SEMINARIO DE CASOS DE AUDITORIA

LIC. OSCAR OXOM

DCIMO SEMESTRE

TEMA:
AUDITORIA INFORMTICA
AUDITORA FORENSE

INTEGRANTES:
JAYRO NERY CALEL SIS

201143896

EDGAR HUMBERTO YOJ JOM

201143905

BAYRON ALEXANDER POP CUCUL

201143897

BYRON EMILIO COY MORAN

201143996

CESAR AUGUSTO CU CAAL

201040614

COBN ALTA VERAPAZ, 03 DE OCTUBRE DE 2015

NDICE
INTRODUCCIN ..................................................................................................................... I
OBJETIVOS ............................................................................................................................III
CAPITULO I ............................................................................................................................1
AUDITORIA INFORMATICA .....................................................................................................1
1.1.

CONCEPTO ........................................................................................................................................1

1.2.

CAMPOS DE ACCIN DE LA AUDITORA INFORMTICA .................................................................................3

1.3.

PERFIL DEL AUDITOR ............................................................................................................................4

1.4.

OBJETIVOS DE LA AUDITORA INFORMTICA ..............................................................................................4

1.5.

CONTROL INTERNO INFORMTICO ..........................................................................................................5

1.6.

ETAPAS DE UNA AUDITORIA INFORMTICA ...............................................................................................6

1.6.1.

Planeacin .............................................................................................................................6

1.6.2.

Ejecucin .............................................................................................................................13

1.6.3.

Finalizacin..........................................................................................................................18

1.7.

TIPOS DE AUDITORA INFORMTICA ......................................................................................................19

1.7.1.

Auditoria Fsica ....................................................................................................................19

1.7.2.

Auditoria Ofimtica .............................................................................................................21

1.7.3.

Auditoria de la direccin .....................................................................................................23

1.7.4.

Auditoria de la explotacin .................................................................................................23

1.7.5.

Auditoria del desarrollo .......................................................................................................24

1.7.6.

Auditoria del mantenimiento ..............................................................................................25

1.7.7.

Auditora de bases de datos ................................................................................................27

1.7.8.

Auditoria de tcnica de sistemas .........................................................................................28

1.7.9.

Auditoria de la calidad ........................................................................................................30

1.7.10.

Auditora de la seguridad ....................................................................................................33

1.7.11.

Auditora de los sistemas redes ...........................................................................................35

1.7.12.

Auditoria de aplicaciones ....................................................................................................38

1.7.13.

Auditoria Jurdica de entorno informticos .........................................................................39

CAPTULO II ......................................................................................................................... 41
AUDITORA FORENSE ........................................................................................................... 41
2.1.

DEFINICIN .....................................................................................................................................41

2.2.

OTRAS DEFINICIONES .........................................................................................................................44

2.3.

OBJETIVOS DE LA AUDITORA FORENSE ..................................................................................................45

2.4.

CONOCIMIENTOS Y HABILIDADES DEL AUDITOR FORENSE ...........................................................................46

2.5.

QUINES DEMANDAN EL SERVICIO DE AUDITORA FORENSE? ....................................................................47

2.6.

CAMPOS DE ACCIN DEL AUDITOR FORENSE ...........................................................................................49

2.7.

DIVERSOS TIPOS DE TAREAS QUE PUEDE DESARROLLAR UN AUDITOR FORENSE ...............................................49

2.7.1.

Auditora investigativa ........................................................................................................49

2.7.2.

Sumario administrativo .......................................................................................................50

2.7.3.

Investigacin pre judicial .....................................................................................................50

2.7.4.

Actuacin pericial y testimonio judicial ...............................................................................51

2.8.

MARCO DE ACTUACIN Y NORMATIVO ..................................................................................................52

2.9.

IMPORTANCIA ..................................................................................................................................53

2.10.

CLASIFICACIN DE ACTUACIN.............................................................................................................55

2.10.1.

Preventiva ...........................................................................................................................55

2.10.2.

Detectiva .............................................................................................................................55

2.11.

FASES DE LA AUDITORA FORENSE .........................................................................................................56

2.11.1.

Planificacin ........................................................................................................................56

2.11.2.

Trabajo de campo ...............................................................................................................57

2.11.3.

Comunicacin de resultados ...............................................................................................58

2.11.4.

Monitoreo del caso..............................................................................................................59

2.11.5.

Elaboracin del Informe Final..............................................................................................59

ANEXOS ............................................................................................................................... 60
CASO PRCTICO, AUDITORA INFORMTICA ......................................................................... 60
CASO PRCTICO, AUDITORA FORENSE ................................................................................. 73
CONCLUSIONES.................................................................................................................... 82
BIBLIOGRAFA ...................................................................................................................... 84

INTRODUCCIN
Los sistemas de informacin de las empresas cada vez son ms dependientes de la
informtica, sistemas de cmputo y tecnologas de informacin, lo que hace necesario
verificar su correcto funcionamiento y eficiencia, para evitar cualquier riesgo de fraude o
prdida de informacin con ayuda de los computadores. Es as como, la auditoria
informtica cobra una real importancia para las empresas, ms aun teniendo en cuenta
que la informacin se ha convertido en uno de los activos principales, y que las
inversiones en sistemas de informacin son cada vez ms grandes.
Sin embargo hoy en da todava existen empresas que no asimilan las nuevas
tecnologas, manejan aplicaciones obsoletas, no planifican los sistemas de informacin,
e incluso llevan a cabo procesos manuales difciles y costosos. Esto no solo causa
prdidas a las entidades sino que representa riesgos en el manejo de la informacin. La
auditora informtica aqu juega un papel primordial, porque aporta soluciones tanto en
el reconocimiento de fallas o indicios de un mal procedimiento, que pueda tener
consecuencias negativas para la empresa, como una forma de mejorar los procesos en
el mbito de la informtica aportando al funcionamiento general de la empresa y a la
reduccin de costos.
Toda empresa cuenta con un sistema de control interno, que protege los valores de la
misma, sin embargo es importante mencionar que el riesgo inherente a una actividad
ilcita (corrupcin, fraudes y sobornos en el desarrollo de funciones) no desaparece
debido a diferentes circunstancias. Es por ello que este tipo ilcitos se debe de tratar de
una manera diferente y especializada, esto a travs de una auditoria forense, la cual se
busca descubrir y divulgar estos delitos de una manera penal ante un juez competente.

II
El auditor que realice este tipo de auditoria, debe contar con una amplia experiencia
contable, habilidades de detective y conocimiento sobre leyes de carcter penal, ya que
la evidencia recaba servir como pruebas contundentes delante de un juez competente.
Dependiendo el enfoque que se le d a este tipo de auditoria esta puede clasificarse: en
preventiva, detectiva. Es importante mencionar que al momento de planificar este tipo
de auditoria debe tomarse el tiempo necesario, evitando de esta manera la exageracin
e improvisacin de la misma.

III

OBJETIVOS
Conocer la importancia de una auditoria en informtica y forense.
Identificar los principales objetivos de la auditoria informtica y forense.
Conocer las habilidades y conocimientos que se debe tener para realizar una
auditoria informtica y forense.
Conocer los diferentes tipos de auditoria en informtica y forense existentes.

CAPITULO I
AUDITORIA INFORMATICA
1.1. Concepto
La auditora informtica es un proceso llevado a cabo por profesionales
especialmente capacitados, que consiste en recoger, agrupar y evaluar evidencias
para determinar si un sistema de informacin salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organizacin, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. Adems, la auditoria permite detectar de forma
sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determinar qu informacin es crtica para el cumplimiento de su
misin y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de informacin eficientes.
El desarrollo de una auditoria informtica es importante debido a que permite
identificar fortalezas, debilidades y riesgos en la gestin de proyectos,
funcionalidad de los sistemas de informacin, configuracin de la plataforma
informtica, calidad en los servicios prestados, y dems aspectos incluidos en el
mbito del uso y aplicacin de las Tics en la entidad. A partir de esta informacin,
el auditor puede brindar recomendaciones y propuestas para el mejoramiento de
los procesos de la entidad, dando as soluciones integrales y un apoyo para el
logro de los objetivos establecidos en la entidad.

2
La auditora informtica se puede desarrollar de dos maneras, por medio de
una auditoria interna, aquella que se hace dentro de la empresa por un auditor
interno; y auditoria externa, como su nombre lo indica es aquella en la cual la
empresa contrata a personas de afuera para que haga la auditoria en su empresa.
Asimismo, la auditoria informtica se desarrolla en tres etapas, que aseguran su
eficacia y eficiencia, planeacin, ejecucin e informacin. Estas etapas se llevan a
cabo consecutivamente, y permiten una retroalimentacin constante durante el
desarrollo de la auditoria, garantizando as su calidad y pertinencia.
Ante estas situaciones, y los rpidos cambios en el mundo, los directivos
deben tomar decisiones para revaluar y restructurar sus sistemas de informacin y
controles internos, asegurando la integridad de la informacin.
El auditor durante el desarrollo de la auditoria adquiere responsabilidades,
tanto en el ejercicio de la auditoria como en la planeacin y ejecucin de la misma.
Estas responsabilidades estn contempladas en los diferentes aspectos de la
auditoria informtica, que permiten establecer el mbito de actuacin del auditor.
Los aspectos funcionales se enfocan a la adecuacin de los sistemas en funcin
de las necesidades reales y la evaluacin del rendimiento y fiabilidad de los
mismos. Los aspectos econmicos relacionados con la informtica le permitirn al
auditor conocer sobre los presupuestos del servicio informtico o los costos del
desarrollo de un plan de sistemas. Los aspectos tcnicos envuelven los equipos,
perifricos, procedimientos de captura de datos, redes, comunicaciones, entre
otros. Los aspectos de direccin, contemplan las indicaciones hacia los planes
informticos, en cuanto a su adecuacin y seguimiento. Finalmente, los aspectos
de seguridad se relacionan a la confidencialidad de los datos, seguridad de

3
acceso, proteccin de las instalaciones, y dems factores que garanticen la
seguridad de los sistemas informticos.

1.2. Campos de accin de la auditora informtica

CAMPO DE ACCION
DEL AUDITOR

Evaluacin administrativa
del rea informtica

Evaluacin de los
sistemas y
procedimientos, y de la
eficacia que se tiene en el
uso de la informacin.
Evaluacin de la
eficiencia y eficacia con la
que se trabaja.

ELEMENTOS
Objetivos del departamento, direccin o gerencia.
Metas, planes, polticas y procedimientos de procesos
electrnicos estndares.
Organizacin del rea y su estructura orgnica.
Funciones y niveles de autoridad y responsabilidad del rea
de procesos electrnicos.
Integracin de los recursos materiales y tcnicos.
Direccin y controles administrativos del rea de
procesos electrnicos.
Costos y controles presupuestales.
Evaluacin del anlisis de los sistemas y sus diferentes
etapas.
Evaluacin del diseo lgico del sistema.
Evaluacin del desarrollo fsico del sistema.
Facilidades para la elaboracin de los sistemas.
Control de proyectos.
Control de sistemas y programacin.
Instructivos y documentacin.
Formas de implantacin.

El departamento o rea de informtica en una empresa, debe llevar a cabo un

control interno informtico, que permita controlar las actividades diarias de los
sistemas de informacin y verificar si estas cumplen a cabalidad con los
procedimientos, estndares y normas pertinentes, tanto dentro de la empresa
como las establecidas nacional e internacionalmente. El trabajo realizado en
control interno informtico colabora y apoya el trabajo de la auditoria informtica.

1.3. Perfil del auditor

Para el desarrollo de una auditoria informtica exitosa, el auditor debe ser un
profesional con un alto grado de conocimiento en informtica y suficiente
experiencia en el rea, as como habilidad para comunicarse efectivamente y dar
un trato adecuado a las personas. El auditor, ya sea interno o externo, debe ser
independiente de las actividades que audita, asegurando un trabajo objetivo y
profesional.
Al momento que el auditor acepta el trabajo de auditoria, est aceptando la
responsabilidad de actuar a favor del inters pblico, cumpliendo no solo las
necesidades de su cliente, sino acogindose a los requisitos establecidos en el
Cdigo de tica para profesionales.

1.4. Objetivos de la auditora informtica

Verificar si los riesgos del negocio y de Tecnologa de informacin han sido
identificados y gestionados apropiadamente.
Salvaguardar los activos, en trminos de proteccin de hardware, software
y recursos humanos.
Verificar control interno.
Control de la funcin informtica:
Verificar que las aplicaciones proporcionen informacin oportuna,
exacta, necesaria y suficiente.
Revisar las medidas de seguridad, integridad de la informacin,
procedimientos

de

operacin,

infraestructura

procedimientos de mantenimiento,
sistemas, software y hardware.

de

sistemas,

proceso de desarrollo de

5
Revisar y evaluar el nivel de eficacia, utilidad, fiabilidad y seguridad de
los equipos e informacin.
Anlisis de la eficiencia de los sistemas informticos y el estado del arte
tecnolgico de las instalaciones.
Anlisis de la gestin de los riesgos de la informacin y de la seguridad
implcita.
Diagnosticar el grado de cobertura de las aplicaciones a las necesidades
estratgicas y operativas de la informacin de la organizacin.
Verificacin del cumplimiento de la normatividad de la empresa.
Verificar la proteccin de activos e integridad de los datos y nivel de
continuidad de las operaciones.
Revisin de la eficaz gestin de los recursos materiales y humanos
informticos

1.5. Control interno informtico

El control interno informtico controla diariamente todas las actividades de los
sistemas de informacin para asegurar que se estn cumpliendo los
procedimientos, estndares y normas pertinentes dentro de la entidad. Esta tarea
la lleva a cabo el personal asignado dentro del departamento de informtica en la
entidad, quienes tienen como objetivos:
Controlar que todas las actividades sean realizadas de acuerdo a los
procedimientos, estndares y normas establecidas y pertinentes.
Asesorar sobre las normas y regulaciones pertinentes.
Colaborar y apoyar el trabajo de la auditoria informtica.
Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro.

6
Asegurar que las modificaciones de los procedimientos, correspondientes
al mantenimiento, estn adecuadamente diseadas, probadas, aprobadas
e implementadas.
Garantizar la proteccin en los procedimientos programados, evitando as
cambios no autorizados.
Para determinar la implementacin de controles es importante conocer el
sistema, sus elementos, productos y herramientas; lo que permite identificar los
posibles riesgos. Este conocimiento envuelve el entorno de red, configuracin del
computador base, entorno de aplicaciones, productos y herramientas, y seguridad
del computador base. La responsabilidad de este sistema de control interno
informtico es de la gerencia o direccin de la empresa, quienes deben definir las
normas de funcionamiento del entorno informtico mediante el establecimiento de
procedimientos, estndares, metodologas y normas a seguir.

1.6. Etapas de una auditoria informtica

Para que la auditoria informtica se desarrolle apropiadamente, esta se debe
llevar a cabo en tres etapas bien definidas, planeacin, ejecucin, e informacin.

