destrucción u ocultación de pruebas Otro grave obstáculo al enjuiciamiento por delitos cibernéticos es el hecho de que los delincuentes pueden destruir fácilmente las pruebas cambiándolas, borrándolas o trasladándolas. Si los agentes del orden operan con más lentitud que los delincuentes, se pierde gran parte de las pruebas; o puede ser que los datos estén cifrados, una forma cada vez más popular de proteger tanto a los particulares como a las empresas en las redes de computadoras. Tal vez la cri criptogr ografía afía est estorb orbe en las in investi estigaci aciones ones penales, ales, pero ero los dere erecho chos humanos podrían ser vulnerados si los encargados de hacer cumplir la ley adquieren demasiado poder técnico. Las empresas electrónicas sostienen que el derecho a la intimidad es esencial para fomentar la confianza del consumidor en el mercado de la Internet, y los grupos defensores de los derechos humanos desean que se proteja el cúmulo de datos personales archivados actualmente en ficheros electrónicos. electrónicos. Las empresas también recalcan que la información podría caer en malas manos, especialmente en países con problemas de corrupción, si los gobiernos tienen acceso a los mensajes en código. "Si los gobiernos tienen la clave para
descifrar los mensajes en código, esto significa que personas no autorizadas -que no son del gobierno-- pueden obtenerlas y utilizarlas", dice el gerente general de una importante compañía norteamericana de ingeniería de seguridad. Impacto en la Identif Identificació icació n de Delitos Delitos a Nivel Mundial.
Las dificultades que enfrentan las autoridades en todo el mundo ponen de manifiesto la necesidad apremiante de una cooperación mundial para modernizar las leyes nacionales, las técnicas de investigación, la asesoría ju jurídi ídica y las ley leyes es de ex extradi adición ción para ara poder oder alca alcanz nzar ar a los los deli elincuen cuenttes. Ya se han iniciado algunos esfuerzos al respecto. En el Manual de las Naciones Unidas de 1977 se insta a los Estados a que coordinen sus leyes y cooperen en la solución de ese problema. El Grupo de Trab Trabaj ajo o Europ Europeo eo sob sobre del delitos en la la tec tecn nolog ología ía de la la inf inform ormáti ática ha ha pub publicad cado un Manual sobre el delito por computadora, en el que se enumeran las leyes pertinentes en los diversos países y se exponen técnicas de investigación, al igual que las formas de buscar y guardar el material electrónico en condiciones de seguridad. El Instituto Europeo de Investigación Antivirus colabora con las universidades, la industria y los medios de comunicación y con expertos técnicos en seguridad y asesores jurídicos de los gobiernos, agentes del orden y organizaciones encargadas de proteger la intimidad a fin de combatir los virus de las computadoras o "caballos de Troya". También se ocupa de luchar contra el fraude electrónico y la explotación de datos personales. En 1997, los países del Grupo de los Ocho aprobaron una estrategia innovadora en la guerra contra el delito de "tecnología de punta". El Grupo acordó que establecería modos de determinar rápidamente la proveniencia de los ataques por computadora e identificar a los piratas, usar enlaces por vídeo para entrevistar a los testigos a través de las fronteras y ayudarse mutuamente con capacitación y equipo. También decidió que se uniría a las fuerzas de la
industria con miras a crear instituciones para resguardar las tecnologías de computadoras, desarrollar sistemas de información para identificar casos de uso indebido de las redes, perseguir a los infractores y recabar pruebas. El Grupo de los Ocho ha dispuesto ahora centros de coordinación abiertos 24 horas al día, siete días a la semana para los encargados de hacer cumplir la ley. Estos centros apoyan las investigaciones de otros Estados mediante el suministro de información vital o ayuda en asuntos jurídicos, tales como entrevistas a testigos o recolección de pruebas consistentes en datos electrónicos. Un obstáculo mayor opuesto a la adopción de una estrategia del tipo Grupo de los Ocho a nivel internacional es que algunos países no tienen la experiencia técnica ni las leyes que permitirían a los agentes actuar con rapidez en la búsqueda de pruebas en sitios electrónicos --antes de que se pierdan-- o transferirlas al lugar donde se esté enjuiciando a los infractores.
L ec c i ó n 5. Au d i t o r v er s u s d el i t o s i n f o r m át i c o s Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los casos de delitos informáticos. Rol del Auditor Informático
El rol del auditor informático solamente está basado en la verificación de controles, evaluación del riesgo de fraudes y el diseño y desarrollo de
exámenes que sean apropiados a la naturaleza de la auditoria asignada, y que deben razonablemente detectar: Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización. Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades. Detección Detección de delitos
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar los siguiente: Determinar si se considera la situación un delito realmente; Establecer pruebas claras y precisas; Determinar los vacíos de la seguridad existentes y que permitieron el delito; Informar a la autoridad correspondiente dentro de la organización; Informar a autoridades regulatorias cuando es un requerimiento legal. Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible; evitando su divulgación al público o a empleados empleados que no tienen nada que ver. P uesto que de no manejarse adecuadamente el delito, podría tener efectos negativos en la organizac organización, ión, como los siguientes: siguientes: Se puede generar una desconfianza de los empleados hacia el sistema; Se pueden generar más delitos al mostrar las debilidades encontradas; Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empres empresa; a; Se pueden perder empleados clave de la administración, aún cuando no estén involucrados en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo.
Resultados Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar. Dichas acciones, expresadas expresadas en forma forma de recomendación recomendación pueden ser como las siguientes: Recomendaciones referentes a la revisión total del proceso involucrado; Inclusión de controles adicionales; Establecimiento de planes de contingencia efectivos; Adquisición de herramientas de control, etc. Además de brindar recomendaciones, el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos, entre las que pueden destacarse: Adquisición de herramientas computacionales de alto desempeño; Controles sofisticados; P rocedimient rocedimientos os estándares estándares bien establecidos y probados. Revisiones continuas; cuya frecuencia dependerá del grado de importancia para la empresa de las TI35; así como de las herramientas y controles existentes. Si bien bien es cierto cierto las recomendaciones dadas por el auditor, auditor, las estrat estrategias egias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos, es importante tomar en cuenta que aún cuando todos los procesos de auditoría estén debidamente diseñados y se cuente con las herramientas adecuadas, no se puede garantizar que las irregularid irregularidades ades puedan puedan ser ser detectad detectadas. as. P or lo que la verificaciones la información y de la TI juegan un papel importante en la detección de los delitos informáticos.
35
Tecnologías de Información
Aud A ud it or Exter Ex ter no Vers u s Aud A udititor or Inter Int erno no
La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes, la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude. Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance. El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen. En la mayoría de ellas, se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos.
TERCERA UNIDAD RIESGO Y CONTROL
CONTROL RIESGO Y CONTROL El control interno surge por la necesidad de evaluar y satisfacer la eficiencia, eficacia, razonbilidad, oportunidad y confiabilidad en la protección, protección y seguridad en los bienes de una empresa, así como ayudar a controlar el desarrollo de sus operaciones, actividades y resultados financieros que se esperaban obtener en el desempeño de las funciones y operaciones de toda la empresa.
