Академический Документы
Профессиональный Документы
Культура Документы
TEMA:
AUDITORIA INFORMTICA
AUDITORA FORENSE
INTEGRANTES:
JAYRO NERY CALEL SIS
201143896
201143905
201143897
201143996
201040614
NDICE
INTRODUCCIN ..................................................................................................................... I
OBJETIVOS ............................................................................................................................III
CAPITULO I ............................................................................................................................1
AUDITORIA INFORMATICA .....................................................................................................1
1.1.
CONCEPTO ........................................................................................................................................1
1.2.
1.3.
1.4.
1.5.
1.6.
1.6.1.
Planeacin .............................................................................................................................6
1.6.2.
Ejecucin .............................................................................................................................13
1.6.3.
Finalizacin..........................................................................................................................18
1.7.
1.7.1.
1.7.2.
1.7.3.
1.7.4.
1.7.5.
1.7.6.
1.7.7.
1.7.8.
1.7.9.
1.7.10.
1.7.11.
1.7.12.
1.7.13.
CAPTULO II ......................................................................................................................... 41
AUDITORA FORENSE ........................................................................................................... 41
2.1.
DEFINICIN .....................................................................................................................................41
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.7.1.
2.7.2.
2.7.3.
2.7.4.
2.8.
2.9.
IMPORTANCIA ..................................................................................................................................53
2.10.
CLASIFICACIN DE ACTUACIN.............................................................................................................55
2.10.1.
Preventiva ...........................................................................................................................55
2.10.2.
Detectiva .............................................................................................................................55
2.11.
2.11.1.
Planificacin ........................................................................................................................56
2.11.2.
2.11.3.
2.11.4.
2.11.5.
ANEXOS ............................................................................................................................... 60
CASO PRCTICO, AUDITORA INFORMTICA ......................................................................... 60
CASO PRCTICO, AUDITORA FORENSE ................................................................................. 73
CONCLUSIONES.................................................................................................................... 82
BIBLIOGRAFA ...................................................................................................................... 84
INTRODUCCIN
Los sistemas de informacin de las empresas cada vez son ms dependientes de la
informtica, sistemas de cmputo y tecnologas de informacin, lo que hace necesario
verificar su correcto funcionamiento y eficiencia, para evitar cualquier riesgo de fraude o
prdida de informacin con ayuda de los computadores. Es as como, la auditoria
informtica cobra una real importancia para las empresas, ms aun teniendo en cuenta
que la informacin se ha convertido en uno de los activos principales, y que las
inversiones en sistemas de informacin son cada vez ms grandes.
Sin embargo hoy en da todava existen empresas que no asimilan las nuevas
tecnologas, manejan aplicaciones obsoletas, no planifican los sistemas de informacin,
e incluso llevan a cabo procesos manuales difciles y costosos. Esto no solo causa
prdidas a las entidades sino que representa riesgos en el manejo de la informacin. La
auditora informtica aqu juega un papel primordial, porque aporta soluciones tanto en
el reconocimiento de fallas o indicios de un mal procedimiento, que pueda tener
consecuencias negativas para la empresa, como una forma de mejorar los procesos en
el mbito de la informtica aportando al funcionamiento general de la empresa y a la
reduccin de costos.
Toda empresa cuenta con un sistema de control interno, que protege los valores de la
misma, sin embargo es importante mencionar que el riesgo inherente a una actividad
ilcita (corrupcin, fraudes y sobornos en el desarrollo de funciones) no desaparece
debido a diferentes circunstancias. Es por ello que este tipo ilcitos se debe de tratar de
una manera diferente y especializada, esto a travs de una auditoria forense, la cual se
busca descubrir y divulgar estos delitos de una manera penal ante un juez competente.
II
El auditor que realice este tipo de auditoria, debe contar con una amplia experiencia
contable, habilidades de detective y conocimiento sobre leyes de carcter penal, ya que
la evidencia recaba servir como pruebas contundentes delante de un juez competente.
Dependiendo el enfoque que se le d a este tipo de auditoria esta puede clasificarse: en
preventiva, detectiva. Es importante mencionar que al momento de planificar este tipo
de auditoria debe tomarse el tiempo necesario, evitando de esta manera la exageracin
e improvisacin de la misma.
III
OBJETIVOS
Conocer la importancia de una auditoria en informtica y forense.
Identificar los principales objetivos de la auditoria informtica y forense.