1.6.1. Planeacin
La planeacin de la auditoria debe hacerse cuidadosa y objetivamente.
Esta funcin de planear la auditoria se desarrolla en tres procesos:
conocimiento general de la entidad, definicin del mbito y alcance de la
auditoria, y definicin del programa de auditoria; procesos que permiten
llevar a cabo la auditoria de una manera eficaz y eficiente.
El proceso de planeacin comprende el establecer metas, programas
de trabajo de auditoria, planes de contratacin de personal, presupuesto

7
financiero, e informes de actividades. De esta manera, esta etapa inicia
con un diagnostico general de la organizacin o entidad, en torno a los
ambientes organizacional, informtico y de control interno; que permite
reconocer los sistemas y procesos dentro de la entidad, y a su vez
identificar cualquier falla o anomala que afecte los mismos.
Esta informacin permite que el auditor establezca el alcance y
planeacin de los procedimientos a seguir, as como:
Destinatario de las conclusiones, documentacin a entregar y fechas.
Informacin y documentacin previa a solicitar (informes previos de
auditora, organigrama funcional y departamental, esquema de
arquitecturas, procesos o interfaces).
Programas de trabajo detallados y estndares que se van a seguir
(COBIT, ISO).
Identificacin de interlocutores (administradores de bases de datos,
responsables de la seguridad) e identificacin de herramientas
tecnolgicas para la realizacin del trabajo.
a) rea informtica
En cuanto al rea informtica el diagnostico comprende la revisin y
evaluacin de la organizacin, administracin, operacin, seguridad,
infraestructura de computo, procesamientos electrnico de datos, y
herramientas de tecnologa de informacin. El auditor debe tener en
cuenta los siguientes aspectos:
Estructura de funciones del rea de sistemas.

8
Estudios de viabilidad: Anlisis de costos y beneficios sobre el uso
de los computadores a largo plazo, definiendo tipo de hardware,
software, perifricos, y equipo de comunicaciones, necesarios para
lograr los objetivos de la organizacin y el departamento de
informtica. De la misma manera, este estudio permite evaluar si un
procedimiento puede ser llevado a cabo por el computador, y cules
son las alternativas para un mejor resultado. Los resultados del
estudio de viabilidad deben ser distribuidos al personal de
informtica, como base y soporte para la compra, contratacin o
elaboracin de un proyecto.
Plan estratgico de sistemas e informtico: Definicin de objetivos a
largo plazo y las metas necesarias para lograrlos. Este plan envuelve
el plan estratgico de organizacin, plan estratgico de sistemas de
informacin, plan de requerimientos y plan de aplicaciones de
sistemas de informacin.
Plan de proyectos: Plan bsico para desarrollar un sistema y
asegurar que el proyecto es consistente con las metas y objetivos de
la organizacin.
Plan estratgico de instalaciones.
Plan de seguridad: Debido a que las instalaciones de informtica
estn expuestas a desastres por varias razones, huracanes,
inundaciones, fuego, terremotos, entre otros; debe existir un plan que
permita reducir los riesgos a un nivel aceptable, planeando los
seguros que se deban obtener, y el plan de recuperacin en caso de
un desastre, que permita garantizar el funcionamiento de las

9
operaciones en el menor tiempo posibles y con el menor impacto
para la organizacin.
Plan de contingencias: En la organizacin pueden ocurrir diferentes
accidentes debido a mal manejo de la administracin, negligencia,
ataques o desastres naturales. Es por esto que la organizacin debe
contar con un plan de contingencia que prevea cualquier riesgo que
afecta a la organizacin y determinar cules son las acciones a
seguir. El plan de contingencias es definido como la identificacin y
proteccin de los procesos crticos de la organizacin y los recursos
requeridos para mantener un aceptable nivel de transacciones y de
ejecucin, protegiendo estos recursos y preparando procedimientos
para asegurar la sobrevivencia de la organizacin en caso de
desastre. Este plan debe asegurar la continuidad de las operaciones
o la restauracin de los equipos en el menor tiempo posible, evitando
consecuencias negativas para la entidad. De la misma manera, el
plan de seguridad debe garantizar la integridad y exactitud de los
datos, permitir identificar la informacin confidencial, proteger los
activos de desastres naturales u ocasionados por el hombre,
asegurar la capacidad de la organizacin para sobrevivir a las
eventualidades. El plan de contingencia debe ser probado, sobre la
base de que puede ocurrir un desastre, para evaluar si responde
adecuadamente.

b) Anlisis y Evaluacin de Controles

Una vez terminado el diagnostico, el auditor debe iniciar el anlisis de
la informacin obtenida para determinar los controles a evaluar. Por un

10
lado se encuentra el ambiente de control especfico, que evala todas
aquellas normas, procedimientos, acciones y uso de recursos empleados
en el procesamiento electrnico de datos, entrada, procesamiento, salida,
bases de datos, aplicaciones y procesamiento distribuido, es decir todo lo
relacionado a lo que ocurre al interior de los equipos de cmputo.

Y en segundo lugar est el ambiente de control general que evala

todas aquellas normas, procedimientos, acciones y uso de recursos
empleados para soportar el desarrollo y produccin de los sistemas de
informacin, es entonces todo lo concerniente a lo que ocurre alrededor
de los equipos de cmputo. Esta informacin permite identificar los
sectores de riesgo o que necesitan ser mejorados, para direccionar el
desarrollo de la auditoria informtica y definir su alcance.
c) Evaluacin de controles generales de tecnologa de informacin,
ITGCs (Information Technology General Controls)

11
El auditor debe entender y evaluar el ambiente de control general de
tecnologa de informacin. Los controles generales son las polticas y
procedimientos que se aplican a los sistemas de informacin,
infraestructura y plataformas de TI en una organizacin, asegurando as
un correcto funcionamiento de todas las operaciones.
Dentro de este ambiente existen cuatro dominios:
Acceso a programas y datos: Verificar que solo el personal
autorizado accede a los programas e informacin bajo la
autentificacin de la identidad de los usuarios.
Cambios en los programas: Verificar que los cambios a los
programas y los componentes de infraestructura relacionados, son
solicitados, autorizados, desarrollados, evaluados e implementados
para alcanzar los objetivos de control de gestin de aplicaciones.
Operaciones informticas: Confirmar que los sistemas de produccin
, y los problemas de procesos son identificados y solucionados
adecuadamente para mantener la integridad de la informacin:
Desarrollo

de

programas:

Determinar

si

los

sistemas

son

desarrollados, configurados e implementados de acuerdo a los

objetivos de control de gestin de aplicaciones.

d) mbito, Alcance y Programa de auditoria

De esta manera el auditor puede proceder a elaborar por escrito el
programa de auditoria a seguir, teniendo en cuenta los siguientes puntos:
Introduccin

12
Antecedentes
Justificacin
Objetivos
Alcance

Evaluacin de la direccin informtica

Evaluacin de los sistemas

Evaluacin de los equipos

Evaluacin de procesos de datos

Evaluacin de la seguridad

Informacin de apoyo
Metodologa
Establecer comunicaciones necesarias con el personal involucrado
en la auditoria
Tiempo y costo
Recursos
Comunicacin de resultados
Aprobacin del plan de trabajo de la auditoria informtica
As mismo, el plan del auditor debe definir:
Funciones: Descripcin de forma precisa de las funciones y
organizacin del departamento de auditoria, con todos sus recursos.
Procedimientos: Actividades a realizar en la auditoria, definiendo
tipos de auditoria, sistema de evaluacin, nivel de exposicin, lista de
distribucin de informes, seguimiento de acciones correctivas, plan
de cinco aos y plan de trabajo anual.

13

Programa De Auditora Informtica

Hoja

Organismo:

#:
Fecha:

Fase

Descripcin Actividad

Periodo Estimado
Personal
Participante Inicio
Trmino

Das

Das

1.6.2. Ejecucin
Durante la ejecucin se disean y aplican los cuestionarios de control,
se evala el riesgo computacional, y se realizan todos los procedimientos
detallados en los programas para obtener evidencias del desarrollo del
trabajo.
a) CAAT (Computer Assisted Audit Techniques), Tcnicas de auditoria
asistidas por computador
Software de auditoria generalizado, software utilitario, datos de
prueba y sistemas expertos de auditoria. Estas tcnicas pueden ser
utilizadas para varios procedimientos como: prueba de los detalles de
operacin y saldos, procedimientos de revisin analticos, pruebas de
cumplimiento de los controles generales de SI, y pruebas de
cumplimiento de los controles de aplicacin. Cuando el auditor decide
utilizar herramientas CAAT, debe controlar el uso de las herramientas
para asegurar que se cumple con los objetivos de la auditoria, y
documentar el trabajo que se realice incluyendo: planificacin, objetivos
de los CAAT, CAATs a utilizar, controles a implementar, personal
involucrado, tiempo y costos, procedimientos de la preparacin y prueba
de los CAAT y controles relacionados, detalle de las pruebas, detalles de

14
los input, evidencia de auditoria output, resultado de auditoria,
conclusiones, y recomendaciones.
TIPOS DE HERRAMIENTAS CAAT
HERRAMIENTA

IDEA

FUNCIN
Esta herramienta permite leer, visualizar, analizar y manipular datos,
llevar a cabo muestreos y extraer archivos de datos. Adems, el uso de
esta herramienta disminuye costos de anlisis y realzar la calidad de
trabajo.
Funciones: importacin de datos, manejo de archivos y clientes,
estadsticas de campo, historial, extracciones, extraccin indexada,
extraccin por valor clave, funciones, conector visual, uniones, agregar,
comparar, duplicados, omisiones, grficos,
Ley de Benford, estratificacin, sumarizacin, antigedad, tabal pivot,
agrupador de procesos, muestreo, agregar campos e IDEASscript

ACL

Herramienta enfocada al acceso de datos, anlisis y reportes para

auditores y profesionales financieros. ACL lee y compara datos,
permitiendo que la fuente de datos permanezca intacta, para una
completa integridad y calidad de los datos. As mismo ACL permite
analizar datos para un completo aseguramiento, localizar errores y
fraudes potenciales, identificar errores y controlarlos, limpiar y
normalizar los datos para incrementar la consistencia de los
resultados, realizar un test analtico automtico y manda una
notificacin va e-mail con el resultado.

Auto Audit

Sistema completo para la automatizacin de la funcin de

auditoria, soportando todo el proceso del trabajo, desde la
planificacin, trabajo de campo, hasta la preparacin del informe final.
Auto Audit permite planificar la auditoria en funcin de evaluacin de
riesgos, asignacin de auditores para el trabajo de campo, flexibilidad,
mantenimiento de bibliotecas estndares, establecimiento de usuarios
con perfil definidos, creacin del informe final, monitoreo de
hallazgos, registro de tiempos y costos, elaboracin de encuestas y
evaluaciones a los auditores, registro histrico, adaptar cualquier
estructura de auditoria, y encriptamiento de datos asegurando la
confidencialidad de la informacin.

Metodologa y software que asiste a los diseadores de controles,

AUDICONTROL
analistas de seguridad y analistas de riesgos en el desarrollo de todas
APL
las etapas de proyectos de gestin de riesgos y diseo de controles

15
b) Evaluacin del sistema de control interno
En la evaluacin del sistema de control interno se aplican los
cuestionarios de control por cada actividad de riesgo definida en el
alcance de la auditoria, a partir de esta informacin se evala el riesgo
computacional. Este proceso permite medir la eficiencia y eficacia de los
diferentes mecanismos de control establecidos en la entidad, que deben
garantizar la confiabilidad, confidencialidad, oportunidad, integralidad y
seguridad en el manejo de la informacin como de los recursos
informticos.
Antes de evaluar el riesgo computacional, es importante determinar el
tipo de software con que cuenta la organizacin para cumplir con los
requerimientos. La seleccin de tipo de software a ser usado en la
empresa, debe estar definida en el plan estratgico, evaluando las
ventajas y desventajas de cada uno, y acorde a las necesidades y
requerimientos de la entidad.
Estas pueden ser:
Software elaborado por el usuario
Comercial
Software compartido o regalado
Software transportable
Un solo usuario o multiusuario
Categorizacin del software de aplicacin por usuario
Software a la medida de la oficina

16
Los sistemas deben ser evaluados de acuerdo con su ciclo de vida,
teniendo claridad del mismo.

c) Riesgo computacional
Al evaluar el riesgo computacional, el auditor debe conocer los
diferentes riesgos informticos que pueden presentarse en una entidad;
un riesgo es una contingencia o proximidad de un dao o amenaza
interna o externa que puede afectar la operacin del sistema de control.
Los riesgos pueden ser de perdida, estos exponen al sistema a
interrupciones, inaccesibilidad y demoras en el procesamiento de la
informacin, los cuales representan una perdida financiera para la
empresa; riesgos de revelacin de la informacin, estos vulneran el
sistema

debido al acceso sin autorizacin faltando as a los

requerimientos de confidencialidad y seguridad; y los riesgos de

modificacin que hacen referencia a los cambios no autorizados en la
informacin o componentes del sistema; algunos de estos riesgos son:

17

RIESGO COMPUTACIONAL
Incendio
Naturaleza

Inundacin
Terremoto

Riesgos
segn su
origen

Fallas de
hardware

Dao del computador o impresora

Dao del equipo de transcripcin
Dao en la transmission

Fallas humanas Error de reporte, transcripcin y transmisin

Saqueos
Fallas humanas Sabotajes
intencionales Violacin de la privacidad
Fraude
Alteracin de la informacin
Caballo Troya: Colocar instrucciones adicionales en
un programa, para que efecte una funcin
autorizada.

no

Tcnica del salami: Robo de informacin mediante el

fraude de un programa.
Bombas lgicas: Diseo de un programa que busca una
condicin o estado especifico.
Mtodos de
fraudes

Fraudes

El programa funciona correctamente hasta que esa

condicin se cumple y se realiza una accin no
autorizada.
Escobitas: Mtodo que consigue informacin dejada en el
computador despus de la ejecucin de un trabajo.
Accesos no autorizados a computadores o cualquier
recurso del sistema a travs del uso de passwords,
cdigos u otro mtodo que suplante personal
autorizado.
Intercepcin:
intervencin
comunicacin.

de

los

circuitos

Falsedad de la informacin en las nminas de pago.

Cuentas incobrables
Desfalcos

Desfalcos

No registro de ventas
Malversar pagos de clientes
Alteraciones en planillas
Falsificacin de inventarios

El auditor luego de analizar el riesgo computacional y aplicar las

pruebas y cuestionarios correspondientes, debe recolectar toda la
evidencia necesaria para soportar la opinin que el auditor va formando

de

18
durante el desarrollo de la auditoria. Esta evidencia debe ser relevante,
fiable, suficiente, y adecuada.

1.6.3. Finalizacin
El informe de auditora de informtica contiene el resumen de la
gestin y el informe detallado de la auditoria, y para su redaccin el
auditor debe tener en cuenta el destinatario y presentar un informe
coherente, pulcro, de calidad, confiable y veraz.
El informe detallado de auditoria informtica est preparado para los
directamente involucrados en la auditoria informtica y responsables de
las reas de informtica; este informe consta de los siguientes aspectos:
Introduccin
Antecedentes
Justificacin
Alcance
Objetivos
Metodologa
Hallazgos
Determinacin del riesgo computacional
Realizacin de pruebas de auditoria de cumplimiento y sustantivas
Evaluacin de los usuarios
Situaciones encontradas (correctas, para ser mejoradas, de riesgo)
Conclusiones
Recomendaciones e impacto
Anexos

19
Bibliografa
Estos informes estn soportados por los papeles de trabajo, los
cuales facilitan la planeacin de la auditoria, la recoleccin, anlisis,
sntesis de la informacin de control obtenida y representan las
evidencias suficientes de las actividades realizadas.