OBJ OBJ ETIV ETIVOS Identificar las características del control interno y su ciclo de aplicación. Estudiar los conceptos conceptos y caracterís características ticas fundamentales fundamentales del control interno en los sistemas computacionales, a fin de identificar sus diferentes aplicaciones en la auditoria de sistemas. Comprender la importancia del control interno informático en el área de sistemas de la empresa.
Cap i t u l o 1. Gen er al i d ad es d el c o n t r o l
L ec c i ó n 1. Co n c ep t o d e c o n t r o l , c l as i f i c ac i ó n , o b j et i v o s Generalidades del control: el
control control es una de las fases fases del proceso administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas; todo ello para incrementar la eficiencia y eficacia de una institución. Las siguientes son algunas de las definiciones de control: 36 "Inspección, vigilancia que se ejerce sobre personas o cosas [...] Conjunto de operaciones encaminadas a comprobar el funcionamiento, productividad, etc., de algún mecanismo [...]. " 37 "Control es verificar que todo ocurra de acuerdo a las reglas establecidas y las órdenes impartidas [...].” 38 "Dentro del concepto de sistemas, el control es definido como un medio de obtener mayor flexibilidad operativa y como un medio de evitar el planteamiento de operaciones cuando las variables sean desconocidas desconocidas [...]. "39 "El control es la fase del proceso administrativo que debe mantener la actividad organizacional dentro de los límites permisibles, de acuerdo con las expectativas. El control organizacional está irremediablemente relacionado con la planeación. Los planes son el marco de referencia dentro del cual funciona el proceso de control [...] La palabra control tiene varios significados: [...] verificar, regular, comparar con un estándar, ejercer autoridad sobre (dirigir u ordenar), limitar o restringir [...] Cuando menos tres líneas relativas quedan claras de su 40 definición: definición: 1) limitar o restringir, restringir, 2) dirigir u ordenar, y 3) regular[...]" regular[...]"
36
MUNOZ, Razo Carlos. Carlos. Auditoria en sistemas computacionales. México. México. Pearson Educación.2002. LAZCANO, LAZCANO, Juan Manuel, y RIVAS, Zwy Enrique. Auditoria e informática. Estructura en evolución. Editorial del I.M.C.P.A.C. I.M.C.P.A.C. México, 1988. p. 83 83 38 Gran Diccionario del Sab er Humano. Varios Autores. Director, Gonzalo Ang. Editorial Selecciones de Reader’s Digest. Mexico, 1992. Volumen 1. p. 471. 39 CHIAVENATO, CHIAVENATO, Adalberto. Introducción a la Teoría General de la Administración Administración . Mc Graw Hill. 1981. p.85 37
L ec c i ó n 2: Cl as i f i f i c ac i ó n g en er a r al d e l o s c o n t r o l es Controles Preventivos:
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso
Controles detectivos:
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditoria P rocedimientos rocedimientos de validación
Controles Correctivos Correctivos :
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.
L ec c i ó n 3. Ob j et i v o s d el c o n t r o l Para comprender la importancia del control en las empresas, lo primero es entender cuáles son los objetivos que se pretenden satisfacer con su adopción, aunque éstos sean muy variados y específicos de acuerdo con el tipo de institución donde se establezcan y a las características específicas de la misma. A continuación se proponen, de manera general, los siguientes objetivos del control: Se adopta para poder establecer estándares, medir su cumplimiento y evaluar el alcance real de los planes y programas, comparado con lo realmente alcanzado. Con su adopción se ayuda en la protección y salvaguarda de los bienes y activos de las empresas. 40
KAST, Fremont y ROSENZWEIG, James. Administración Administración en las organizaciones. Un enfoque de
Con su adopción se contribuye a la planeación y evaluación correctas del cumplimiento de las funciones, actividades y operaciones de las empresas. Ayuda permanentemente a la buena marcha de la empresa, pues retroalimenta la trayectoria de la misma. J unto unto a la planeación, el cont co ntrol rol es una parte indispensable indispensable en las actividades de dirección de cualquier empresa.
L ec c i ó n 4. El em en t o s y u t i l i d ad d el c o n t r o l Elementos Elementos d el control
Conocer los elementos fundamentales del control, permite identificar la forma de utilizar el control interno en las empresas y así poder aplicar ese conocimiento al control interno en sistemas, y más concretamente a las aplicaciones especificas de auditoria de sistemas computacionales. Para los autores Kast y Rosenzweig, en su tratado tratado Administración Administración en las organizaciones, los elementos básicos del control son más que una simple función que responde a los cambios del medio ambiente, debido a que también nos sirven para retroalimentar a lo que está cambiando; su aportación es la siguiente: "Los elementos básicos del control: 1. Una característica medible y controlable para la que se conocen estándares 2. Un medio (instrumento censor) para medir las características 3. Un medio para comparar los resultados reales con los estándares y evaluar evaluar las diferencias 4. Un medio para efectuar cambios en el sistema a fin de ajustarlos a las necesidades" 41
sistemas y de contingencias. contingencias. México: Mc Graw Hill. Cuarta Cuarta edición, 1985. p 536. 41 KAST, Fremont y ROSENZWEIG, ROSENZWEIG, James. Administración en las organizaciones. Un enfoque de sistemas y de contingencias. contingencias. México: Mc Graw Hill. Cuarta Cuarta edición, 1985. p 539.
Utilidad del del contro l
El control en las instituciones tiene una razón de ser, de acuerdo con los planes y programas de cada empresa, ya que inicialmente nos permite establecer los est estándares que ayudarán a obtener obtener la información información necesaria necesaria para evaluar el cumplimiento adecuado de los planes y programas previamente definidos; más tarde, con la la inform informació ación n recopilada, recopilada, ayudará a comparar lo que se alcanzó alcanzó realmente realmente contra lo esperado; esperado; por último, último, est esta evaluación sirve para para retroalimentar con mejoras y correcciones los planes y programas que servirán de base para el futuro. Con base en el análisis análisis anterior, anterior, se se puede concentrar concentrar la utili utilidad dad del control control en los siguientes conceptos: Permite diseñar y establecer las normas, estándares y criterios de medición para poder evaluar el cumplimiento de planes y programas. Ayuda a evaluar el cumplimiento y desempeño de las funciones, actividades y tareas de los integrantes de una empresa, comparando lo alcanzado contra lo esperado. Permite medir la eficiencia y eficacia en el cumplimiento de las operaciones de una empresa, al comparar lo realmente alcanzado contra lo esperado. Contribuye a la detección de fallas y desviaciones, así como a la corrección de errores en el desempeño de las actividades y operaciones de una empresa. Ayuda a modificar los planes y programas como consecuencia de la valoración valoración de los resultados. resultados. Retroalimenta la planeación y programación de las empresas. 42 Éstas son algunas de las muchas utilidades que puede tener el establecimiento del control en las empresas; dichas utilidades se pueden ampliar conforme a las caracterís característi ticas cas y necesidades de cada institución. institución.
42
MUNOZ, Razo Carlos. Carlos. Auditoria en sistemas computacionales. México. México. Pearson Educación.2002.p. 101.