Conocer las habilidades y conocimientos que se debe tener para realizar una
auditoria informtica y forense.
Conocer los diferentes tipos de auditoria en informtica y forense existentes.
CAPITULO I
AUDITORIA INFORMATICA
1.1. Concepto
La auditora informtica es un proceso llevado a cabo por profesionales
especialmente capacitados, que consiste en recoger, agrupar y evaluar evidencias
para determinar si un sistema de informacin salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organizacin, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. Adems, la auditoria permite detectar de forma
sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determinar qu informacin es crtica para el cumplimiento de su
misin y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de informacin eficientes.
El desarrollo de una auditoria informtica es importante debido a que permite
identificar fortalezas, debilidades y riesgos en la gestin de proyectos,
funcionalidad de los sistemas de informacin, configuracin de la plataforma
informtica, calidad en los servicios prestados, y dems aspectos incluidos en el
mbito del uso y aplicacin de las Tics en la entidad. A partir de esta informacin,
el auditor puede brindar recomendaciones y propuestas para el mejoramiento de
los procesos de la entidad, dando as soluciones integrales y un apoyo para el
logro de los objetivos establecidos en la entidad.
2
La auditora informtica se puede desarrollar de dos maneras, por medio de
una auditoria interna, aquella que se hace dentro de la empresa por un auditor
interno; y auditoria externa, como su nombre lo indica es aquella en la cual la
empresa contrata a personas de afuera para que haga la auditoria en su empresa.
Asimismo, la auditoria informtica se desarrolla en tres etapas, que aseguran su
eficacia y eficiencia, planeacin, ejecucin e informacin. Estas etapas se llevan a
cabo consecutivamente, y permiten una retroalimentacin constante durante el
desarrollo de la auditoria, garantizando as su calidad y pertinencia.
Ante estas situaciones, y los rpidos cambios en el mundo, los directivos
deben tomar decisiones para revaluar y restructurar sus sistemas de informacin y
controles internos, asegurando la integridad de la informacin.
El auditor durante el desarrollo de la auditoria adquiere responsabilidades,
tanto en el ejercicio de la auditoria como en la planeacin y ejecucin de la misma.
Estas responsabilidades estn contempladas en los diferentes aspectos de la
auditoria informtica, que permiten establecer el mbito de actuacin del auditor.
Los aspectos funcionales se enfocan a la adecuacin de los sistemas en funcin
de las necesidades reales y la evaluacin del rendimiento y fiabilidad de los
mismos. Los aspectos econmicos relacionados con la informtica le permitirn al
auditor conocer sobre los presupuestos del servicio informtico o los costos del
desarrollo de un plan de sistemas. Los aspectos tcnicos envuelven los equipos,
perifricos, procedimientos de captura de datos, redes, comunicaciones, entre
otros. Los aspectos de direccin, contemplan las indicaciones hacia los planes
informticos, en cuanto a su adecuacin y seguimiento. Finalmente, los aspectos
de seguridad se relacionan a la confidencialidad de los datos, seguridad de
3
acceso, proteccin de las instalaciones, y dems factores que garanticen la
seguridad de los sistemas informticos.
Evaluacin administrativa
del rea informtica
Evaluacin de los
sistemas y
procedimientos, y de la
eficacia que se tiene en el
uso de la informacin.
Evaluacin de la
eficiencia y eficacia con la
que se trabaja.
ELEMENTOS
Objetivos del departamento, direccin o gerencia.
Metas, planes, polticas y procedimientos de procesos
electrnicos estndares.
Organizacin del rea y su estructura orgnica.
Funciones y niveles de autoridad y responsabilidad del rea
de procesos electrnicos.
Integracin de los recursos materiales y tcnicos.
Direccin y controles administrativos del rea de
procesos electrnicos.
Costos y controles presupuestales.
Evaluacin del anlisis de los sistemas y sus diferentes
etapas.
Evaluacin del diseo lgico del sistema.
Evaluacin del desarrollo fsico del sistema.
Facilidades para la elaboracin de los sistemas.
Control de proyectos.
Control de sistemas y programacin.
Instructivos y documentacin.
Formas de implantacin.
de
operacin,
infraestructura
procedimientos de mantenimiento,
sistemas, software y hardware.
de
sistemas,
proceso de desarrollo de
5
Revisar y evaluar el nivel de eficacia, utilidad, fiabilidad y seguridad de
los equipos e informacin.