1.7. Tipos de Auditora informtica

Dentro de la auditora informtica encontramos los siguientes tipos de
auditoria:

1.7.1. Auditoria Fsica

La auditora fsica envuelve todo lo que rodea los equipos informticos
y Centro de Procesamiento de Datos, de tal manera que se asegure la
integridad de los activos humanos, lgicos y materiales. Por esta razn se
refiere a la ubicacin de la organizacin, evitando ubicaciones de riesgo,
las protecciones externas y protecciones del entorno.

20
Una seguridad fsica adecuada debe comprender:
Ubicacin del edificio.
Ubicacin del Centro de Procesamiento de Datos: Es importante
que el centro de cmputo este localizado en un lugar seguro, que
permita la realizacin eficaz del trabajo. As mismo se debe tener
en cuenta aspectos como los materiales de construccin,
espacios y ubicacin de ventanas, evitando ambientes calurosos o
manejo de elementos inflamables que puedan ocasionar un
desastre. Otro aspecto importante es la proteccin del cableado
del sistema, a travs del uso de pisos falso o canales y paneles
adecuados de resistencia al fuego, en lugares aislados y fuera de
los lugares de transito del personal.
Aire acondicionado: Instalacin de aire acondicionado, que
permita prevenir la entrada de polvo y suciedad, que puedan
afectar los equipos de cmputo; as como garantizar una
temperatura adecuada en el centro de cmputo.
Compartimentacin de reas.
Elementos de construccin.
Potencia elctrica e instalaciones: Es importante que el auditor se
asesore de un especialista en lo que concierne al adecuado
funcionamiento del sistema elctrico y el respectivo suministro de
energa, con el fin de evaluar y controlar con rigurosidad las
instalaciones elctricas, debido a que estas pueden ocasionar
fallas de energa que ponen en riesgo la informacin y trabajo, e
incluso provocar incendios en las instalaciones de la entidad. Por

21
lo tanto, es importante conocer los planos de las instalaciones
elctricas y el sistema de cableado elctrico, con el fin de
identificar tanto positivos y negativos como polo a tierra, que
proteger los equipos de cmputo contra un cortocircuito durante
una descarga elctrica.
Sistema contra incendios: Las instalacin de los detectores de
incendios debe hacerse en lugares no tan cercanos a los aparatos
de aire acondicionado, debido a que estos pueden difundir el calor
o el humo y dificultar as la activacin de los detectores. Es
recomendable que estos detectores se instalen cerca a los
centros de cmputo, en las reas de oficina y depsitos de la
papelera, entre otros. Las alarmas contra incendios deben estar
conectadas a la alarma central o si es posible, directamente al
departamento de bomberos.

1.7.2. Auditoria Ofimtica

La auditora ofimtica comprende el conjunto de herramientas de
tecnologa de informacin que permiten generar, procesar, almacenar,
recuperar, comunicar y presentar los datos relacionados con el
funcionamiento de las oficinas. El desarrollo de sistemas ofimticos
envuelve el escritorio virtual y el trabajo cooperativo; los cuales deben
posibilitar el trabajo personal de cada empleado, permitir distribuir las
aplicaciones por los diferentes departamentos de la organizacin y la
aplicacin de los controles necesarios de los sistemas de informacin.

22
Los controles ofimticos se establecen teniendo en cuenta la
economa, eficacia y eficiencia, seguridad y normatividad vigente en la
organizacin, de esta manera estos controles deben:
Determinar la exactitud del inventario ofimtico
Evaluar los procedimientos de adquisicin de los equipos y
aplicaciones.
Determinar y evaluar la poltica de mantenimiento de la
organizacin
Evaluar la calidad de las aplicaciones del entorno ofimtico
Evaluar

los procedimientos para cambio de versiones y

aplicaciones.
Determinar

si

los

usuarios

cuenta

con

la

formacin

documentacin suficiente y pertinente.

Determinar

si

los

sistemas

existentes

se ajustan

las

necesidades de la empresa.
Determinar si existen garantas suficientes para proteger los
accesos no autorizados a la informacin de la empresa y la
integridad de la misma.
Evaluar la fiabilidad y confiabilidad de los procesos de copia de
respaldo

back-up,

garantizando

la

recuperacin

de

la

informacin en caso de que sea necesario.

Determinar si se garantiza el funcionamiento continuo de las
aplicaciones sin interrupciones que puedan generar prdidas de la
integridad de la informacin y aplicaciones.

23
Determinar el grado de exposicin ante la posibilidad de intrusos y
virus en los sistemas informticos.
Determinar si el entorno ofimtico aplica y cumple con las normas
y regulaciones establecidas en la organizacin, as como evaluar
si existen situaciones que puedan generar infracciones segn los
dispuesto en la ley.

1.7.3. Auditoria de la direccin

Las organizaciones hoy en da trabajan con base a la informacin, por
lo que invierten grandes sumas de dinero en la implementacin de
herramientas tecnolgicas y nuevas prcticas de negocio. Estas
actualizaciones estn incorporadas en el Plan Estratgico Corporativo y
general cambio en los procesos y relaciones desarrollados en la empresa,
generando una estructura organizacional en la que las reas y procesos se
integran como un todo a partir de las soluciones de negocio. Debido a esto,
cada proceso y actividad en la empresa tendr repercusiones de orden
financiero y logstico, y estarn enfocadas a la eficiencia, costos,
satisfaccin del cliente, rentabilidad, competencia y cooperacin.
La direccin debe entonces, planificar, organizar, coordinar y controlar
todos los procesos y procedimientos llevados a cabo en la empresa,
soportados en la tecnologa de informacin.

1.7.4. Auditoria de la explotacin

La auditora informtica peridica permite detectar las debilidades del
sistema para mejorarlas a tiempo, racionalizando los recursos informticos.

24
La auditora de explotacin sigue los controles establecidos en el modelo
COBIT.

1.7.5. Auditoria del desarrollo

El rea de desarrollo abarca todas las fases, desde que surge la
necesidad de los sistemas de informacin hasta su creacin e
implementacin. La auditora del desarrollo envuelve todo el ciclo de vida
del software, exceptuando su explotacin y mantenimiento; y verifica la
existencia y aplicacin de procedimientos de control adecuados, que
garanticen que los sistemas de informacin se han desarrollado de
acuerdo a los principios de ingeniera.
Para llevar a cabo la auditoria del desarrollo, el auditor, en primer lugar,
debe determinar las funciones del rea de desarrollo, para establecer su
plan a seguir. Algunas de las funciones del rea de desarrollo son:
Planificacin del rea y participacin en la elaboracin del plan
estratgico de informtica.
Desarrollo de sistemas de informacin, incluyendo anlisis, diseo,
construccin e implementacin.
Mantenerse actualizado en el campo de tecnologa e informtica,
para aplicar los lenguajes, tcnicas, metodologas, estndares,
herramientas y dems elementos relacionados.
Capacitacin continua para el personal del rea de desarrollo.
Establecer normas y controles para la realizacin de las actividades
del rea. El auditor, una vez conozca las funciones del rea de
desarrollo, llevara a cabo la auditoria por una parte de la

25
organizacin y gestin del rea, y por otra de los proyectos de
desarrollo de sistemas de informacin. El auditor basa su trabajo en
la evaluacin de riesgos, estableciendo controles que minimicen los
riesgos relacionados al desarrollo de un sistema de informacin. As
mismo se deben utilizar pruebas de cumplimiento, que permitan la
comprobacin de la existencia y correcta implementacin de los
controles, obteniendo as evidencia. El anlisis de esta informacin le
permitir al auditor conocer los puntos fuertes y dbiles de los
controles, para determinar cules riesgos son cubiertos y cules no,
y en qu medida lo son, y lo que puede representar para la
organizacin. Estas conclusiones son presentadas en el informe de
auditora.

1.7.6. Auditoria del mantenimiento

El mantenimiento es un factor de calidad que engloba todas las
caractersticas del software que hacen que un sistema sea ms fcilmente
mantenible. En esta auditora, entran en juego diferentes elementos, uno
de estos es la productividad, la cual est directamente relacionada con el
mantenimiento del sistema. Se pueden establecer tres tipos de contrato de
mantenimiento en una empresa, mantenimiento total, mantenimiento por
llamada, y mantenimiento en banco. El mantenimiento total incluye un
mantenimiento correctivo y preventivo, y se deja al proveedor la
responsabilidad total del mantenimiento, con excepcin de daos por
negligencia en la utilizacin de los equipos. En el mantenimiento por
llamada, se contacta al proveedor en el caso de una falla y se presta el
servicio tcnico, acorde a las tarifas establecidas. Y el mantenimiento en

26
banco, se lleva a cabo cuando el cliente lleva a las oficinas del proveedor
el equipo para el arreglo necesario. La empresa, debe hacer una anlisis
sobre cual tipo de contrato de mantenimiento le conviene, para solicitarlo y
revisar con detalle las clausulas y artculos, con el fin de evitar
inconvenientes con los proveedores. El auditor debe determinar si los
contratos de mantenimiento celebrados por la empresa estn de acuerdo a
las polticas y necesidades de la empresa. De la misma manera, el auditor
debe evaluar que controles ha establecido la empresa con respecto a la
utilizacin del sistema de cmputo, debido a que un control adecuado
permitir acceder al mantenimiento necesario, reduciendo costos y
teniendo control sobre las fallas que se puedan presentar. Se debe realizar
mantenimiento no solo del equipo central, sino del total de los equipos,
incluyendo

computadores

personales,

impresoras,

equipos

de

comunicacin, y perifricos.
Se debe evaluar:
Registros de la utilizacin del sistema de cmputo
Uso adecuado del sistema de cmputo, evitar que:

Programadores utilicen el equipo para aplicaciones ajenas a la

empresa.

Personal utilice los equipos para trabajos personales, trabajos

no autorizados o juegos.

Instalacin de programas mal elaborados, que degradan los

equipos.

Degradacin en los equipos por fallas en equipos perifricos.

Registros de fallas, causas y procedimientos llevados a cabo.

27

1.7.7. Auditora de bases de datos

La auditora de bases de datos evala y verifica los controles de
acceso, de actualizacin, de integridad y calidad de los datos. Una base de
datos es definida como la organizacin sistemtica de archivos de datos,
para facilitar su acceso, recuperacin, consulta y actualizacin. Los
archivos estn relacionados unos con otros, y son tratados como una
entidad.
El auditor debe evaluar y verificar en la base de datos:
Independencia de los datos
Si existe redundancia de datos
Consistencia de los datos
Diccionario de datos
Lenguaje de datos
Monitoreo de teleproceso
Software de seguridad
Sistema de almacenamiento, respaldo y recuperacin
Lenguajes de consulta (Query languages)
Bases de datos de multiplataforma
Los auditores pueden usar una metodologa tradicional o metodologa
de evaluacin de riesgos. En la metodologa tradicional el auditor utiliza
lista de chequeo o checklist, para revisar el entorno de las bases de datos.
La metodologa de evaluacin de riesgos, la propone ISACA, y se inicia
fijando los objetivos de control que minimizan los riesgos a los que est el
entorno de bases de datos durante su ciclo de vida. Una vez establecidos

28
estos objetivos, se determinan las tcnicas de control para alcanzar dichos
objetivos. Para la verificacin de los objetivos se utilizan las pruebas de
cumplimiento y pruebas sustantivas, cuando sean necesarias.
El auditor debe revisar la utilizacin de todas las herramientas que
ofrece el Sistema de Gestin de Bases de Datos SGBD, las polticas y
procedimientos definidas para su utilizacin, y as determinar si son
suficientes o se deben mejorar. Es responsabilidad de la empresa
coordinar los distintos elementos y controles de seguridad, a travs del
monitoreo de los controles, gestin rigurosa de la configuracin del sistema
y dems procedimientos necesarios. El auditor puede utilizar dos tcnicas
para evaluar estos procedimientos:
Matrices de control: Esta tcnica permite identificar el conjunto de
datos de los controles de seguridad o integridad implementados. Los
controles se clasifican en detectivos, preventivos y correctivos.
Anlisis de los caminos de acceso: Permite documentar el flujo,
almacenamiento y procesamiento de los datos en todas las fases,
identificando los componentes del sistema y los controles asociados.
Esta tcnica le permite al auditor identificar las debilidades o fallas
que puedan exponer a los datos a riesgos de integridad,
confidencialidad y seguridad.

1.7.8. Auditoria de tcnica de sistemas

La tcnica de sistemas consiste en desempear las actividades de
instalar y mantener en adecuado orden de utilizacin la infraestructura
informtica. El avance de la informtica exige un alto grado de

29
especializacin en el manejo de las aplicaciones, determinando todas las
actividades relacionadas para alcanzar los objetivos. La auditora de
tcnica de sistemas envuelve los siguientes aspectos:
Instalaciones: Salas de proceso, con sus sistemas de control y
seguridad, y elementos de conexin y cableados.
Equipos de proceso: Computadores, perifricos, dispositivos de
comunicacin y conmutacin.
Software de base: Sistemas operativos, compiladores, traductores e
intrpretes

de

comandos

programas,

gestores

de

datos,

herramientas y componentes auxiliares e intermedios.

Estos aspectos deben ser evaluados para determinar el nivel de
servicio, es decir su eficacia. Para garantizar la eficacia y calidad de los
servicios, es importante determinar los procedimientos que permiten lograr
los objetivos propuestos. Estos procedimientos son:
Instalacin y puesta en servicio: Actividades para conseguir el
funcionamiento adecuado de la aplicacin o sistema.
Mantenimiento y soporte: Conjunto de acciones necesarias para la
puesta en marcha del sistema o aplicacin. Se incluye la asistencia a
los usuarios para su mejor utilizacin.
Requisitos para otros componentes: Requerimientos para el mejor
comportamiento de otros componentes del sistema.
Resolucin de incidencias: Procedimiento para registrar, analizar,
diagnosticar, calificar y seguir las incidencias que se presenten para
lograr su resolucin.

30
Seguridad y control: Estos procedimientos son de gran importancia,
debido a que permiten detectar a tiempo cualquier incidencia.
Adems, la proteccin de la informacin debe ser garantizada por
medio de procedimientos, tales como el control de accesos y perfiles
de trabajo. Los entornos de desarrollo y mantenimiento de
programas deben dejar documentados los cambios, modificaciones o
actualizaciones.
Informacin sobre la actividad: Documentacin sobre la evolucin,
objetivos, estndares, y dems aspectos relacionados al desarrollo
de la actividad.