L ec c i ó n 5. Car ac t er ís t i c as , c i c l o d e ap l i c ac i ó n d el c o n t r o l Característica Característicass del con trol
Para que el control en las empresas sea verdaderamente efectivo, es obligatorio considerar algunas de sus características fundamentales al momento de establecerlo. Entre algunas de esas características están: Oportuno
Ésta característica es la esencia del control, debido a que es la presentación a tiempo de los resultados obtenidos con su aplicación; es importante evaluar dichos resultados en el momento que se requieran, no antes porque so desconocerían sus verdaderos alcances, ni después puesto que ya no servirían para nada. Cuantificable
Para que verdaderamente se puedan comparar los resultados alcanzados contra los esperados, es necesario que sean medíbles en unidades representativas de algún valor numérico para así poder cuantificar, porcentual o numéricamente lo que se haya alcanzado. Calificable
Así como los valores de comparación deben ser numéricos para su cuantificación, en auditoria en sistemas computacionales, se dan casos de evaluaciones que no necesariamente deben ser de tipo numérico, ya que, en algunos casos específicos, en su lugar se pueden sustituir estas unidades de valor por conceptos de calidad o por medidas de cualidad; mismas que son de carácter subjetivo, pero pueden ser aplicados para evaluar el cumplimiento, pero relativos a la calidad; siempre y cuando en la evaluación sean utilizados de manera uniforme tanto para planear como para medir los resultados. Confiable
Para que el control sea útil, debe señalar resultados correctos sin desviaciones ni alteraciones y sin errores de ningún tipo, a fin de que se pueda confiar en que dichos resultados siempre son valorados con los mismos parámetros. parámetros. Estándares y normas de evaluación
Al medir los resultados alcanzados, éstos deberán compararse de acuerdo con los estándares y normas previamente establecidos, a fin de contemplar
las mismas unidades para planear y controlar; con esto se logra una estandarización que permite valorar adecuadamente los alcances obtenidos. Ciclo de aplicación aplicación del contro l
P ara que que el control control sea sea aplicado aplicado correctam correctament ente, e, las organizac organizaciones iones deben deben establecer un ciclo adecuado que va desde el establecimiento en planes y programas iniciales hasta su culminación en la retroalimentación. En la siguiente gráfica se present presenta a est este ciclo: ciclo:
1. 2. 3.
Determina Determina objetivos y estrategias P lanea program programas as Determina Determina cargas de trabajo
4. 5. 6. 7. 8. 9.
Asigna Asigna los recurs recursos requeridos requeridos a las cargas de trabajo rabajo Adquiere/delega Adquiere/delega autoridad autoridad para utiliza utilizarr recursos recursos Desempeña Desempeña el trabajo Compara ompara el desempeño desempeño con el plan Compara ompara los objetivos objetivos alcanzados con los objetivos objetivos deseados Compara ompara el programa programa alcanzado alcanz ado con el programa programa planeado
Cap i t u l o 2.
Co n t r o l i n t er n o
L ec c i ó n 1. Def i n i c i ó n y o b je j et i v o s d el c o n t r o l i n t er n o Definición 43
El control control int interno es la adopción de una una serie de medidas medidas que se establecen en las empresas, con el propósito de contar con instrumentos tendientes a proteger la integrid integridad ad de los bienes institucionales institucionales y así ayudar ayudar a la admini adminisstración y cumplimiento correctos de las actividades y operaciones de las empresas. Con la implantación de tales medidas se pueden conseguir los siguientes beneficios: Proteger y salvaguardar los bienes de la empresa y a su personal. Prevenir y, en su caso, descubrir la presencia de fraudes, robos y acciones dolosas. Obtener la información contable, financiera y administrativa de manera confiable y oportuna. Promover el desarrollo correcto de las funciones, operaciones y actividades de la empresa. Definic Definic iones de control interno
Para entender cómo funciona el control interno en las empresas es conveniente conocer los marcos conceptuales de este término. A continuación se presentan las aportaciones de algunos autores al respecto: J OSÉ ANTONIO ANTONIO ECHENIQU ECHE NIQUE E "El control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus actividades, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provocar la adherencia a las políticas prescritas por la administración."
HOLMES R- ARTHUR "El control interno es una función de la gerencia que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos, y ofrecer la seguridad de que no se contraen obligaciones sin autorización."
L. HALL "El control interno comprende la organización sistemática del trabajo administrativo y de los procedimientos de rutina, con el objeto de provenir el
fraude, los errores y los trábalos inútiles mediante el efecto disuasivo de los controles ejercidos."
El control interno es especialmente importante en las empresas, debido a que proporciona el grado de confiabilidad que se requiere para:
Proteger los activos. Asegurar la validez de la información. Promover la eficiencia en las operaciones. Estimular y asegurar el cumplimiento de las políticas y directrices emanadas de la dirección.
Para el diseño e implantación del sistema de control interno, se cuenta con el apoyo de las siguientes técnicas:
Ejecución del cuest cues tionario ionario do control. control. Análisis del flujo de transacciones. Realización de pruebas de cumplimiento. Resultados. Medidas de corrección."
Una vez hecho el análisis de las anteriores contribuciones, se puede deducir su concepto: "El control interno es el establecimiento de los mecanismos y estándares de control que se adoptan en las empresas, a fin de ayudarse en la administración correcta de sus recursos, en la satisfacción de sus necesidades de seguridad, en la salvaguarda y protección de los activos institucionales, en la ejecución adecuada de sus funciones, actividades y operaciones, y en el registro correcto de sus operaciones contables y reportes de resultados financieros; todo ello para el mejor cumplimiento del objetivo institucional."
43
44
MUNOZ, Razo Carlos. Carlos. Auditoria en sistemas computacionales. Mexico. Mexico. Pearson Educación.2002 MUNOZ, Razo Carlos. Carlos. Auditoria en sistemas computacionales. México. México. Pearson Educación.2002.p. 106. 44
control interno es un instrumento de eficiencia y no un plan que proporciona un reglamento tipo policiaco o de carácter tiránico, el mejor sistema de control interno, es aquel que no daña las relaciones de empresa a clientes y mantiene en un nivel de alta dignidad humana las relaciones de patrón a empleado. Objetivos del control interno Establecer la seguridad y protección de los activos de la empresa. Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y actividades de la empresa. Establecer y hacer cumplir las normas, políticas y procedimientos que regulan las actividades de la empresa. Implantar los métodos, técnicas y procedimientos que permitan desarrollar adecuadamente las actividades, tareas y funciones de la empresa. Evitar vitar o reducir fraudes. Salvaguarda contra el desperdicio y contra la insuficiencia. Comprobar omprobar la corrección corrección y veracidad de los los informes contables. Salvaguardar los activos de la empresa. Promover la eficiencia en operación y fortalecer la adherencia a las normas fijadas por la administración.
L ec c i ó n 2. Im p o r t an c i a y m ét o d o s d el c o n t r o l i n t er n o p ar a r a l a au d i t o r i a Toda Todas las emp empresas, esas, sean sean pub publlicas, cas, pri privada adas, debe deben con contar con con in instr strument entos adecuados de control que les permitan llevar su administración con eficiencia y eficacia. Por esta razón es tan importante contar con un control interno en la empresa, para satisfacer sus expectativas en cuanto a la salvaguarda y custodia de sus bienes, a la promoción de la confiabilidad, oportunidad y veracidad de sus registros contables y la emisión de su información financiera, a la implantación correcta de los métodos, técnicas y procedimientos que le permitan desarrollar adecuadamente sus actividades, tareas y funciones, así como al establecimiento y cumplimiento de las normas, políticas y procedimientos que regulan sus actividades.