1.7.9. Auditoria de la calidad

La calidad es un factor importante al momento de competir en el
mercado, y se define como la concordancia con los requisitos funcionales
(funciones realizadas por el software) y el rendimiento, establecidos por los
usuarios, con los estndares de desarrollo de software determinados y
normas de calidad. Una auditoria de calidad tiene como objetivo el mostrar
la situacin real, para aportar confianza y destacar las reas que puedan
afectar esa confianza, es decir evaluar los proyectos o sistemas, y verificar
la aplicacin de los estndares, lneas gua, especificaciones y
procedimientos. En este proceso, se establece el estado del sistema o del
proyecto, capacidad de realizar o continuar un trabajo especfico, verificar
que elementos del programa o plan de aseguramiento de la calidad, han
sido desarrollados y documentados. Esta informacin debe ser analizada,
y sirve como base para la toma de decisiones en la organizacin.

31
Para garantizar la calidad de los proyectos de software, es necesario
asegurar dentro del desarrollo, la realizacin del Plan General de Calidad,
el cual determina las especificaciones para garantizar la calidad del
software.
As mismo se deben seguir y cumplir diferentes normas de calidad de
software, algunas de estas son:

32
Una caracterstica de los procesos de calidad es la repetitividad de los
mismos; estos deben estar definidos, para conseguir los mismos
resultados, cada vez que se repitan. Esta repeticin permite redefinir los
procesos y corregir las fallas encontradas. En el desarrollo de la auditoria
se debe llevar a cabo procesos de revisin, que permiten evaluar el
software o proyecto para identificar las discrepancias sobre los resultados
planificados y expresar las recomendaciones necesarias.
Los requisitos de calidad son establecidos desde las necesidades de
los usuarios y clientes, y teniendo en cuenta la calidad de los productos y
servicios, tiempos acordados de entrega y costos. El auditor, tambin,
puede usar software de evaluacin de calidad, para suministrar una
valoracin independiente.
La auditora de calidad debe permitir evaluar si:
Los productos software codificados reflejan lo diseado en la
documentacin.
Los requerimientos de la revisin de aceptacin y de pruebas
prescritos por la documentacin, son adecuados para la aceptacin
de los productos software.
Los informes de prueba son correctos y los problemas que se
presentaran, fueron resueltos.
La documentacin del usuario cumple a cabalidad con los
estndares.
Las actividades se han desarrollado de acuerdo requerimientos,
planes y contrato establecido.

33
Los costos y cronograma se ajustan a los planes establecidos.

1.7.10. Auditora de la seguridad

La importancia de la informacin manejada por las empresas, cada da
tiene un valor mayor, por esta razn surge la necesidad de una proteccin
adecuada que garantice la disponibilidad, integridad, confidencialidad y
autenticacin de la informacin. Si no existen las medidas adecuadas de
proteccin puede perderse informacin vital para la empresa, y que puede
generar la toma de decisiones errneas, o causar problemas mayores.
Los objetivos de la auditoria de seguridad son:
Verificar la proteccin de la integridad, exactitud y confidencialidad
de la informacin.
Verificar la proteccin de los activos ante desastres provocados por
el hombre y actos hostiles.
Corroborar la proteccin de la empresa contra situaciones externas
como desastres naturales y sabotajes.
Comprobar la existencia de planes y polticas de contingencias, para
lograr una pronta recuperacin de la informacin.
Comprobar la existencia de seguros necesarios que cubran las
prdidas econmicas, en caso de desastre.
El auditor debe evaluar en primera instancia, si los modelos de
seguridad estn acorde a las nuevas arquitecturas, plataformas y
posibilidades de comunicacin. As mismo debe evaluar las siguientes
reas:

34
Controles directivos: Polticas, planes, funciones, comits, objetivos
de control, presupuestos y evaluacin de riesgos.
Desarrollo de polticas: Procedimientos, estndares, normas y guas.
Amenazas fsicas externas: inundaciones, incendios, explosiones,
corte de suministros, terremotos, terrorismo, o huelgas.
Control de accesos fsicos y lgicos: Establecer rutas de acceso,
claves, software de control y encripta miento.
Proteccin de datos, programas, instalaciones, equipos y soportes.
Comunicaciones y redes: Usos autorizados, con la asignacin de
dominios segn los perfiles de los usuarios. Se deben revisar y
evaluar el uso de internet e intranet, correo electrnico, y dems
servicios en lnea.
Entorno de produccin: desarrollo de las aplicaciones en un entorno
seguro, e incorporacin de controles en los productos realizados,
haciendo posible el desarrollo de la auditoria. Todos los proyectos
deben ser autorizados, para verificar el cumplimiento de los
estndares y normas establecidas. Otro aspecto importante es la
contratacin de servicios y su respectivo seguimiento.
Continuidad de las operaciones: Desarrollo de un plan de
contingencias.
Un riesgo al que los sistemas y equipos estn expuestos, son los virus
(malware, software malicioso), rutinas que se esconden en los programas,
y se activan cuando se cumple una condicin especfica, y llevan a cabo
actividades como copia de archivos e incluso el borrado de toda la
informacin contenida en disco del equipo.

35
La auditora de seguridad debe garantizar cuatro aspectos importantes
de

la

informacin,

confidencialidad,

integridad,

disponibilidad

autenticidad, a travs de la implementacin de procedimientos pertinentes.

Confidencialidad: Asegurar que solo las personas autorizadas tiene
los accesos a la informacin correspondiente.
Integridad: Garantizar que solo los usuarios autorizados pueden
realizar cambios en la informacin correspondiente, dejando los
registros pertinentes para el desarrollo de la auditoria.
Disponibilidad: Asegurar el acceso de las personas con las
autorizaciones pertinentes, a la informacin en los tiempos
determinados.
Autenticidad: Garantizar que la informacin sea autentica y
manipulados por las personas autorizadas.
Una forma de proteger la informacin y el control de accesos, es el
encriptamiento, arte de proteger la informacin transformndola con un
determinado algoritmo, dentro de un formato, para que no pueda ser leda
normalmente. Solo los usuarios autorizados podrn, desencriptar la
informacin.

1.7.11. Auditora de los sistemas redes

La auditora de redes debe determinar que la funcin de gestin de
redes y comunicaciones este claramente definida en la empresa y se tenga
en cuenta:
Gestin de la red, inventario de equipos y normas de conectividad.

36
Monitorizacin de las comunicaciones, registro y solucin de
problemas.
Revisin de costes y su asignacin de proveedores y servicios de
transporte, balanceo de trfico entre rutas y seleccin de
equipamiento.
Garantas y vulnerabilidad de las instalaciones fsicas de la empresa.

Controlar las reas para los equipos de comunicaciones, para

prevenir accesos inadecuados.

Proteccin de cables y lneas de comunicacin, para evitar

accesos fsicos.

Monitoreo de la red y su trfico, para impedir usos inadecuados

e

identificar

anomalas

seguir

los

procedimientos

establecidos.

Establecer contraseas y los procedimientos necesarios para

limitar y detectar cualquier intento de acceso no autorizado a la
red.

Control e identificacin de errores de transmisin, para

restablecer las retransmisiones apropiadas.

Para la auditoria de redes se trabaja con base al modelo OSI (Open

systems Interconnection), el cual consta de siete etapas:
Aplicacin: Conexin entre la aplicacin con el sistema de
comunicaciones.
Presentacin: Formato de datos que van a presentar la aplicacin.
Sesin: Establecer procedimientos de apertura y cierre de sesiones,
e informacin de la sesin en curso.

37
Transporte: Comprobacin de la integridad de los datos transmitidos.
Red: Rutas de comunicacin entre el emisor y receptor.
Enlace: Transformacin de los paquetes de informacin en trama
adaptadas por los dispositivos fsicos, usados para la transmisin.
Fsico: Transformacin de la informacin en seales fsicas
adaptadas al medio de comunicacin.
Para establecer una comunicacin, la informacin debe pasar por cada
una de las siete etapas, a travs de los mtodos prefijados para establecer
la comunicacin entre las mismas etapas. En las tres primeras etapas se
definen las redes LAN (Local rea Network), MAN (Metropolitan rea
Network), y WAN (Wide rea Network).
Existe un elemento que influye en la redes, es la vulnerabilidad, debido
a que la informacin transita por diferentes lugares, fsicamente a
diferentes distancias, lo que hace necesario implementar modelos de
seguridad apropiados. Segn el origen de los riesgos se pueden dividir en
tecnolgicos o fsicos:
Tecnolgicos

Alteracin de bits

Ausencia de tramas

Alteracin de secuencias

Fsicos

Indagacin

Suplantacin

Modificacin

38

1.7.12. Auditoria de aplicaciones

La auditora de aplicaciones se basa en la ltima etapa del ciclo de vida
de la aplicacin, su funcionamiento, en la cual se evala el grado de
cumplimiento de los objetivos establecidos para la aplicacin, y se realiza
una revisin de la eficacia del funcionamiento de los controles diseados
frente a los riesgos, asegurando la fiabilidad, seguridad, disponibilidad y
confidencialidad de la informacin gestionada por la aplicacin.
Es importante que el auditor para llevar a cabo la auditoria de
aplicacin, conozca la organizacin y los procedimientos de los servicios
que utilizan la aplicacin, as como el entorno en que se desarrolla la
aplicacin. Una aplicacin o sistema de informacin de una empresa tiene
los siguientes objetivos:
Registro de la informacin de las operaciones y actividades de la
empresa.
Realizacin de procesos de clculo y edicin necesarios.
Dar respuesta a consultas autorizadas, sobre la informacin
almacenada, solicitadas con el fin de dar cobertura a las necesidades
de los usuarios.
Generar informes con la informacin correcta y utilizando criterios de
seleccin.
El sistema siempre est en riesgo de una falla, ya sea tcnica o
humana, que amenazan la confidencialidad, integridad y disponibilidad de
la informacin. Es por esto que desde la etapa de diseo de la aplicacin o
sistema, se debieron tomar las medidas de control interno para reducir los

39
riesgos que afecte la informacin, y el sistema o aplicacin en su totalidad.
Estas medidas pueden clasificarse en dos grupos, el primero son los
controles manuales y automticos, y el segundo grupo son controles
preventivos, detectivos, y correctivos. Los controles manuales son
realizados por el personal del rea y establecidos para asegurar que se
preparan, autorizan y procesan todas las operaciones, se subsanan
adecuadamente los errores, las bases de datos dan soporte a la
aplicacin, y los resultados son coherentes respecto a los datos de
entrada.
Los controles automticos son incorporados en los programas de la
aplicacin, para asegurar que la informacin se registre y mantenga
completa y exacta, los procesos de todo tipo sean correctos, y los usuarios
respeten los mbitos de confidencialidad establecidos.
De esta manera, el auditor debe entender el software bsico de la
aplicacin, identificando la seguridad que ofrece, y los riesgos inducidos,
incluyendo la arquitectura y caractersticas lgicas. Este entendimiento le
permite identificar cualquier falla o riesgo significativo en la aplicacin.

1.7.13. Auditoria Jurdica de entorno informticos

La auditora jurdica es parte fundamental de la auditoria informtica,
debido a que su objetivo es comprobar el cumplimiento legal de las
medidas del uso de la informtica y de seguridad exigidas por el
Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos. Esta
auditora es esencial para evitar posibles reclamaciones contra la entidad
auditada. Entonces, el trabajo del auditor ser preventivo, y evitara

40
cualquier sancin administrativa o legal, cuando sea posible; as como
costos econmicos como indemnizaciones, por negligencias que pudieron
haber prevenido a tiempo. La auditora informtica llevada a cabo a tiempo,
puede prevenir el delito informtico, generando beneficios para la empresa.
La auditora informtica comprende cuatro reas:
Auditoria del entorno informtico: Revisin y evaluacin de los
elementos del hardware, software y contratos de paquetes
gestionados, outsourcing.
Auditoria de las personas que manipulan la informacin: Evaluar al
personal que utiliza los sistemas de informacin y equipos,
verificando as: quienes tienen acceso a la informacin, adecuacin
del personal al cargo que ostentan, conocimiento de la normatividad
pertinente y actitud tica frente al desarrollo de las funciones
relegadas, establecimiento en el contrato del personal de la labor que
cumplen y responsabilidad que ostentan, y si los contratos con
proveedores aseguran la confidencialidad de la informacin.
Auditoria de la informacin: cumplimiento de la normatividad en
cuanto al manejo de la informacin, evitando su uso con finalidades
incompatibles con aquellas para las que se seleccion la
informacin.
Auditoria de los archivos: Evaluacin de los niveles de proteccin de
los archivos, mecanismos de seguridad, y figura del responsable del
archivo.

41

CAPTULO II
AUDITORA FORENSE
2.1. Definicin
Debe entenderse como el proceso de recopilar, evaluar y acumular evidencia
con la aplicacin de normas, procedimientos y tcnicas de auditora, finanzas y
contabilidad, para la investigacin de ciertos delitos.
En trminos de investigacin contable y de procedimientos de auditora, la
relacin con lo forense se hace estrecha cuando se habla de la contadura
forense, encaminada a aportar pruebas y evidencias de tipo penal, por lo tanto se
define inicialmente a la auditora forense como una auditora especializada en
descubrir, divulgar sobre fraudes y delitos en el desarrollo de las funciones
pblicas y privadas.
Forense proviene de fuero, es decir que la actuacin forense del auditor se
orienta a recolectar evidencia idnea para su presentacin en una Corte Judicial.
Por tanto, las reglas de evidencia seguidas para la formulacin de opinin del
auditor forense debern considerar no solamente el marco profesional para la
actuacin del auditor de que se trate, sino los aspectos legales aplicables.