El establecimiento de un sistema de control interno facilita a las autoridades de la empresa la evaluación y supervisión y, en su caso, la corrección de los planes, presupuestos y programas que determinarán el rumbo a seguir en la institución, de acuerdo con la misión, visión y objetivos de ésta. Con sólo cumplir lo anterior se justificaría la importancia del control interno. Sin embargo, se puede agregar que la utilidad del control interno se distingue por el establecimiento y vigilancia del cumplimiento de reglas, métodos y procedimientos que se determinan para mantener la integridad y seguridad de los bienes de la empresa, así como para el manejo adecuado de los datos, para la confiabilidad en los registros y archivos contables, para la emisión de resultados financieros y para la definición de normas, lineamientos, procedimientos y reglas de actuación para el desarrollo de las actividades de la empresa. Además, con el control interno se establecen un conjunto de medidas y reglas concretas, que definen concretamente los alcances y limitaciones de actuación de los funcionarios y empleados de la institución. Es precisamente en esas consideraciones donde se fundamenta la importancia de la auditoria, debido a que por medio del control interno se determinan las actividades, acciones y demás elementos que permiten satisfacer las necesidades de las instituciones. Además, recordemos que de la definición de la auditoria se desprende lo siguiente: es la revisión de las funciones, acciones, operaciones o de cualquier actividad de una entidad administrativa. Por esta razón, se evalúan la existencia y el cumplimiento del control interno en la empresa, así como la forma en que se aplica; también se evalúa su utilidad en la salvaguarda y protección de archivos y en el desarrollo de las actividades de la empresa, además de la existencia de los elementos que integran el señalado control interno. Es evidente que la importancia del control interno se funda-
menta en la evaluación de lo que se determina por medio de él. Entre los métodos para evaluar el control interno están: s e evalúan, evalúan, por medio de cuestionarios, cuestionarios, los Método Método de cuestionario: en el cual se procesos, rutinas y medidas básicas de la empresa, tanto las fundamentales y las principales como las secundarias con las que se llevan a cabo las acti actividades vidades de la empres empresa. a. Estos tos tiene tiene cuestionarios previamente previamente elaborados por el auditor contiene preguntas que incluyen como se afecta el manejo de las operaciones el manejo de las operaciones y quien tiene a su cargo las funciones. Los cuestionarios son formulados de tal manera que las respuestas afirmativas indican la existencia de una adecuada medida de control, mientras que las respuestas negativas señalan una falla o debilidad en el sistema establecido. Ventajas:
Representa un ahorro de tiempo. Por su amplitud cubre con diferentes aspectos, lo que contribuye a descubrir si algún procedimiento se alteró o descontinuó. Es flexible para conocer la mayor parte de las características del control interno.
Desventajas:
El estudio de dicho cuestionario puede ser laborioso por su extensión. Muchas de las respuestas si son positivas o negativas resultan intrascendentes si
no
existe
una
idea
completa
del
porque
de
estas
respuestas.
Su empleo es el más generalizado, debido a la rapidez de la aplicación.
Método Método gr afico: en el cual se hace la evaluación de los mismos aspectos, pero
mediante esquemas, gráficos, cuadros, flujos de operación y demás aspectos esquemáticos que ayudan a entender visualmente este control interno. Este método permite detectar con mayor facilidad los puntos o aspectos donde se encuentran debilidades de control, aún cuando hay que reconocer que se requiere de mayor inversión de tiempo por parte del auditor en la elaboración de los flujogramas y habilidad para hacerlos. Se recomienda el uso de la carta o gráfica de organización que según el autor George R. Terry, dichas cartas son cuadros sintéticos que indican los aspectos más importantes de una estructura de organización, incluyendo las principales funciones y sus relaciones, los canales de supervisión y la autoridad relativa de cada empleado encargado de su función respectiva. Existen dos tipos de gráficas de organización: Cartas artas Maestras. Maestras. Cartas artas suplement suplementarias. arias. Las carta cartass maest maestras ras present presentan an las relaci relacione oness existe existente ntess entre entre los princip principale aless departamentos. Las cartas suplementarias muestran cada una, la estructura de departamento en forma más detallada. Ventajas:
Proporciona
una
rápida
visualización
de
la
estructura
del
negocio.
Desventajas:
Pérdida de tiempo cuando no se s e está familiarizado a este sistema. Dificultad para realizar pequeños cambios o modificaciones ya que se debe elaborar de nuevo.
Se recomienda como auxiliar a los otros métodos.
Método mixto: que es la combinación de los dos anteriores, ya que interroga
por medio de cuestionarios y complementa los procesos, rutinas, y procedimientos de la empresa por medio de graficas, cuadros y diagramas.
L ec c i ó n 3 El em en t o s d el c o n t r o l i n t er n o Se identifican 5 elementos generales del control: 45 · · · · ·
Ambiente biente de control Evaluación de riesgos Acti Actividades vidades de control Información y comunicació comunicación n Supervisión o monitoreo
Tomad Tomado o de. de. http://www.ele-ve.com.ar/local/cache-vignettes/L350xH260/grafico-piramide-828d4.jpg
Amb A mbie ien n te d e cont co nt rol ro l
El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por 45
http://www.monografias.com/t http://www.monografias.com/trabajos12/coso/coso.sht rabajos12/coso/coso.shtml ml
lo tanto determinantes del grado en que los principios de este último imperan sobr sobre e las conductas conductas y los procedim procedimientos ientos organizacionales. organizacionales. Es, fundamentalmente, consecuencia de la actitud asumida por la alta dirección, la gerencia, y por carácter reflejo, los demás agentes con relación a la importancia del control interno y su incidencia sobre las actividades y resultados. Fija el tono de la organización y, sobre todo, provee disciplina a través de la influencia que ejerce sobre el comportamiento del personal en su conjunto. Constituye el andamiaje para el desarrollo de las acciones y de allí deviene su trascendencia, pues como conjunción de medios, operadores y reglas previamente definidas, traduce la influencia colectiva de varios factores en el establecimiento, fortalecimiento o debilitamiento de políticas y procedimientos efectivos efectivos en una organización. Los Los principales principales factores factores del ambien ambiente te de control son:
La filosofía y estilo de la dirección y la gerencia. La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento. La integridad, los valores éticos, la competencia profesional y el compromiso de todos los componentes de la organización, así como su adhesión a las políticas y objetivos establecidos. Las formas de asignación de responsabilidades y de administración y desarrollo del personal. El grado de documentación de políticas y decisiones, y de formulación de programas que contengan metas, objetivos e indicadores de rendimiento.
En las organizaciones que lo justifiquen, la existencia de consejos de administración y comités de auditorías con suficiente grado de independencia y calificación profesional.