42
Como consecuencia de ello, el auditor forense normalmente no actuar de
manera autnoma como el auditor externo o el interno, sino que integrar su labor
junto con la de un abogado que determinar la validez y relevancia de la
informacin provista por el auditor forense para presentarla en Corte junto con
otras evidencias recolectadas por medios alternativos (por caso, investigaciones).
En este contexto, la auditoria forense es inherentemente interdisciplinaria.
En el campo de la auditora, hasta hace poco, se sola otorgar el mismo
tratamiento a las auditoras financieras que a aquellas en las que se detectaban
presuntos hechos ilcitos, ya que la formacin tradicional de los profesionales se
basaba en la aplicacin de procedimientos que buscan comprobar la razonabilidad
de las operaciones, y no as la sustanciacin de procedimientos de naturaleza
penal.
Lo anterior presupone que los procedimientos de auditora que se aplican en
las ltimas no se diferencian de los aplicados en cualquier revisin en condiciones
normales, lo que se traduca en lo siguiente:
Las auditoras resultaban omisas en la aplicacin de procedimientos
especficos para deteccin y prevencin de fraudes, ya que en estos casos
se requiere de procedimientos de investigacin y formalizacin.
Las evidencias que arrojaban las auditoras en los casos de presuntos
ilcitos, si bien fundamentaban de manera slida las observaciones de la
auditora, carecan de elementos de solidez jurdica a ser presentada como
evidencia ante las autoridades persecutorias de delitos.
La formacin del personal auditor era esencialmente de Contadores y
profesionales con experiencia en la aplicacin de procedimientos de

43
auditora nicamente para comprobar la razonabilidad de las operaciones y
no as la sustanciacin de procedimientos de naturaleza penal.
Surge la necesidad de conformar un grupo multidisciplinario que permitiera
apoyar las funciones tradicionales de auditora con cuestiones tales como:
Medios de investigacin, tanto fsicos como tecnolgicos utilizados en las
auditoras especficas para deteccin de fraudes.
Personal de disciplinas distintas a la auditora bsicamente con habilidades
en materia informtica, en manejo de denuncias de tipo penal y con
enfoques especializados en diversas materias hacia la obtencin de
evidencia jurdica que d consistencia a las denuncias que en su caso se
llegaran a presentar, ya que en las auditoras forenses se llevan a cabo
otras indagaciones que rebasan los procedimientos aplicados en la auditora
tradicional.
Los auditores forenses realizan investigaciones de gabinete y campo para
recabar todo tipo de documentos y elementos que permitan establecer la
presunta comisin de un acto ilcito, se profundizan los procedimientos de
auditora, y se aplican tcnicas de investigacin forense para constatar y
documentar presuntos hechos delictivos.
Se utiliza el cmputo forense para analizar y procesar la informacin
contenida en bases de datos, para recuperar de discos duros informacin
destruida o registros que sirven como evidencia de actividades irregulares
La auditora forense tiene como finalidad la revisin de los procesos, hechos y
evidencias para la deteccin o investigacin de actos u omisiones que impliquen
alguna irregularidad o conducta ilcita, con el propsito de documentar con

44
pruebas vlidas y suficientes, las conclusiones derivadas de los hallazgos
mediante la aplicacin de tcnicas de investigacin especializadas, y cuando sea
necesario, apoyada en la tecnologa y herramienta forense, para reunir los
elementos y pruebas contundentes y competentes para acudir a las autoridades
ministeriales y/o competentes a denunciar probables irregularidades o hechos
delictuosos.
La Auditora Forense es el trmino que engloba la incorporacin de
conocimientos y la aplicacin de novedosas y probadas tcnicas forenses,
herramientas de TI, as como otras especialidades distintas de las ramas
financieras, como son las legales, psicolgicas y criminolgicas, con el propsito
de crear un nuevo perfil de profesional capaz de detectar de manera oportuna
fraudes y delitos. Se utiliza tambin, en ciertos casos, el Cmputo Forense para el
anlisis y procesamiento de informacin contenida en base de datos, recuperacin
de archivos e informacin borrado o destruido contenida en discos duros.

2.2. Otras definiciones

a) La auditora forense, es una ciencia que permite reunir y presentar
informacin financiera, contable, legal, administrativa e impositiva, en una
forma que ser aceptada por una corte de jurisprudencia contra los
perpetradores de un crimen econmico, por lo tanto, existe la necesidad de
preparar personas con visin integral, que faciliten evidenciar especialmente,
delitos como la corrupcin administrativa, el fraude contable, el delito en los
seguros, el lavado de dinero y el terrorismo, entre otros. La sociedad espera
de los investigadores, mayores resultados que minimicen la impunidad,
especialmente en estos momentos tan difciles, en los cuales el crimen

45
organizado utiliza medios ms sofisticados para lavar dinero, financiar
operaciones ilcitas y ocultar los resultados de sus diversos delitos.
Lo forense, por lo tanto, est estrechamente vinculado a la administracin de
justicia en el sentido de aportar pruebas de carcter pblico, que puedan ser
discutidas a la luz de todo el mundo (el foro).

b) La auditora forense, es una disciplina especializada que requiere un

conocimiento experto de la teora contable, auditoria y mtodos de
investigacin. La auditora forense constituye una rama importante de la
contabilidad investigativa utilizada en la reconstruccin de hechos financieros,
investigaciones de fraudes, clculos de daos econmicos y rendimientos de
proyecciones financieras.
La investigacin de un profundo conocimiento de contabilidad, auditoria y
vas de investigacin viene a formar la funcin especializada que en el mundo
de los negocios se conoce como auditoria forense y es aqu donde se brinda
el respaldo necesario. Existen otras asignaciones que nicamente requieren
el suministro o recopilacin de documentacin detallada del cliente.

2.3. Objetivos de la auditora forense

Evaluar los procesos de prevencin de fraudes y actos ilcitos, que daen la
propiedad del estado o de entes privados, con la finalidad de velar por el inters
pblico.
Evaluar las medidas tomadas para prevenir y predecir situaciones indeseables
en los aspectos definidos anteriormente.

46
Investigar hechos que se le encomienden como sospechosos de actos
delictivos, en directa asesora a los rganos que tienen a su cargo velar por la
transparencia en las operaciones de una entidad.
La auditora forense debe cubrir ciertas reas de su competencia:
Investigacin de fraude interno y soporte de litigios, tanto en entidades privadas
como pblicas. Aplicando tcnicas especficas para la determinacin de
indicadores y tendencias, entrevistas y anlisis documental, se obtiene evidencia
de la ocurrencia o potencialidad de fraude.
El examen y evaluacin de evidencias de hechos, adems de la posibilidad de
brindar testimonio experto en la Corte, sirve de invaluable apoyo a los
profesionales que deben llevar adelante los litigios.

2.4. Conocimientos y habilidades del auditor forense

Entre los conocimientos y habilidades que posee el auditor forense se
encuentra, una base fuerte de conocimientos contables, acompaados con
conocimientos slidos de auditora, valoracin de riesgos y control, adems debe
demostrar un conocimiento del ambiente legal necesario para su trabajo como
litigante. Lo anterior acompaado con una serie de habilidades necesarias para
una ejecucin eficiente en su labor, tal como, comunicacin, habilidades de
detective, criminologa y de litigante audaz.
El auditor forense debe tener la competencia y la preparacin de un experto,
ya que de su opinin se tomarn decisiones y su informe debe tener la validez
para impartir justicia. La condicin bsica para el aseguramiento y valoracin del
resultado de la auditora forense es el grado de preparacin y experiencia
adecuada para realizar las tareas por parte del auditor.

47
En el desarrollo de una auditora forense, en el examen y en la elaboracin de
los informes, se identifican adems, las nuevas habilidades y competencias
demandas a los auditores:
Conocimiento del negocio, comprendiendo su funcionamiento y forma de
planificar, administrar y controlar, anticipndose a la posibilidad de hechos
fraudulentos.
Adoptar una mente estratgica a fin de cumplir con una funcin
investigadora de la gestin empresarial.
Conocimiento avanzado de tecnologas de informacin.
Adopcin de tcnicas innovadoras de auditora para prevenir hechos
delictuosos.
Desarrollar habilidades de investigacin, en especial en los tipos de
fraudes, delitos y operaciones ilcitas que se pueden cometer en las
empresas y/o instituciones financieras.

2.5. Quines demandan el servicio de auditora forense?

a) Entidades de carcter gubernamental, segn sea la vulnerabilidad de sus
sistemas de gestin y control.
b) Entidades Financieras que dada la naturaleza de sus transacciones estn
expuestas a un riesgo mayor de fraudes.
c) Entidades de carcter pblico como son las compaas que cotizan sus
valores en bolsas de comercio, cuyos accionistas pueden estar expuestos
en sus intereses, especialmente aquellos accionistas minoritarios que no
tienen injerencia en las decisiones de la compaa.
d) Las compaas financieras son las que han trabajado con mayor
recurrencia el tema, en asociacin con las entidades reguladoras, dado los

48
efectos perversos que este tipo de actos trae como consecuencia, no tan
solo a las entidades en particular, sino al pas que recibe el efecto.
En

la

auditora forense,

las

estrategias,

procedimientos

y mtodos

investigativos, son especialmente estudiados a fin de preservar y priorizar el

inters pblico.
El rol de la auditora forense en el sector pblico es facilitar la prevencin,
deteccin e investigacin del crimen econmico. Esto incluye los siguientes
aspectos:
La iniciacin de un programa de prevencin del crimen econmico con una
visin amplia para resaltar la existencia de riesgos potenciales y de la
necesidad de una estrategia de prevencin en cada institucin pblica;
Una revisin del sistema criminal de justicia para determinar los crmenes
econmicos en el sector pblico y toda la legislacin relevante con una
visin

para

identificar

cualquier

deficiencia

material

reportarla

adecuadamente;
El desarrollo de unas polticas y normas necesarias incluyendo un modelo
apropiado de riesgos para auditoras y otros propsitos.
Con frecuencia las organizaciones deben enfrentar cambios en la estructura
de sus procesos, muchas veces llevadas por las necesidades que surgen de su
propio seno, otras como consecuencia de cambio de tamao, fusiones, compras y
tomas de posesin, nuevos productos, etc. En el diseo y monitoreo de estos
procesos, resulta fundamental la evaluacin de riesgos y la prevencin del fraude,
ya que estos son los momentos de mayor vulnerabilidad, interna y externa, que
presentan las organizaciones.

49

2.6. Campos de accin del auditor forense

A diferencia de la auditora tradicional que se sustenta en la buena fe, en el
negocio en marcha y en la evidencia para obtener seguridad razonable, el
auditor forense va ms all de la evidencia de auditora, de la seguridad
razonable, evala e investiga al 100% del universo objeto de auditora,
centrndose en el hecho ilcito y en la mala fe de las personas. Por esto los
campos de accin del auditor forense son especializados y con objetivos muy
precisos.}Ejemplos
La cuantificacin de prdida financiera
Disputas entre accionistas o compaeros
Incumplimiento de contratos
Demandas de lesiones personales
Irregularidades e infracciones
Demandas de seguros
Disputas matrimoniales, las separaciones, los divorcios.
Herencias
Investigacin financiera

2.7. Diversos tipos de tareas que puede desarrollar un auditor

forense
2.7.1.

Auditora investigativa
Las

Normas

Internacionales

de

Auditora

Interna

del

IIA

(y

especficamente el Consejo para la Prctica 1210.A2-2: Responsabilidad

en la Deteccin de Fraude establecen la responsabilidad del auditor interno
de:

50
Considerar la posibilidad de fraude en el curso de las auditoras regulares,
y.
Si existen indicios que sealen la probabilidad de que haya ocurrido un
fraude, expedirse recomendando a la administracin el desarrollo de tareas
especializadas ms profundas
A esta labor la denominamos auditora investigativa, y su producto final
es la determinacin de la existencia de indicadores que induzcan a
considerar que la probabilidad de que se haya cometido fraude es lo
suficientemente seria como para incurrir en el costo de una investigacin.
O si, por el contrario, tales evidencias no alcanzan la cuanta necesaria
como para merecer ulteriores esfuerzos investigativos.

2.7.2.

Sumario administrativo
Si la organizacin se orienta a una sancin administrativa sin intencin
de abrir un juicio, puede obtenerse evidencia de auditora que fortalezca la
evidencia de autora de hechos irregulares. En este caso, el auditor se
encuentra abocado a una instancia sumarial de la auditora forense, cuya
caracterstica es que no se halla evaluando informacin financiera, el
sistema de control interno ni responsabilidades de gestin, sino hechos
que incriminen a personas concretas en la comisin de hechos apartados
de las normas seguidas por la organizacin (no necesariamente delitos),
para la potencial aplicacin de una sancin administrativa.

2.7.3.

Investigacin pre judicial

La organizacin puede decidir que la naturaleza y gravedad de los
hechos de que se sospecha justifican su presentacin en una instancia

51
judicial. En este caso, lo que inicia es una investigacin (normalmente con
la intervencin de especialistas externos a la propia organizacin). El
auditor forense acta en un rol de obtencin de evidencia contable y
administrativa para ser evaluada por investigadores y abogados no
especializados en documentacin ni registracin contable e informacin
financiera. Tambin puede colaborar en entrevistas e interrogatorios que
involucren temas cuya complejidad administrativa/ contable/financiera
exceden de la capacidad de los restantes investigadores para evaluar
verosimilitud de las declaraciones, posibles autoras y responsabilidades.

2.7.4.

Actuacin pericial y testimonio judicial

Finalmente, cuando las investigaciones ya han dado lugar a la apertura
de actuaciones judiciales, el auditor forense puede actuar como asesor de
las partes que normalmente intervienen en una causa judicial:
Fiscala y querella, por la parte acusadora
Defensa, por la parte acusada
Tribunal que impartir sentencia
En este rol, es posible que el Tribunal decida convocar a los auditores
forenses de las distintas partes y a los propios como testigos expertos,
cuyo testimonio es especialmente valorado por los Tribunales en virtud de
la especial calificacin de los auditores forenses en la materia respecto de
la cual se los convoca a testimoniar.
Dependiendo del caso concreto, el auditor forense se puede auxiliar en
peritos o expertos en diversas reas, entre otras:
Criminalstica.

52
Entrevistas.
Fotografa.
Grafoscopa.
Documentoscopa.
Lingstica forense.
La

auditora

forense

engloba

procedimientos

tcnicas

de

investigacin para obtener todo tipo de documentos y elementos que nos

permitan documentar el presunto hecho delictuoso.
Es decir, en estas revisiones, independientemente de las compulsas
que se realizan, se validan datos y se cuestiona informacin derivada de
terceros o de fuentes pblicas para fortalecer la hiptesis del supuesto; se
aplican entrevistas forenses, se procura recopilar informacin derivada de
terceros, fuentes externas y/o pblicas, confirmacin de supuestos
compras, hechos o sucesos entre otros.

2.8. Marco de actuacin y normativo

A diferencia de otros tipos de auditora, la auditora forense no dispone de un
Marco de Normas Internacionales especfico. (Los auditores externos pueden
regirse por las Normas de Auditora de IFAC, la Federacin Internacional de
Contadores, los auditores internos por las Normas del IIA, el Instituto de Auditores
Internos, los gubernamentales por las de INTOSAI, la Organizacin Internacional
de Auditoras Supremas, los auditores informticos por las Normas de ISACA, la
Asociacin de Auditora y Control de Sistemas de Informacin).
Lo ms aproximado de que se dispone son Normas Internacionales para los
Examinadores de Fraude Certificados, que pueden ser tanto auditores forenses

53
como abogados (generalmente criminalistas, aunque tambin los hay comerciales
y otros), e investigadores profesionales.
De todas formas, estas Normas proveen un marco relevante (aunque
probablemente no suficiente), para regular los aspectos bsicos del accionar de
los auditores forenses.

2.9. Importancia
La importancia de esta faceta auditora se puede observar por la existencia de
su correspondiente certificacin profesional, otorgada en esta ocasin por la
Association of Certified Fraud Examiners, en forma similar a como ISACA acta
en el entorno de las tecnologas de la informacin.
En opinin de esta Asociacin el rbol del fraude abarca tres grandes
apartados:
La apropiacin indebida de activos
La corrupcin, y
Reportes Fraudulentos.
Los dos primeros se deberan adscribir dentro del alcance de los Planes de las
Auditoras Internas, atendiendo a las ramificaciones que aparecen en las grficas
que se indican a continuacin. En tanto que el aspecto relacionado con los
Reportes Financieros es el objetivo a cubrir por los externos.

54

Siguiendo estos dos esquemas, el campo de actuacin de la Inspeccin

abarcar cualquier acto ilcito que pueda producirse.
Debido a esta gran diversidad de formas de cometer fraudes y hacer
corrupcin, los procedimientos de la inspeccin, que exigen al auditor apelar a su

55
experiencia y juicio profesional al preparar los procedimientos de auditora que
sean efectivos para determinar y cuantificar estos hechos. Pudiendo, no obstante,
indicar algunas tcnicas apropiadas para la realizacin de las inspecciones:
Deteccin de pautas de comportamiento fraudulentas.
Trabajos basados en la totalidad de la poblacin, no en muestras.
Enfoque haca la evidencia: entrevistas, documentos, prueba digital.
Uso de la Tecnologa (Minera de datos).
El reporte de los informes suelen ser materia reservada y no se discuten
con el rea investigada.