El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores que lo determinan. El mayor o menor grado de desarrollo y excelencia de éstos hará, en ese mismo orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organización. Evaluación Evaluación de riesgos
El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza neutraliza se se evalúa la vulnerabilidad vulnerabilidad del sistem sis tema. a. P ara ello debe adquirirse adquirirse un conocimiento práctico de la entidad y sus componentes de manera de identificar los puntos débiles, enfocando los riesgos tanto al nivel de la organización (internos y externos) como de la actividad. El establecimiento de objetivos es anterior a la evaluación de riesgos. Si bien aquéllos no son un componente del control interno, constituyen un requisito previo para el funcionamiento del mismo. Los objetivos (relacionados con las operaciones, con la información financiera y con el cumplimiento), pueden ser explícitos o implícitos, generales o particulares. Estableciendo objetivos globales y por actividad, una entidad puede identificar los factores críticos del éxito y determinar los criterios para medir el rendimiento. A este respecto cabe recordar que los objetivos de control deben ser específicos, así como adecuados, completos, razonables e integrados a los globales de la institución. Una vez identificados, el análisis de los riesgos incluirá: · Una estimación estimación de su importancia importancia / trascendencia. trascendencia. · Una evaluación de la probabilidad / frecuencia. frecuencia. · Una definición del modo en que habrán de manejarse. anejarse. Dado que las condiciones en que las entidades se desenvuelven suelen sufrir variaciones, se necesitan mecanismos para detectar y encarar el tratamiento de
los riesgos asociados con el cambio. Aunque el proceso de evaluación es similar al de los otros riesgos, la gestión de los cambios merece efectuarse independientemente, dada su gran importancia y las posibilidades de que los mismos pasen inadvertidos para quienes están inmersos en las rutinas de los procesos. Existen circunstancias que pueden merecer una atención especial en función del impacto potencial que plantean: · Cambios ambios en el entorno. entorno. · Redefinición edefinición de la política institu institucional. cional. · Reorganizaciones o reestructu reestructuraciones raciones internas. internas. · Ingreso Ingreso de empleados empleados nuevos, o rotación de los existentes. · Nuevos sist sistemas, emas, procedim procedimientos ientos y tecnologías. ecnologías. · Aceleración Aceleración del crecimiento. crecimiento. · Nuevos productos, productos, actividades actividades o funciones funciones.. Los mecanismos para prever, identificar y administrar los cambios deben estar orientados hacia el futuro, de manera de anticipar los más significativos a través de sistemas de alarma complementados con planes para un abordaje adecuado de las variaciones. Act A ctiv iv id ades ad es de d e co ntr nt r ol
Están constituidas por los procedimientos específicos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y neutralización de los riesgos. Las actividades de control se ejecutan en todos los niveles de la organización y en cada una de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos según lo expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden agruparse en tres categorías, según el objetivo de la entidad con el que estén relacionados: ·
Las operaciones
·
La confiabilidad de la informació información n financiera
· El cumplim cumplimiento iento de leyes y reglamentos reglamentos En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar también a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la información financiera, éstas al cumplimiento normativo, y así sucesivamente. A su vez en cada categoría existen diversos tipos de control: P revent reventivo / Correctivo orrectivoss Manuales / Automatizados o informáticos Gerenciales erenciales o directivos directivos En todos los niveles de la organización existen responsabilidades de control, y es preciso que los agentes conozcan individualmente cuales son las que les competen, debiéndose para ello explicitar claramente tales funciones. La gama que se expone a continuación muestra la amplitud abarcativa de las actividades de control, pero no constituye la totalidad de las mismas: Análisis efectuados por la dirección. Seguimiento y revisión por parte de los responsables de las diversas funciones o actividades. Comprobación de las transacciones en cuanto a su exactitud, totalidad, y autorización pertinente: aprobaciones, revisiones, cotejos, recálculos, análisis de consist consistencia, prenumeraciones. prenumeraciones.
Controles físicos patrimoniales: arqueos, conciliaciones, recuentos. Dispositivos de seguridad para restringir el acceso a los activos y registros. Segregación de funciones.
Aplicación de indicadores de rendimiento. Es necesario remarcar la importancia de contar con buenos controles de las tecnologías de información, pues éstas desempeñan un papel fundamental en la gestión, destacándose al respecto el centro de procesamiento de datos, la
adquisición, implantación y mantenimiento del software, la seguridad en el
acceso a los sistemas, los proyectos de desarrollo y mantenimiento de las aplicaciones. A su vez los avances tecnológicos requieren una respuesta profesional calificada y anticipativa desde el control. Información y comunicación
Así como es necesario que todos los agentes conozcan el papel que les corresponde desempeñar en la organización (funciones, responsabilidades), es imprescindible que cuenten con la información periódica y oportuna que deben manejar para orientar sus acciones en consonancia con los demás, hacia el mejor logro de los objetivos. La información relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades individu individuales. ales. La información operacional, financiera y de cumplimiento conforma un sistema para posibi posibilit litar ar la dirección, ejecución y control control de las operaciones. operaciones. Está conformada no sólo por datos generados internamente sino por aquellos provenientes de actividades y condiciones externas, necesarios para la toma de decisiones. Los sistemas de información permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisión a través de rutinas previstas a tal efecto. No obstante resulta importante mantener un esquema de información acorde con las necesidades institucionales que, en un contexto de cambios constantes, evolucionan rápidamente. Por lo tanto deben adaptarse, distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y actividades estratégicas, a través de la evolución desde sistemas exclusivamente financieros a otros integrados con las operaciones para un mejor seguimiento y control de las mismas.
Ya qu que el sist sistem ema a de inform ormaci ación influye uye sob sobre la cap capaci acidad de la direc irecci ción ón para ara tomar decisiones de gestión y control, la calidad de aquél resulta de gran trascendencia y se refiere entre otros a los aspectos de contenido, oportunidad, actualidad, exactitud y accesibilidad. La comunicación es inherente a los sistemas de información. Las personas deben conocer a tiempo las cuestiones relativas a sus responsabilidades de gestión y control. Cada función ha de especificarse con claridad, entendiendo en ello los aspectos relativos a la responsabilidad de los individuos dentro del sistema de control interno. Asimismo el personal tiene que saber cómo están relacionadas sus actividades con el trabajo de los demás, cuáles son los comportamientos esperados, de que manera deben comunicar la información relevante que generen. Los informes deben transferirse adecuadamente a través de una comunicación eficaz. Esto es, en el más amplio sentido, incluyendo una circulación multidireccional de la información: ascendente, descendente y transversal. La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar por parte de los directivos resultan vitales. Además de una buena comunicación interna, es importante una eficaz comunicación externa que favorezca el flujo de toda la información necesaria, y en ambos casos importa contar con medios eficaces, dentro de los cuales tan importantes como los manuales de políticas, memorias, difusión institucional, canales formales e informales, resulta la actitud que asume la dirección en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una sólida cultura de control no tendrá dificultades de comunicación. Una acción vale más que mil palabras. Supervisión o monitoreo
Incumbe a la dirección la existencia de una estructura de control interno idónea y eficiente, así como su revisión y actualización periódica para mantenerla en un nivel adecuado. Procede la evaluación de las actividades de control de los
sistemas a través del tiempo, pues toda organización tiene áreas donde los mismos están en desarrollo, necesitan ser reforzados o se impone directamente su reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas pueden encontrarse en los cambios internos y externos a la gestión que, al variar las circunstancias, generan nuevos riesgos a afrontar. El objetivo es asegurar que el control interno funciona adecuadamente, a través de dos modalidades de supervisión: actividades continuas o evaluaciones puntuales. Las primeras son aquellas incorporadas a las actividades normales y recurrentes que, ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinám dinámicas icas a las circunstancias circunstancias sobrevi sobrevinient nientes. es. En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones: a) Su alcance y frecuencia están determinados por la naturaleza e importancia de los cambios y riesgos que éstos conllevan, la competencia y experiencia de quienes aplican los controles, y los resultados de la supervisión continuada. b) Son ejecutados por los propios responsables de las áreas de gestión (autoevaluación), la auditoria interna (incluidas en el planeamiento o solicitadas especialmente por la dirección), y los auditores externos. c) Constituyen en sí todo un proceso dentro del cual, aunque los enfoques y técnicas varíen, priman una disciplina apropiada y principios insoslayables. La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles existan y estén formalizados, que se apliquen cotidianamente como una rutina incorporada a los hábitos, y que resulten aptos para los fines perseguidos. d) Responden a una determinada metodología, con técnicas y herramientas para medir la eficacia directamente o a través de la comparación con otros sistemas de control probadamente buenos. e) El nivel de documentación de los controles varía según la dimensión y complejidad de la entidad.
Existen controles informales que, aunque no estén documentados, se aplican correctamente y son eficaces, si bien un nivel adecuado de documentación suele aumentar la eficiencia de la evaluación, y resulta más útil al favorecer la comprensión del sistema por parte de los empleados. La naturaleza y el nivel de la documentación requieren mayor rigor cuando se necesite demostrar la fortaleza del sistema ante terceros. f) Debe confeccionarse un plan de acción que contemple: · El alcance de la evaluación · Las actividades actividades de supervis supervisión continuadas continuadas existentes. existentes. · La tarea de los auditores auditores internos internos y externos externos.. · Areas o asuntos asuntos de mayor riesgo. · P rograma rograma de evaluaciones. evaluaciones. · Evaluadores, valuadores, metodología y herramientas herramientas de control. · P resentación de conclusiones conclusiones y documentación documentación de soporte soporte · Seguimiento eguimiento para que se adopten las correcciones correcciones pertinentes. pertinentes. Las deficiencias o debilidades del sistema de control interno detectadas a través de los diferentes procedimientos de supervisión deben ser comunicadas a efectos de que se adopten las medidas de ajuste correspondientes. Según el impacto de las deficiencias, los destinatarios de la información pueden ser tanto las personas responsables de la función o actividad implicada como las autoridad autoridades es superiores.
L ec c i ó n 3. Pr i n c i p i o s d e c o n t r o l i n t er n r n o 46 Al proyectarse los sistemas de control interno administrativo u operacio nal, contable y de verificación interna , según los requerimientos y posibilidades que existan, deben tenerse en cuenta los principios de control interno , que tradicionalmente se conocen como: División del trabajo. Fijación de responsabilidad.
El cargo y el descargo.
La división del trabajo trabajo :
Consiste en dividir entre varias personas o departamentos una operación
determinada de forma tal que esta no se inicie ni termine en la misma persona o departamento, lo que posibilita que los segundos verifiquen y conozcan el trabajo que realizaron los primeros. Un primer objetivo es lograr que el trabajo de la contabilidad y otras operaciones estén tan subdivididas que ninguna persona tenga el control completo de los cobros e ingresos, los pagos, las compras, los gastos, la confección de las nóminas y las ventas. Un segundo objetivo es el de descubrir errores y fraudes, para lograrlo es imprescindible la separación de la contabilidad y las operaciones; con esto se logra que la misma persona que realice una operación (venta, cobro, recepción, pago, depósito, compra, gasto, etc.) no sea la misma que la registre contablemente.
La fijación de respons abilidad consiste en que toda persona, departamen-
to, etc. tenga fijada documentalmente y conozca la responsabilidad, no solo de sus funciones si no de la relacionada con los medios y recursos que tienen a su cargo, sus atribuciones, facultades y responsabilidades en relación con estos.
El cargo y el descargo están directamente relacionados con ceder y acep-
tar la responsabilidad de un recurso en cada operación o transacción, debe quedar absolutamente claro, mediante la firma en los documentos correspondientes, quien recibe y quien entrega, en qué cantidad y qué tipo de recurso. Al asumirse la responsabilidad oficial por la custodia de algo, evidentemente se extreman las precauciones y el cuidado, lo que limita el mal 46
Capote Cordovés, Gabriel Capote. El control interno y el control. Economía y Desarrollo No. 2 / Vol. 129 / Jun.-Dic. / 2001
uso, las pérdidas y las sustracciones. También ello posibilita exigir responsabilidad incluso legal en casos de pérdidas, sustracciones y desvíos.
L ec c i ó n 5. El c o n t r o l i n t er n o y l a p r ác t i c a d e l a au d i t o r ía Como a los auditores les interesa, al practicar la auditoria, determinar la confiabilidad de las operaciones, a través de las evidencias primarias que deben corroborar en la práctica, definir si existen debilidades en el control interno les resulta fundamental. Para arribar a conclusiones fundamentadas en una seguridad razonable el auditor requiere de evidencias suficientes; estas se presentan como evidencias primarias y evidencias corroboradas. No se logra una confiabilidad razonable considerando solo uno de estos dos tipos de evidencias. No obstante, en los extremos de confiar en una o en otra, existe una variedad de posiciones: mientras más consistente sea la evidencia primaria, se requiere menos evidencia corroborativa o viceversa. Lógicamente, si las cuentas u operaciones están sustentadas en evidencias primarias muy confiables, el auditor necesitará menor cantidad de evidencias adicionales o complementarias para corroborar tal situación, por el contrario, mientras menos confiable sea la evidencia primaria se requerirá mayor evidencia corroboradora. Cuando el control interno es débil el auditor puede subsanar tal situación aumentando el volumen y la variedad de las pruebas corroboradoras para determinar la confiabilidad de las cuentas u operaciones sujetas a examen. Por lo expuesto, la determinación de las debilidades del Sistema de Control Interno —que existe en la entidad auditada— le es fundamental al auditor en la etapa de exploración, ya que de ello depende el volumen y variedad de las evidencias corroboradoras que debe obtener, y considerarlo en la planeación del trabajo para evitar excederse del presupuesto de la auditoría y del tiempo planificado, al verse envuelto en complicadas y necesarias comprobaciones que no fueron previstas.
Cap i t u l o 3. Co n t r o l i n t er n o i n f o r m át i c o
Control interno informático: informático: controla diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección de Informática, así como los requerimientos legales. 47 La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas correctas y válidas válidas..
L ec c i ó n 1. Ob j et i v o s d el c o n t r o l i n t er n o i n f o r m át i c o Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorias externas al Grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.
Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC's, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre: 47
PIATTINI, Mario. Mario. Auditoria Informática. Informática. Un enfoque practico. México: Alfaomega, 1998.p 27.
El cumplimiento de procedimiento, normas y controles dictados. Merece resaltarse la vigilancia sobre el control de cambios y versiones del software.