2.10. Clasificacin de actuacin

2.10.1. Preventiva
Enfoque proactivo orientado a proporcionar aseguramiento o asesora
respecto de su capacidad para disuadir, prevenir (evitar), detectar y
reaccionar ante los fraudes, e implementar programas y controles anti
fraude; esquemas de alerta temprana de irregularidades; sistemas de
administracin de denuncias, etctera.

2.10.2. Detectiva
Enfoque reactivo orientado a identificar la existencia de fraudes
mediante la investigacin de los mismos llegando a establecer su cuanta;
efectos directos e indirectos; posible tipificacin; presuntos autores,
cmplices y encubridores, mtodo empleado, controles no eficaces,
etctera.

56
Para ir acabando, y entendiendo que se comparte la idea de que la
lucha contra el fraude es un objetivo empresarial muy importante, en el que
las Unidades de Auditora Interna tienen un rol muy significativo que
realizar, puesto que, aunque Es un riesgo que resulta inevitable, solo tiene
como espacio y lmite el ingenio humano, lo cual requiere que los auditores
y los responsables de control estn siempre actualizados de los mtodos
que se emplean para detectarlo y prevenirlo. Solo se volver manejable si
se logran entender los elementos que lo generan.

2.11. Fases de la auditora forense

Es importante sealar que la auditora forense en su planeacin y ejecucin
debe ser concebida con total flexibilidad pues cada caso de fraude es nico y se
requerir procedimientos diseados exclusivamente para cada investigacin,
pueden haber casos similares pero jams idnticos.

2.11.1. Planificacin
En esta fase el auditor forense debe:
Obtener un conocimiento general del caso investigado
Analizar todos los indicadores de fraude existentes
Evaluar el control interno de ser posible y considerarlo necesario
(es opcional). Esta evaluacin, de realizarse, permitir: detectar
debilidades de control que habran permitido se cometa el frauda;
obtener indicadores de fraude, realizar recomendaciones para
fortalecer el control interno existente a fin de prevenir fraudes.
Investigar tanto como sea necesario para elaborar el informe de
relevamiento

de

la

investigacin,

en

el

cual

se

decide

57
motivadamente si amerita o no la investigacin; es decir si existen
suficientes

indicios

como

para

considerar

procedente

la

realizacin de la auditoria forense.

Definir

los

programas

de

auditoria

forense

(objetivos

procedimientos) para la siguiente fase que es la de ejecucin del

trabajo, en caso de establecerse que es procedente continuar con
la investigacin.
Al planificar una auditoria forense debe tomarse el tiempo
necesario, evitando extremo como la planificacin exagerada o la
improvisacin.

2.11.2. Trabajo de campo

En esta fase se ejecutan los procedimientos de auditoria forense
definidos en la fase de planificacin, ms aqullos que se considere
necesarios durante el transcurso de la investigacin.
Los procedimientos programados pueden variar y por ello deben ser
flexibles puesto que en la ejecucin del trabajo de una auditoria forense se
avanza con sagacidad y cautela a medida que se obtiene resultados,
mismos que podran hacer necesaria la modificacin de los programas
definidos inicialmente. El uso de equipos, multidisciplinarios (expertos
legales, informticos, bilogos, graflogos u otros) y del factor sorpresa es
fundamental.
De ser necesario deber considerarse realizar parte de la investigacin
con el apoyo de la fuerza pblica (ejrcito o polica) dependiendo del caso
sujeto a investigacin.

58
Un aspecto importante en la ejecucin de la auditoria forense es el
sentido de oportunidad, una investigacin debe durar el tiempo necesario,
ni mucho ni poco, el necesario. Muchas veces por excesiva lentitud los
delincuentes se ponen alerta, escapan o destruyen las pruebas, en otros
casos por demasiado apresuramiento, la evidencia reunida no es la
adecuada, en cantidad y/o calidad, para sustentar al juez en la emisin de
una sentencia condenatoria, quedando impunes los perpetradores del
delito financiero investigado.
El auditor forense debe conocer o asesorarse por un experimentado
abogado respectos de las normas jurdicas penales y otras relacionadas
especficamente con la investigacin que est realizando. Lo mencionado
es fundamental, puesto que si el auditor forense no realiza la prolijidad y
profesionalismo su trabajo, puede terminar acusado por el delincuente
financiero aduciendo daos morales o similares.

2.11.3. Comunicacin de resultados

La comunicacin de resultados ser permanente con los funcionarios
que el auditor forense estime pertinente.
Al comunicar resultados parciales o finales el auditor debe ser cauto,
prudente, estratgico y oportuno, debe limitarse a informar lo que fuere
pertinente, un error en la comunicacin de resultados puede arruinar toda
la investigacin (muchas veces se filtra informacin o se alerta antes de
tiempo a los investigados de los avances obtenidos).

59

2.11.4. Monitoreo del caso

Esta ltima fase tiene por finalidad asegurarse de que los resultados de
la investigacin forense sean considerados segn fuere pertinente y evitar
que queden en el olvido, otorgando a los perpetrados del fraude la
impunidad.

2.11.5. Elaboracin del Informe Final

La fase final de la investigacin es presentar los resultados. Esto
supone un reto, ya que el informe normalmente es la evidencia primaria
disponible y en algunos casos nica sustentatoria de la investigacin
realizada. El informe es de vital importancia, puesto que los litigios
judiciales se ganan o se pierden mayormente en base a la calidad del
informe presentado. Algunas recomendaciones importantes para la
elaboracin de un buen informe de fraude son: Preciso, oportuno,
exhaustivo, imparcial, claro, relevante, completo. Un informe de fraude
nunca debe contener una conclusin u opinin de cmo el fraude tuvo
lugar. Cuando un caso se inicia en la justicia, el informe de fraude es
admitido como prueba. Si el mismo contiene opiniones y conclusiones
errneas, el abogado defensor puede usarlo para demostrar prejuicios
contra su cliente.

60

ANEXOS
CASO PRCTICO, AUDITORA INFORMTICA
Contrato de auditoria en informtica
Contrato de presentacin de servicios profesionales de Auditora en informtica
que celebran por una parte Corporacin Radial Del Norte Sociedad Annima
(CORANORSA), representado por Ral Alberto Njera Ponce en su carcter
de Director General y que en lo sucesivo se denominar el cliente, por otra
parte Gerardo Ortiz, Contador Pblico y Auditor, a quien se denominar el
auditor, de conformidad con las declaraciones y clusulas siguientes:
EXPONEN
1. El cliente expone:
a) Que es una empresa de produccin radial constituida jurdicamente como
una Sociedad Annima y que se rige por las leyes y disposiciones
guatemaltecas.
b) Que est representada para este acto por Ral Alberto Njera Ponce y
tiene como su domicilio en la 6av. Avenida C 2-25 zona 3, Cobn Alta
Verapaz.
c) Que acepta la propuesta del servicio de auditora en informtica,
solicitado por el auditor.

2. El auditor expone:
a) Que se ha preparado acadmicamente en el extranjero sobre temas
relacionados a la auditoria en informtica, por lo que los servicios sern de
gran utilidad para la entidad.
3. Exponen ambas partes:
a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, proceden
a formalizan otorgando el presente contrato que contiene en las
siguientes:

61

CLUSULAS
Primera: Objetivo
El auditor queda obligado a prestar al cliente los servicios de auditora en
informtica para llevar a cabo la evaluacin de la seguridad fsica de los
sistemas informticos y dems equipos que posea l cliente.
Segunda: Alcance del trabajo
El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato
son:
a) Evaluaciones de la seguridad fsica los sistemas:

Inventario de Hardware y Software

Almacenamiento
Cableado
Equipos adicionales
Seguridad en el personal
Seguros
Seguridad en la utilizacin de los equipos
Plan de contingencia y procedimientos en caso de desastre
Opinin de los usuarios

b) Elaboracin de informes que contengan conclusiones y recomendaciones

por cada uno de los trabajos sealados en el inciso a) de esta clusula.
Tercera: Programa de trabajo
El auditor conviene con el cliente en desarrollar un programa de trabajo en el
que se determinen con precisin las actividades a realizar y las fechas en que se
ejecuten.
Cuarta: Supervisin
El cliente tendr la facultad de supervisar los trabajos que el auditor realizar.
Quinta: Horario de trabajo
El auditor declara el tiempo necesario para cumplir satisfactoriamente con los
trabajos materia de la celebracin de este contrato, de acuerdo al programa de
trabajo presentado, por lo que no estarn sujetos a horarios y jornadas
determinadas.

62

Sexta: Personal asignado

Debido a la naturaleza del trabajo se requiere del siguiente personal:
Supervisor
Auditor Senior
Auditor Junior 1
Auditor Junior 2
Sptima: Relacin laboral
El auditor no tendr ninguna relacin laboral de dependencia con el cliente.
Octava: Plazo de trabajo
El auditor se obliga a terminar los trabajos sealados en la clusula segunda de
este contrato en 13 das hbiles despus de la fecha en que se firme el contrato.
El tiempo estimado para la terminacin de los trabajos est en relacin a la
oportunidad en que el cliente entregue los documentos requeridos por el auditor
y por el cumplimiento de las fechas estipuladas en el programa de, por lo que
cualquier retraso ocasionado por parte del personal del cliente o de usuarios de
los sistemas repercutir en el plazo estipulado, el cual deber incrementarse de
acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin
perjuicio alguno para el auditor.
Novena: Honorarios
Debido a que la auditoria se realizara especficamente a verificar la seguridad
fsica los honorarios ascienden a la cantidad de Q.15.000.00.
Decima: Causas de Rescisin
Sern causas de rescisin del presente contrato la violacin o incumplimiento de
cualquiera de las clusulas de este contrato.
Enterada las partes del contenido y alcance de este contrato, proceden a firmar.
Cobn Alta Verapaz, Marzo 26 de 2,015.
_______________________
Gerardo Ortiz
Contador Pblico y Auditor

_____________________
Ral Alberto Njera Ponce
Director General
Corporacin Radial del Norte

63

Programa de Auditora informtica

CORPORACION RADIAL DEL NORTE S.A.

AUDITORA DE LA SEGURIDAD FSICA
PROGRAMA DE AUDITORIA

Preparado
Revisado

Por
GO

Fecha
28-03-15

OBJETIVO

Evaluar la seguridad fisica de los sitemas informaticos y dems equipos de la empresa, as como la situacin del
edificio y seguridad del personal.
PROCEDIMIENTOS

REFERENCIA FECHA

PROCEDIMIENTOS A APLICAR
Revision de la situacin de las instalaciones del
edificio para establecer si representa o no algn
1 riesgo de seguridad para los equipos informaticos.
Conocer la ubicacin fisica de los departamentos
2 donde haya equipos informaticos.
Verificar la existencia de un lugar de
almacenamiento de equipos de computo en las
3 instalaciones de la empresa
Verificar la existencia y vigencia de extinguidores de
4 fuego para casos de emergencia
Inspeccionar si los cables de conduccin eletrica
estan resguardados y no representen peligro tanto
5 para equipos como para el personal usuario.

6
7

9
10
11

Comprobar la existencia de un plan de contingencias

para el resguardo de los equipos informaticos y
seguridad del personal.
Realizar un recuento de equipos de computo para
establecer un inventario de hardware y software.
Evaluar los riesgos a que estan expuestos los
sistemas informaticos teniendo en cuenta el entorno
de cada departamento.
Inspeccionar que los sistemas informaticos y otros
equipos esten libres de polvo u otras sustancias que
podran causarles dao.
Verificar la existencia de UPS para cada equipo
informatico.
Solicitar polizas de seguros y verificar si el software
y el hardware estan amparados.

Chequear la consistencia fisica de las puertas de

12 acceso a los departamentos informaticos.
Obtener la opinion de los usuarios acerca de la
seguridad de los equipos informaticos que tienen a su
13 cargo.
PRUEBAS SUSTANTIVAS
Realizar un cuestionario de control al Director
General para conocer:
Existencia de planes de seguridad de equipos
informaticos y seguridad del personal.

14

Situacin del edificio y equipos informaticos

Aplicar cuestionario de control interno al personal
para conocer su opinion sobre los equipos
informaticos y la seguridad.
Toma fisica de datos de los equipos de cada
departamento informatico para obtener:
Caracteristicas del Software y Hardware

15
Observacin fisica de los equipos de computo para
determinar:
Su existencia
16
Su funcionalidad
Obtener evidencia de los sistemas informaticos
mediante fotografas.

PT-A

PT-DIR-1
PT-DIR-1

PT-DIR-1

PT-DIR-1
PT-I-D1-1

PT-I-D1-1

PT-I-D1-1
PT-I-D1-1

OBS ERVACIONES

El edificio no presenta
31/03/2015 daos estructurales
8 departamentos
autorizados para realizar
31/03/2015 la auditora.
Existe una bodega donde
almacenan recursos
informaticos caducos y
31/03/2015 vigentes.
Existen pero no estan
31/03/2015 vigentes.
Los cables estan
31/03/2015 resguardados.
No existe planes para la
seguridad de los sistemas
informaticos y otros
31/03/2015 equipos
01/04/2015 14 Equipos evaluados
Existen riesgos que
pueden daar los equipos
01/04/2015 de la empres
La mayora de equipos
estan sucios y con mucho
01/04/2015 polvo.
Todos los equipos
01/04/2015 cuentan con ups

PT-I-D1-1

01/04/2015 No hay seguros.

Las puertas de acceso
estan en su mayora en
01/04/2015 correcto estado.
La mayora de usurios
indica la necesidad de un
01/04/2015 plan de seguridad

PT-DIR-1

31/03/2015

PT-DIR-1

No hay planes de
31/03/2015 seguridad.

PT-DIR-1

El edificio tien buen

ambiente informatico, hay
31/03/2015 equipos que no funcionan

PT-I-D1-1

31/03/2015

PT-I-D1-1

01/04/2015

PT-I-D1-1

La mayora de equipos
funcionan y tiene
01/04/2015 windows XP

PT-I-D1-1

PT-I-D1-1
PT-I-D1-1
PT-I-D1-1
PT-I-D1-1

01/04/2015
01/04/2015 Los equipos existen
01/04/2015 No todos funcionan
Se tomaron fotos de
01/04/2015 todos los equipos.

64

Papeles de trabajo

I-D1-1
Empresa: GRUPO ESMERALDA LOS KUATRO, S.A.
Perodo: al 01-04-2015
Cdula
Descriptivas

Preparado
Revisado

Por
GO

Fecha
01-04-15

EQUIPOS Y SISTEMAS DE INFORMACION

FECHA
01/04/2015
AREA/DEPTO.
MERCADEO Y VENTAS No. 1

EQUIPO PROPIO
FECHA DE ADQUISICIN
EQUIPO EN LEASING
TIEMPO DE GARANTA

No.
1
2
3
4
5
6

COMPONENTE
CPU
MONITOR
TECLADO
MOUSE
UPS
BOCINAS

No.
1
2
3

COMPONENTE
DISCO DURO
MEMORIA RAM
PROCESADOR

EMPRESA

TIPO DE AUDITORIA

CORPORACION RADIAL DEL NORTE, S.A.