Controles sobre la producción diaria. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informática. Controles en las redes de comunicaciones. Controles sobre el software de base. Controles en los sistemas microinformáticos. La seguridad informática (su responsabilidad puede estar asignada a control interno o bien puede asignársele la responsabilidad de control dual de la misma cuando está encargada a otro órgano): - Usuarios, responsables y perfiles de uso de archivos y bases de datos. - Normas de seguridad. - Control de información clasificada. - Control dual de la seguridad informática. Asesorar y transmitir cultura sobre el riesgo informático.
L ec c i ó n 2. El em en t o s d el c o n t r o l i n t er n o i n f o r mát i c o En particular, se analizará los elementos que se pueden aplicar como control interno informático en el área de sistemas: Controles internos sobre la organización del área de informática. Controles internos sobre el análisis, desarrollo e implementación de sistemas Controles internos sobre la operación del sistema Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados Controles internos sobre la seguridad del área de sistemas
El siguiente cuadro resume los elementos del control interno aplicable a la informática:
48
CONTROL INTERNO EN EL AREA DE INFORMATICA Controles internos s obre la organización organización d el área de informática Dirección División del trabajo Asigna As ignación ción de responsabilidad y aut autoridad oridad Establecimiento de estándares y métodos P erfiles erfiles de cargos Controles internos sobre el análisis, análisis, desarrollo e implementación implementación de sistemas Estandarización tandarización de metodologías metodologías para el desarrollo de proyectos proyectos Asegurar que el beneficio de los sistemas sea el óptimo E laborar estudios de factibilidad factibilidad del sistem s istema a Garantizar la eficiencia y eficacia en el análisis y diseño de sistemas Vigilar la efectividad y eficiencia en la implementación y mantenimiento del sistema Optimizar el uso del sistema por medio de su documentación Controles internos so bre la operación operación del sistema Prevenir y corregir los errores de operación Prevenir y evitar la manipulación fraudulenta de la información Implementar Implementar y mantener la seguridad en la operación Mantener la oportunidad, confiabilidad, veracidad y suficiencia en el procesamiento de la información de la organización Controles internos sobre los proc edimientos edimientos d e entrada entrada de datos, el proc esamiento esamiento de información y la emisión d e resultados resultados Verificar la existencia y funcionamiento de los procedimientos de captura de datos Comprobar que todos los datos sean debidamente procesados Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos Comprobar la oportunidad, confiabilidad y veracidad en la emisión de os resultados del procesamiento de información Controles int ernos sob re la seguridad del área de sistemas Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las áreas de sistematización Controles sobre la seguridad física del área de sistemas Controles sobre la seguridad lógica de los sistemas Controles sobre la seguridad de las bases de datos Controles sobre la operación de los sistemas computacionales Controles ontroles sobre s obre la seguridad del personal de informát informática ica Controles ontroles sobre la seguri seguridad dad de la telecomu telecomunicación nicación de datos Controles sobre la seguridad de redes y sistemas multiusuarios 48
MUNOZ, Razo Carlos. Carlos. Auditoria en sistemas computacionales. México. México. Pearson Educación.2002.
Controles internos sobre la org anización anización del área de informática.
Al instalar este elemento de control interno informático, se busca determinar si la estructura estructura de organización organización del área de sistemas comput computacionales acionales es la más más apropiada para que estos funcionen funcionen con eficacia y eficiencia eficiencia en la empres empresa; a; esto se logra mediante el diseño adecuado de cargos, unidades de trabajo, líneas de autoridad y canales de comunicación, complementados con la definición correcta de funciones y actividades, la asignación de responsabilidad y la definición clara de los perfiles de cargos.
Controles internos sobre el análisis, desarrollo e implementación de sistemas
Para cumplir con este elemento de control interno informático, es necesario utilizar alguna de las metodologías para el análisis y diseño de sistemas. La metodología general para el desarrollo de sistemas (análisis, diseño, programación, pruebas y correcciones, documentación, capacitación, implementación y mantenimiento) garantiza el análisis, desarrollo e implementación correctos de cualquier sistema.
Controles internos so bre la operación operación del sistema
Este elemento se encarga de verificar y vigilar la eficiencia y eficacia en la operación de dichos sistemas. Su existencia ayuda a verificar el cumplimiento de los objetivos del control interno interno tales como: Establecer la seguridad y protección de la información, del sistema de cómputo y de los recursos informáticos de la empresa. Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su procesamiento en el sistema y la emisión de informes. Contando con este elemento básico, se puede prevenir y evitar posibles errores y deficiencias deficiencias de operación, así com como el uso fraudulento fraudulento de la información información que
se procesa en un centro de cómputo, además de posibles robos, piratería, alteración de la información y de los sistemas, lenguajes y programas.
Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información procesamiento de información y la emisión de resultados
La adopción de estos controles en el área de sistematización es de gran ayuda en el procesamiento de información. Para lograr la eficiencia y eficacia al establecer este elemento en la captura de datos, es necesario necesario tener bien establecidos establecidos aquellos métodos métodos,, procedimientos procedimientos y actividades que regularan la entrada de datos al sistema, verificar que los datos sen procesados de manera oportuna, evaluar la veracidad de los datos que se introducen al sistema y proporcionar la información que se requiere en las demás áreas de la empresa.
Controles internos sobre la seguridad d el área área de sistemas sistemas
Dentro de los aspectos fundamentales que se deben contemplar en el diseño de cualquier centro de informática, se encuentra la seguridad de sus recursos informáticos, del personal, de la información, de sus programas, etc., esto se puede lograra a través de medidas preventivas o correctivas, o mediante el diseño de programas de prevención de contingencias para la disminución de riesgos. Dentro de los principales aspectos de este elemento se encuentran:
Seguridad
Física Lógica De las bases de datos En la operación Del personal de informática De las telecom telecomunicaciones unicaciones En las redes
Tambi También én es import ortant ante det determ erminar todo odo lo relac elaciionad onado o con con los riesg esgos y amenazas que afectan a los sistemas de información, así como la prevención de contingencias contingencias y la recuperación recuperación de la información información de sistem sistemas as en caso de que ocurra alguna contingencia contingencia que afecte su funcionamiento. funcionamiento. Es Esto es muy importante para el establecimiento de este control interno informático , ya que la información del área de sistemas es el activo mas valioso de la empresa y todas las medidas que se adopten par ala prevención de contingencias será en beneficio de la protección de los activos de la institución. Con el establecimiento establecimiento de los los siguientes subelementos de control interno interno informático se busca determinar las bases fundamentales sobre las que se establecerán los requerimientos para manejar la seguridad de los sistemas de información, el siguiente cuadro los resume:
Controles para prevenir y evitar las amenazas, amenazas, riesgos y cont ingencias en las áreas de sistematización
Controles para la seguridad del área física de sistemas
Control e accesos físicos del personal al área de computo Control de accesos al sistema, a las bases de datos, a los programas y a la información Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios Monitoreo de acceso de usuarios, información y programas de uso Existencia de manuales e instructivos, así como difusión y vigilancia del cumplimiento de los reglamentos del sistema Identificación de los riesgos y amenazas para el sistema con el fin de adoptar las medidas preventivas necesarias Elaboración de planes de contingencia, simulacros y bitácoras de seguimiento Inventario del hardware, mobiliario y equipo Resguardo del equipo de cómputo Bitácoras de mantenimiento y correcciones Controles de acceso del personal al área de sistemas Control del mantenimiento a instalaciones y construcciones Seguros y fianzas para el personal, equipos y sistemas Contratos de actualización, asesoría y mantenimiento del hardware
Controles para la seguridad lógica de los sis temas temas
Controles para la seguridad de las bases de datos
Controles para la seguridad en la operación de los sistemas computacionales Controles para la seguridad del personal de informática Controles para la seguridad en sistemas sis temas de redes y multiusuarios Controles para seguridad en la telecomu telecomu nicación de datos
Control para el acceso al sistema, a los programas y a la información Establecimiento de niveles de acceso Dígitos verificadores y cifras de control P alabras alabras clave de de acceso Controles para el seguimiento de las secuencias y rutinas lógicas del sistema Programas de protección para impedir el uso inadecuado inadecuado y la alteración alteración de datos de uso exclusivo Respaldos periódicos de información Planes y programas para prevenir contingencias y recuperar información Control de acceso a las bases de datos Rutinas de monitoreo y evaluación de operaciones relacionadas con las bases de datos Controles ontroles para los procedimient procedimientos os de operación Controles para el procesamiento de información Controles ontroles para la emisión de resultados resultados Controles específicos para la operación del computador Controles para el almacenamiento de la información Controles para el mantenimiento del sistema Controles ontroles administr administrativ ativos os de personal Seguros y finanzas para el personad de sistemas Planes y programas de capacitación Controles para evitar modificar la configuración de una red Implementar herramientas de gestión de la red con el fin de valorar su rendimiento, planificación y control Control a las conexiones remotas remotas Existencia de un grupo grupo de cont control rol de red Controles para asegurar la compatibilidad de un conjunto de datos entre aplicaciones cuando la red es distribuida Verificación de protocolos de comunicación, contraseñas y medios controlados de transmisión, hasta la adopción de medidas de verificación de trasmisión de la información
L ec c i ó n 3. Co n t r o l i n t er n o y au d i t o r i a i n f o r mát i c o s : c am p o s an ál o g o s La evolución de ambas funciones ha sido espectacular durante la última década. Muchos controles internos fueron una vez auditores. De hecho,
muchos de los actuales responsables de Control Interno Informático recibieron formación en seguridad informática tras su paso por la formación en auditoria. Numerosos auditores se pasan al campo de Control Interno Informático debido a la similitud de los objetivos profesionales de control y auditoria, campos análogos que propician una transición natural. Aunque ambas figuras tienen objetivos comunes, existen diferencias que conviene mostrar: 49
SIMILITUDES
DIFERENCIAS
CONTROL INTERNO AUDITOR INFORMATICO INFORMATICO Personal interno Conocimientos especializados en tecnología de la información y verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la dirección de informática y la dirección general para los sistemas de información. Análisis de los controles Análisis de un momento en el día a día informático determinado Informa a la dirección del Informa Informa a la dirección departamento de general de la informática organización Solo personal interno Personal Interno y/o externo El alcance de sus funciones es sobre el Tiene cobertura sobre departamento de todos los componentes informática de los sistemas de información de la organización
L ec c i ó n 4. Nec es i d ad d e u n a A u d i t o r i a In f o r m át i c a Las empresas sienten la necesidad de realizar una auditoria cuando presentan indicios de: descoordinación y desorganización, mala imagen e insatisfacción de los usuarios, debilidades económico-financiero económico-financiero y de Inseguri Inseguridad. dad.50
49
50
PIATTINI, PIATTINI, Mario. Auditoria Informática: Un enfoque practico. México. Alfaomega. 2001. www.monografias.com, www.monografias.com, Auditoria Informática. [email protected]
Síntomas de descoordinación y desorganización: No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía. Los estándares de productividad se desvían sensiblemente de los promedios promedios conseguidos conseguidos habitualment habitualmente. e. (Puede (P uede ocurrir con algún cambio cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante). Síntomas de mala imagen e insatisfacción de los usuarios: No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse ponerse diariamen diariamentte a su dispos disposición, ición, etc.. etc.. No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentem permanentemente. ente. No se cumplen cumplen en todos todos los casos los plazos de entrega entrega de resultados resultados periódicos. P equeñas equeñas desviaciones pueden causar causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financieras: Incremento desmesurado de costos. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar contrastar opiniones). opiniones). Desviaciones Presupuest P resupuestarias arias significati significativas. vas. Costo Cos toss y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarroll Desarrollo o de P royectos royectos y al órgano órgano que realizó realizó la peti petición). ción). Síntomas de Inseguridad: Evaluación de nivel de riesgos (Seguridad Lógica, Seguridad Física, Confidencialidad). Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
L ec c i ó n 5. Im p l an t ac i ó n d e u n s i s t ema d e c o n t r o l es i n t er n o s i n f o r m át i c o s P ara llegar a conocer la configuración configuración del sistema sistema es necesario document documentar ar los detalles de la red, así como los distintos niveles de control y elementos relacionados: Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red. Configuración del ordenador base: base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos. Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.
Para la implantación de un sistema de controles internos informáticos habrá que definir: Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.
Admi Ad mi n is traci tr aci ón de si stemas st emas : Controles sobre la actividad de los
centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
Seguridad: incluye las tres clases de controles fundamentales
implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestión Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.
FUENTES DOCUMENTALES
CASTRO, Carlos. Auditoria y evaluación de sistemas guía de estudio. Bogota: UNAD. 1999 DAGOB DAGOBE ERTO, TO, J osé. Auditori Auditoria a Informát Informática ica Aplicaciones Aplicaciones en prod producci ucción ón .Ecoe .E coe Ediciones: Bogota. 1999 DAGOB DAGOBE ERTO, TO, J osé. Aud Audit itori oria a Informát Informática ica un enfo enfoqu que e operacional operacional .Ecoe Ediciones: Bogota. 1997 MUÑO MUÑOZ, Z, Carlos. Carlos. Auditoria Auditoria en sistemas istemas comput computacionales. acionales. Mexi Mexico: co: Pearson P earson Educación. 2002 PIATTINI, Emilio. Auditoria Informática un enfoque Practico. Mexico: Alfaomega:1998 S itio itioss WEB W EB http://www.monografias.com/trabajos11/siste/siste.shtml http://www.medal.org.ar/stadhelp/Std00007.htm http://www.isaca.cl/guias.html htt http://www.ati p://www.ati.es .es/gt /gt/segurid /seguridad/P ad/PttoEncuent oEncuentroAreas/M roAreas/MTT TTAudit Auditoria_ oria_200 2000-110-1107.pdf http://www.agapea.com/La-Auditoria-de-los-Sistemas-de-Gestion-de-la-Calidadn26754i.htm http://www.ilustrados.com/publicaciones/EpVAAyVZZyUDnCBaVI.php http://www.ua.es/es/novedades/comunicados/2005/cursoAuditoriaSi.html htt http://www.iai.es/upload/d p://www.iai.es/upload/doc/S oc/Sistem istemasI asInf nform ormaci%C aci%C3%B3n-12_ 3%B3n-12_05 05.pdf .pdf