FISICA
PERSONA RESPONSABLE DEL EQUIPO
FRANCISCA MEJIA / LUIS DURINI / MARVIN ALEXANDER/LUIS BAUTISTA

SI

EQUIPO DE CMPUTO
SISTEMA OPERATIVO
NOMBRE DEL EQUIPO
USUARIO
No. DE USUARIOS

WINDOWS XP
Winxp-f6db06c4b
Usuario
5

CARACTERSTICAS DEL HARDWARE

CANTIDAD
MARCA
1
1
DELL
1
BENQ
1
OMEGA
1
FORZA
2
CAP
OTRAS CARACTERSTICAS
CAPACIDAD Y/O VELOCIDAD
DESCRIPCIN (MARCA Y SERIE)
106 GB
Serie wdc wd1200LB-ooEDA0
1.49 GB
2.10 GHZ
INTEL PENTIUM 4

CONCLUSIONES:
El equipo de computo an maneja el sistema operativo Windows XP (esta desactualizado), el cableado no estra resguardado
ante cualquier peligro que pudiera surgir por derramamiento de liquidos, accidentes al momento de hacer la limpieza del
departamento. La cantidad de almacenamiento de Disco Duro y memoria RAM es muy reducida por lo que no se garantiza
el funcionamiento de otros programa que no sean compatibles con la version de windows XP.
Es necesario colocar los cables en poliductos y otros medios protectores para la salvaguarda del activo informatico, por el
tipo de windows la computadora es muy lenta por lo que se recomienda planificar el cambio de equipo.

65

Carta de opinin
Carta de opinin de auditoria

Seor
Ral Alberto Njera Ponce
Director General
Corporacin Radial del Norte, S.A.
Cobn, Alta Verapaz

He auditado los sistemas informticos de las reas de Mercadeo y Ventas, Contabilidad,

Estudio de Grabacin, Servicio Tcnico, Seguridad, Trafico y Pauta, Cabina Hits y
Cabina Radio Norte de la empresa Corporacin Radial del Norte S.A. (CORANORSA).

Responsabilidad de la Administracin
La administracin es responsable de las polticas y normas de seguridad fsica de los
sistemas de cmputo y del personal que se implementen en los departamentos y reas
que posea la empresa. Los hechos presentes en las reas, son responsabilidad de
quienes hacen uso del servicio de sistemas de cmputo.
Responsabilidad del Auditor
Mi responsabilidad es expresar una opinin sobre la seguridad fsica en que se
encuentran los sistemas de cmputo y otros equipos que posea la empresa. Con el
objetivo de disminuir aspectos que pudieran afectar las operaciones que se realizan a
travs del equipo de cmputo, de esta manera contribuir al mejoramiento del control
interno que posee la empresa.

No existen normas formales expresas relacionadas directamente con la auditora

informtica por lo que ha sido preciso adoptar Normas generales para la ejecucin de
del trabajo de auditora. Estas normas requieren planear y efectuar el proceso de
auditora para obtener seguridad razonable con el propsito de informar si los hechos a
revisar presentan riesgos significativos. Sin embargo hago la aclaracin que ningn
sistema de control interno puede lograr eliminar totalmente el riesgo de que ocurra

66
alguna irregularidad y no sea detectada oportunamente. Es importante mencionar que
esta auditora, se realiz a travs de la aplicacin de procedimientos y tcnicas para
evaluar especficamente la funcionalidad y seguridad fsica de los sistemas informticos
y otros equipos.
Base para opinin con salvedades
Las consideraciones siguientes son significativas

para expresar una opinin:

desactualizacin del sistema operativo de los sistemas informticos, cableado de

equipos de cmputo desprotegido, mobiliario con desperfectos, equipos de cmputo
que ya no funcionan,

la existencia de gran cantidad de polvo en los activos

informticos, existencia de recipientes con liquido muy prximos a los equipos de

cmputo.

Opinin con salvedad

En mi opinin, excepto por los efectos de los asuntos descritos en el prrafo base para
opinin con salvedades, los sistemas informticos y otros equipos presentan un grado
razonable de seguridad fsica

para que estos sigan funcionando correctamente.

Bayron Alexander Pop

Cucul
Auditor

Cobn, A.V. Abril 02 de 2015

67

Memorndum de hallazgos y recomendaciones

Seor:
Ral Alberto Njera Ponce
Director General
Corporacin Radial del Norte, S.A.
Cobn, Alta Verapaz

He auditado la seguridad fsica de los sistemas informticos y otros activos que posee la
empresa que representa.

Aclaro que el objetivo de esta revisin ha sido expresar una opinin sobre los controles
y polticas de seguridad fsica de equipos informticos que tiene la empresa, los
procedimientos de evaluacin practicados no han sido extensos. Por lo anterior las
observaciones no incluyen necesariamente todas aquellas posibles sugerencias que se
podran poner de manifiesto por medio de un estudio especial sobre la materia.

En el estudio y evaluacin efectuado con el propsito antes descrito, notamos ciertos

aspectos sobre el funcionamiento del control de la seguridad fsica, que consideramos
deben ser incluidos en este informe, tanto para cumplir con normas de auditora
generalmente aceptadas, como para aportar a la administracin elementos que pueden
contribuir a la empresa a mejorarla seguridad fsica de los sistemas informticos y del
personal, la calidad de la informacin y a optimizar la eficiencia administrativa.

Es importante hacer presente que ningn sistema de control interno puede lograr
eliminar totalmente el riesgo de que errores o irregularidades ocurran y no sean
detectados oportunamente.
Los aspectos que a mi juicio profesional son significativos en el control interno se
incluyen en el cuerpo del presente informe, los cuales a continuacin se describen:

68
Hallazgos y recomendaciones
HALLAZGO No. 01:
Equipo de cmputo con sistema operativo desactualizado.
Condicin:
Actualmente el Windows que se utiliza ya no tiene actualizaciones porque el proveedor
dejo de comercializarlas desde octubre de 2014.
Criterio:
El sistema operativo de un equipo de cmputo es la base en la que funcionan todas las
aplicaciones y programas, en ello radica que su actualizacin sea de importancia.
Causa:
Desinters por parte de la direccin y gerencia en actualizar los equipos ya que no le
prestan la importancia debida a esta situacin.
Efecto:
Problemas de incompatibilidad e infecciones de virus altamente peligrosos que el
sistema desactualizado no pueda combatir.
Recomendacin:
Realizar la actualizacin del sistema operativo de los equipos que presentan
desactualizacin para mejorar el rendimiento de los mismos.

HALLAZGO No. 02:

El cableado de los equipos de cmputo no est resguardado.

Condicin:
Los cables de las computadoras no estn en canaletas, estn en desorden y hay reas
en las que se encuentran muy cerca de las sillas de los usuarios, estn expuestos a
cualquier peligro.

69
Criterio:
El cableado de los equipos de cmputo es esencial para que los equipos

y sus

accesorios puedan funcionar correctamente.

Causa:
La direccin y los usuarios de los equipos de cmputo no toman en cuenta la seguridad
de los cables de las computadoras al momento de instalar los equipos.
Efecto:
Daos a los cables y conexiones de entrada y salida de las computadoras, accidentes
de los usuarios al tener muy prximos los cables, problemas de conexin a redes y
corriente elctrica, desconexiones accidentales que daen la funcionalidad del equipo
de cmputo.

Recomendacin:
Implementar canaletas para los cables de las computadoras para su resguardo, se debe
tener en cuenta la seguridad del cableado y su distribucin al instalar un equipo de
cmputo.

HALLAZGO No. 03:

El Mobiliario que soporta los equipos de cmputo no proporciona seguridad.
Condicin:
En el departamento de ventas existe mobiliario que cuenta con rodillos que muestran
desperfectos e inclinan el mobiliario y al mismo tiempo al equipo de cmputo.
Criterio:
El mobiliario donde se coloca el equipo de cmputo es esencial para su adaptabilidad y
seguridad as como de su correcto funcionamiento.
Causa:
No hay programado revisiones a los muebles que soportan los equipos informticos.

70
Efecto:
Riesgo de que los equipos de cmputo sufran cada accidentas que daen su estructura
interna y externa, as como daos a los cables de conexin.
Recomendacin:
Realizar la reparacin del mobiliario que soporta el equipo de cmputo, adems de ello
se sugiere establecer un programa de revisin de la estructura fsica de los muebles
que soportan todos los equipos de cmputo para prevenir accidentes y daos a los
equipos.

HALLAZGO No. 4:
Equipo de cmputo sin funcionamiento y mantenimiento.
Condicin:
Actualmente en el departamento de ventas y departamento tcnico existen
computadoras que no funcionan desde hace un mes aproximadamente.

Criterio:
El desarrollo de las actividades que requieren de equipo informtico es eficiente cuando
dicho equipo funciona. El mantenimiento a los equipos es esencial para que funcionen y
no sufran daos.
Causa:
No existe planificacin sobre reparacin y mantenimiento de equipos de cmputo. La
direccin y Gerencia no tienen claro la utilidad de que todos los equipos funcionen.
Efecto:
Retrasos en las actividades de ventas y del servicio tcnico de equipos de transmisin.
Prdida de informacin que los equipos que no funcionan poseen

71
Recomendacin:
Programar la reparacin de los equipos de cmputo, de la misma manera tener una
planificacin sobre reparacin y mantenimiento que indique procedimientos a seguir en
caso de que una maquina no funcione.

HALLAZGO No. 05:

Exceso de polvo en los equipos de cmputo.
Condicin:
Existe presencia de polvo en varios equipos de los departamentos de la empresa,
principalmente en rea de seguridad en donde se observa gruesas capas de polvo
sobre los equipos informticos y plantas de telfono.
Criterio:
Gran parte de los problemas que se presentan en los equipos de cmputo se pueden
evitar o prevenir si se lleva a cabo un mantenimiento preventivo peridico de sus
componentes. El polvo y suciedad en los conductos de ventilacin y ventiladores
bloquean la circulacin normal del aire en el interior del equipo, hasta la capa de polvo
ms delgada puede elevar la temperatura de los componentes del equipo.

Causa:
La parte superior de las paredes estn abiertas por lo que hay facilidad de ingreso de
polvo. El rea de seguridad no es objeto de limpieza por parte del conserje, sino hasta
que el director general se lo indica.
Efecto:
El polvo puede conducir electricidad por esto puede ocasionar corto circuitos y fallas en
los componentes, el polvo entra en los ventiladores y los hace ms ruidosos. Puede
llegar el momento en que sea insoportable el ruido y se deban limpiar y lubricar o
cambiar definitivamente. El exceso de polvo produce recalentamiento del procesador.
Los puertos USB son afectados por el exceso de polvo dando errores de lectura o no
detectan los dispositivos.

72
Recomendacin:
Realizar mantenimiento de los equipos enfatizndose en la limpieza interna y externa
del polvo existente. Utilizar ventiladores para que esparzan el polvo e impida que se
adhiera al equipo de cmputo.

HALLAZGO No. 06:

Existencia de recipientes con lquidos prximos a los equipos informticos.
Condicin:
Actualmente en el departamento de contabilidad el usuario ingresa recipientes con
contenido lquido sobre el escritorio donde se encuentra el equipo y deja vasos de
plstico sobre el ups de la computadora. En cabina de radio norte existen varios vasos
que se encuentra a la par del CPU de la computadora.

Criterio:
En la prevencin de accidentes informticos se hace nfasis en los lquidos que el
personal ingresa a su centro de trabajo. El ndice de accidentes en oficinas disminuye
cuando los trabajadores estn informados sobre los riesgos potenciales y las prcticas
de trabajo seguras.

Causa:
Desconocimiento del personal sobre normas de seguridad en una oficina con ambiente
informtico
.
Efecto:
Cortos circuitos provocados por lquidos derramados en el equipo de cmputo. Fallas en
el equipo de cmputo que pueden generar su descompostura total.

Recomendacin:
Establecer normas al personal sobre el ingreso de alimentos a las oficinas, adiestrar al
personal sobre los riesgos que se corren al ingresar lquidos a las oficinas de cmputo.

73

CASO PRCTICO, AUDITORA FORENSE

Informe de auditora forense
Antecedentes:

El seor Antonio Reyes Martnez ha sido vinculado al proceso penal N 666, y se

comprueba que es socio de la compaa DENITEX SA cuya contabilidad est en poder
de los auditores ARPERO & ASOCIADOS quienes evalan la siguiente informacin
financiera y no financiera en la bsqueda de pruebas por operaciones ilcitas.
La Compaa DENITEX SA.; dedicada a la comercializacin de telas, siendo su
mercado objetivo las empresas pblicas que convocan licitaciones pblicas, fue
constituida en enero del 2010, cuya representante legal es el Seor Reyes Martnez
SOCIOS
Antonio Reyes Martnez
Carola Reyes Martnez
Pedro Gutirrez Torres

APORTE
Q.50,000.00
Q. 50,000.00
Q. 20,000.00

DOCUMENTO IDENTIDAD
1502 09210 1554
1002 08621 4401
1121 01454 4241

Datos:
RUC: 20503271754
Direccin: 8 Avenida y 5 Calle Zona 3, Guatemala, local donde se encuentran ubicadas
las oficinas administrativas

74
Operaciones realizadas en periodo a investigar:
1. Socio Antonio Reyes Martnez aporta en efectivo (segn recibo de
caja N 001)
2. Socio Carola Reyes Martnez aporta en vehculo (segn contrato
1012)
3. Compra de mercadera por
Pago de efectivo segn comprobante de egreso 001
Q.25,000.00
y a crdito el saldo segn letra 2025
Q.25,000.00
4. Compra muebles y enseres por
Paga en efectivo segn comprobante de egreso 002
Q.20,000.00
5. Vende mercadera con utilidad de S/.30,000.00, le pagan el 50% en
efectivo y el 50 % restante a crdito (factura venta 001)
Recibe en efectivo (segn recibo 002 )
Q.18,000.00
Le firman documento (letra 001) por
Q.40,000.00
6. Paga sueldo a empleados, paga en efectivo segn comprobante de
egreso 003
7. Utiliza servicios de publicidad quedando pendiente segn letra
15210
8. El socio Pedro Gutirrez, aporta en efectivo 003
9. Compra edificio segn escritura pblica 252056AC
Obtiene crdito hipotecario segn pagare 8894 Banco de Crdito
Detalle :
Se evala el terreno en
Q.500,000.00
El avalu de lo construido
Q.1,500,000.00

Q.50,000.00
Q.50,000.00
Q.50,000.00

Q.20,000.00
Q.58,000.00

Q.25,000.00

Q.1,500.00
Q.20,000.00
Q.2,000,000.00

75
DENITEX SAC
PROGRAMA DE LA AUDITORIA FORENSE
PERIODO: DEL 01.ENE.2004 AL 31.DIC.2004
PROCEDIMIENTO DE AUDITORIA
1) Obtener copia literal de Registros Publicos, de Denitex
S.AC con una vigencia no mayor a 30 dias y verificar: razon
social, objeto social, fecha de constitucion, vigencia,
direccion principal. Nombre de representante legal.capital
inicial, capital actu
2).Obtener la escritura de constitucion y las modificaciones
realizadas y verificar los cambios importantes en la
trayectoria del negocio.
3) Obtener los ultimos balances a fecha de corte 31 de
diciembre , asimismo verificar que esten firmados por el
contador y el representante legal, asimismo confirmar si
estan autorizados.
4) Obtener el estado de perdidas y ganancias anterior al
periodo de investigacion , asimismo verificar que esten
firmados por el contador y el representante legal, asimismo
confirmar si estan autorizados.
5) Elaborar un estado de flujo de efectivo, asi como un
cuadro de activos fijo de la compaa.
6) Obtener las facturas de ventas de Denitex SAC del periodo
de investigacion, verificar su orden correlativo, el detalle de
cada uno (productos).
7) Obtener las facturas de compras de Denitex SAC del
periodo de investigacion, verificar su orden correlativo, el
detalle de cada uno (productos).
8) Identificar los principales clientes y proveedores de la
organizacin, realizar cruce de comprobantes de pago
(montos, fechas y detalle de productos)
9) Verificar el el correcto registro de los recibos de caja
producto de las transacciones realizadas
10) Verificar los contratos suscritos por la empresa, asi como
su verificacion si estan inscritos en Registros Publicos (si son
obligatorios)
11) Corroborrar la tasacion en la compra de inmuebles, asi
como la habilitacion del tasador.
12) Revisar la nomima de empleados de la empresa, las
boletas de pago y el grado de parentesco de los mismos.
13) .Revisar y evaluar la solidez y/o debilidades del sistema
de A31Control Interno y con base en dicha evaluacin

REF HECH FECHA TIEMPO

P/T
POR TERMINO DAS

RRC

16.01.05

1 DIA

RRC

18.01.05

2 DIAS

EPO

20.01.05

2 DIAS

EPO

20.01.05

2 DIAS

EPO

24.01.05

4 DIAS

GAS

27.01.05

3 DIAS

GAS

27.01.05

3 DIAS

GAS

29.01.05

4 DIAS

EPO

27.01.05

3 DIAS

EPO

01.02.05

4 DIAS

GAS

30.01.05

3 DIAS

GAS

03.02.05

3 DIAS

RRC

29.01.05

7 DIAS

76
AUDITORIA FORENSE
INFORME DE AUDITORIA

I.

INTRODUCCIN

1. Origen del examen

La presente Auditoria Forense ha sido realizada por Arpero & Asociados, en
cumplimiento del requerimiento judicial del Juzgado de Paz de Guatemala, segn
expediente N 666 del 02-01-2014, habindose iniciado el 15 de Enero de 2014 y
culminndose el 1 de marzo 2014. Nuestro trabajo abarco el periodo cubierto desde el
01 de Enero al 31 de Diciembre de 2013.
La Comisin de Auditoria est conformada por:
Nombre y Apellido
Jos Llontop Vite
Carlos Llontop Palomino
Gina Arata Chvez
Elizabeth Prez Ochoa
Ral Rojas Coronado

Cargo
Auditor Supervisor
Auditor Encargado
Auditor Integrante
Auditor Integrante
Auditor Integrante

1. Actividades de la Organizacin
Compaa Denitex SA., es una empresa que se dedica a la compra y venta de telas,
siendo su mercado objetivo empresas del sector pblico, quienes convocan
licitaciones para la adquisicin de insumos
2. Objetivos del Examen
General
Encontrar y demostrar actos ilcitos que sirvan de pruebas en un proceso
judicial contra las persona so instituciones que practican dichas actividades.
Especficos:
Determinar que las transacciones comerciales cumplan con los requisitos
establecidos por los rganos competentes
Verificar el origen de los aportes de los socios
Determinar la existencia jurdica de clientes y proveedores.
Determinar que el movimiento de inventario sea real
3. Alcance del examen
La Auditoria Forense correspondiente al requerimiento del Juzgado de Guatemala.
El perodo examinado abarc desde el 01 de Enero al 31 de Diciembre de 2013.
Comprende la evaluacin de las transacciones comerciales efectuadas por la
empresa Denitex SA.

77
4. Metodologa y Tipo del Examen
El presente Examen es una Auditoria Forense que es la investigacin de hechos
para obtener pruebas para demostrar actividades ilcitas dentro de una organizacin
5. Nmina de Funcionarios
Se aclara que dichos funcionarios laboraron en todo el periodo 2013.
NOMBRES Y APELLIDOS

1
2
3
4
5
6

Reyes Martinez, Antonio

Checco Villareal, Frank
Reyes Vargas, Liset
Alvarez Davila, Lucia
Matinez Loayza, Pedro
Koo Gallo, Wilfredo

CARGO

Gerente General
Jefe de Ventas
Jefe de Contabilidad y Finanzas
Jefe de almacn
Auxiliar Contabilidad
Auxilliar Administrativo

6. Comunicacin de hallazgos
El presente Informe se emite despus de haber comunicado los respectivos
Hallazgos de Auditora a los funcionarios involucrados, los mismos que luego de
haber recibido sus comentarios y/o aclaraciones, fueron materia de evaluacin por
parte de la presente Comisin de Auditoria.

78
II.

OBSERVACIONES

Como producto de la labor de auditoria desarrollada, se determinaron las siguientes

observaciones:
1. Se verific que para lograr la adjudicacin de la licitacin, se realiz una entrega
de dinero a un miembro del Comit Especial.
Durante la revisin de la documentacin correspondiente a la Licitacin 001-2014, la
cual fue convocada por el Ministerio de Gobernacin y que fue adjudicada a Denitex
SAC (item 10) por la suma de Q. 110 000.00 en el mes de septiembre, se verifico que la
empresa no cumpla con todos los requisitos tcnicos exigidos en la licitacin, para ello
se realiz una verificacin detallada con expertos de la materia, El Sr Wilfredo Koo Gallo
encargado de la elaboracin de la propuesta presento su manifestacin por escrito
donde indica que ellos lograron la adjudicacin debido a contactos del Gerente con uno
de los miembros del Comit. Asimismo, se pudo acceder a pruebas fotogrficas
proporcionadas por una de las empresas perjudicadas en este proceso. En dichas
pruebas se puede ver la entrega de dinero de parte de Antonio Reyes a la Srta. Maria
Hernndez en el Hotel Marriot.
Como podemos observar en este contraviniendo las polticas internas y la ley de
contrataciones del Estado, no fueron cumplidas de acuerdo a los procesos realizados.
Esta situacin se debi a que el Sr Wilfredo Koo Gallo encargado de la elaboracin de
la propuesta cometi un error al no cumplir con el Punto N 1 de la propuesta tcnica:
ndice de los documentos que contiene el sobre numerado en forma correlativa (foliado
a partir del NO 01), en este caso el Sr Wilfredo Koo Gallo no presento la foliacion del
documento 1, lo que se tradujo en falta de requisitos tcnicos exigidos en la licitacin,
por lo tanto el Gerente General arregl el problema cometiendo un acto ilcito al
entregar dinero en efectivo a uno de los miembros del comit la Srta. Maria Hernndez.
Esta situacin anmala fomenta la corrupcin de funcionarios, asimismo origina el uso
de malas practicas comerciales.

2. El socio Pedro Gutirrez no presenta capacidad econmica que

aporte de capital

sustente su

Durante la revisin de los documentos referentes a la constitucin de la empresa

Denitex SAC, se confirm los aportes efectuados por los socios y se efecto una
constatacin de la capacidad econmica.
El Sr. Gutirrez manifest que su participacin fue debido a una solicitud personal por
parte del Sr. Carlos Reyes Martnez, hermano de uno de los socios, Adems indica que
lo conoci cuando laboraba en el Colegio Militar Francisco Bolognesi y donde
desempeo el cargo de chofer. El seor Carlos Reyes se desempea en la actualidad
como Director en dicho colegio
Con esto se trata ocultar la relacin consangunea entre un funcionario pblico y una
parte interesada en participar en licitaciones, esto se hace porque seria un impedimento
establecido por la Ley de Contrataciones y Adquisiciones del Estado.

79
3. Existen salidas de mercadera que no cuenta con documento que lo respalde
Durante la revisin del kardex de la empresa Denitex SA. se hall la existencia de
salida de tela Denim Stretch durante los das 03, 19 y 30 de junio del 2013 que hacen
un total 1721.25 mt cuyo valor asciende a Q.5508.00, siendo entregadas a la empresa
JARA EIRL.
Se convers con el encargado de Almacn Sra Luca lvarez, el cual confirmo la salida
de la mercadera con Notas de Salida correspondiente, indicando adems que no es
responsable por la emisin de su respectivo comprobante de pago. Por su parte el
auxiliar contable, encargado de facturacin, indico que la salida de dicha mercadera fue
autorizada directamente por el Gerente General.
Esta operacin se realiz con la finalidad de evadir el impuesto respectivo. Adems al
no estar reflejados estos ingresos en la contabilidad de la empresa, el Gerente General
le dio uso personal a estos ingresos.
4. Emisin de factura por un importe de Q.18,000.00 por venta no realizada al cliente
SEINTESA
Durante la revisin del registro de venta de Denitex SA. se descubri la existencia de la
factura 001-00139 con fecha 30 de junio emitida al cliente SEINTESA por un monto
mayor a las compras normales de este cliente, asimismo se encontr el original y todas
las copias, al preguntrsele al contador, este no pudo explicar el motivo de esta
anomala. Motivo por el cual se circulariz con el registro de compras del cliente y se
descubri que este no tena registrada la factura as como no haba una orden de
compra para el mismo.
Esta situacin se origina debido a que se busca justificar la entrada de efectivo por
Q.18,000, para encubrir ingresos provenientes de actividades ilcitas, como es en este
caso lavado de dinero.
La situacin encontrada provoc que se encubra la entrada ilegal de efectivo,
proveniente del lavado de dinero.

80
III.

CONCLUSIONES

Como producto de otros aspectos de importancia y las observaciones sealadas en el

captulo anterior, se arribaron a las siguientes conclusiones:
1. El Sr Antonio Reyes comete notoriamente un acto de corrupcin al sobornar al
miembro del Comit de licitacin que est sujeto a una sancin penal, esto
tambin ocasiona un deterioro de la credibilidad de la empresa al verse inmerso
en este hecho. (Observacin N 1)
2. En la constitucin de la empresa se demuestra que el Sr. Pedro Gutierrez , sirvi
como testaferro para encubrir el origen del dinero, para que de sta manera la
empresa no se ve limitada en participar en licitaciones pblicas. (Observacin N
2).
3. La empresa realiza ventas sin sustento, por un valor de Q.5,508.00, esto se
demuestra al verificar los movimientos de salida de kardex. La finalidad de este
acto ilcito es no asumir los impuestos correspondientes, lo que constituye una
evasin de impuesto. (Observacin N 3)
4. Existe una factura emitida por un monto de Q.18,000.00 por una venta no
realizada con el fin de encubrir el ingreso de efectivo que tiene un origen ilcito.
(Observacin N 4).

81
IV.

RECOMENDACIONES

Al Presidente del Juzgado de Paz de Guatemala, disponga:

1. Se recomienda lo siguiente
Establecer las sanciones correspondientes contra el Sr. Antonio Reyes Martnez
debido al acto ilcito cometido de acuerdo a las leyes penales aplicables.
Asimismo se recomienda iniciar la investigacin a uno de los miembros del
comit la Srta. Mara Hernndez, por estar en complicidad con el Sr. Antonio
Reyes Martnez. (Conclusin N 1).
2. Se recomienda lo siguiente
Iniciar una investigacin contra el Seor Carlos Reyes Martnez para establecer
el origen de sus ingresos as como al Seor Pedro Gutirrez, testaferro del Sr.
Reyes. (Conclusin N 2)
3. Se recomienda lo siguiente
Establecer las sanciones correspondientes contra la empresa Denitex SA.
debido al acto ilcito cometido. (Conclusin N 3).
4. Se recomienda lo siguiente
Establecer las sanciones correspondientes contra la empresa Denitex SA.
debido al acto ilcito cometido. (Conclusin N 4).

Guatemala, 15 de Marzo de 2014

Jose Llontop Vite

Supervisor

Carlos Llontop Palomino

Auditor Encargado

82

CONCLUSIONES
La mayora de empresas del siglo XXI, estn adoptando sistemas y tecnologas de
informacin para realizar sus operaciones de una manera ms eficiente, este tipo de
tecnologa que adquieren las empresas representan una fuerte inversin que hay que
cuidar de la mejor manera, para ello existe la auditoria en informtica la cual busca
prevenir, identificar y gestionar de la mejor manera los riesgos que pudieran existir.
Para que una auditoria en informtica se realice de una manera exitosa, esta debe
ser realizada por un profesional con un alto grado de conocimiento en informtica y
suficiente en el rea. El auditor debe de implementar un control interno informtico que
controle las actividades de los sistemas de informacin, estndares y normas
pertinentes dentro de la entidad.
Las etapas a desarrollar en una autora en informtica son planeacin la cual debe
realizarse cuidadosamente y objetivamente la cual se realiza en tres procesos que son:
conocimiento general de la entidad, alcance de la auditoria y definicin del programa de
auditoria.
Luego se encuentra la ejecucin en donde se aplican herramientas que permiten
evaluar el riesgo computacional y as obtener evidencias suficientes, pertinentes y
competentes.
Por ltimo se encuentra la finalizacin, donde se redacta el informe de auditora, que
contiene el resumen de la gestin y el informe detallado de auditoria el cual debe ser
coherente, de calidad, confiable y veraz.

83
De acuerdo a la necesidad de la empresa la auditoria se puede aplicar de la
siguiente manera: fsica, ofimtica, de la direccin, de la explotacin, del desarrollo, de
mantenimiento, de sistemas, calidad, etc.
Las empresas se ven expuestas a diferentes riesgos, tales como fraudes,
corrupcin, incumplimiento de funciones, etc., actividades ilcitas que perjudican
grandemente. Por ello es necesario contar con los conocimientos necesarios (amplia
experiencia contable, conocimiento en procesos penales, entre otros) para poder aplicar
un examen especializado que permita descubrir y prevenir dichas actividades.
Este examen especializado es la auditoria forense la cual tiene como objetivo
primordial cuidar los valores de la empresa, as mismo detectar todos los riesgos
posibles y darles el tratamiento que mejor corresponda. Para que un auditor realice este
tipo de auditoria debe contar con habilidades de detective, criminologa, ya que la
evidencia obtenida servir como herramienta ante un juez, el cual impartir justicia.
Los principales usuarios de la auditoria forense son las entidades de carcter
gubernamental, privado, entidades financieras entre otras. Entre los principales de
aplicacin de esta auditoria se encuentran: demandas de seguros, prdidas financieras,
incumplimiento de contratos.
Esta auditoria se clasifica en preventiva y detectiva, ya que la primera es de carcter
proactivo y busca detectar y reaccionar de manera anticipada, mientras que la segunda
busca descubrir la existencia y responsables de dichas actividades ilcitas.

84

BIBLIOGRAFA