Anlisis de la eficiencia de los sistemas informticos y el estado del arte
tecnolgico de las instalaciones.
Anlisis de la gestin de los riesgos de la informacin y de la seguridad
implcita.
Diagnosticar el grado de cobertura de las aplicaciones a las necesidades
estratgicas y operativas de la informacin de la organizacin.
Verificacin del cumplimiento de la normatividad de la empresa.
Verificar la proteccin de activos e integridad de los datos y nivel de
continuidad de las operaciones.
Revisin de la eficaz gestin de los recursos materiales y humanos
informticos
6
Asegurar que las modificaciones de los procedimientos, correspondientes
al mantenimiento, estn adecuadamente diseadas, probadas, aprobadas
e implementadas.
Garantizar la proteccin en los procedimientos programados, evitando as
cambios no autorizados.
Para determinar la implementacin de controles es importante conocer el
sistema, sus elementos, productos y herramientas; lo que permite identificar los
posibles riesgos. Este conocimiento envuelve el entorno de red, configuracin del
computador base, entorno de aplicaciones, productos y herramientas, y seguridad
del computador base. La responsabilidad de este sistema de control interno
informtico es de la gerencia o direccin de la empresa, quienes deben definir las
normas de funcionamiento del entorno informtico mediante el establecimiento de
procedimientos, estndares, metodologas y normas a seguir.
1.6.1. Planeacin
La planeacin de la auditoria debe hacerse cuidadosa y objetivamente.
Esta funcin de planear la auditoria se desarrolla en tres procesos:
conocimiento general de la entidad, definicin del mbito y alcance de la
auditoria, y definicin del programa de auditoria; procesos que permiten
llevar a cabo la auditoria de una manera eficaz y eficiente.
El proceso de planeacin comprende el establecer metas, programas
de trabajo de auditoria, planes de contratacin de personal, presupuesto
7
financiero, e informes de actividades. De esta manera, esta etapa inicia
con un diagnostico general de la organizacin o entidad, en torno a los
ambientes organizacional, informtico y de control interno; que permite
reconocer los sistemas y procesos dentro de la entidad, y a su vez
identificar cualquier falla o anomala que afecte los mismos.
Esta informacin permite que el auditor establezca el alcance y
planeacin de los procedimientos a seguir, as como:
Destinatario de las conclusiones, documentacin a entregar y fechas.
Informacin y documentacin previa a solicitar (informes previos de
auditora, organigrama funcional y departamental, esquema de
arquitecturas, procesos o interfaces).
Programas de trabajo detallados y estndares que se van a seguir
(COBIT, ISO).
Identificacin de interlocutores (administradores de bases de datos,
responsables de la seguridad) e identificacin de herramientas
tecnolgicas para la realizacin del trabajo.
a) rea informtica
En cuanto al rea informtica el diagnostico comprende la revisin y
evaluacin de la organizacin, administracin, operacin, seguridad,
infraestructura de computo, procesamientos electrnico de datos, y
herramientas de tecnologa de informacin. El auditor debe tener en
cuenta los siguientes aspectos:
Estructura de funciones del rea de sistemas.
8
Estudios de viabilidad: Anlisis de costos y beneficios sobre el uso
de los computadores a largo plazo, definiendo tipo de hardware,
software, perifricos, y equipo de comunicaciones, necesarios para
lograr los objetivos de la organizacin y el departamento de
informtica. De la misma manera, este estudio permite evaluar si un
procedimiento puede ser llevado a cabo por el computador, y cules
son las alternativas para un mejor resultado. Los resultados del
estudio de viabilidad deben ser distribuidos al personal de
informtica, como base y soporte para la compra, contratacin o
elaboracin de un proyecto.
Plan estratgico de sistemas e informtico: Definicin de objetivos a
largo plazo y las metas necesarias para lograrlos. Este plan envuelve
el plan estratgico de organizacin, plan estratgico de sistemas de
informacin, plan de requerimientos y plan de aplicaciones de
sistemas de informacin.
Plan de proyectos: Plan bsico para desarrollar un sistema y
asegurar que el proyecto es consistente con las metas y objetivos de
la organizacin.
Plan estratgico de instalaciones.
Plan de seguridad: Debido a que las instalaciones de informtica
estn expuestas a desastres por varias razones, huracanes,
inundaciones, fuego, terremotos, entre otros; debe existir un plan que
permita reducir los riesgos a un nivel aceptable, planeando los
seguros que se deban obtener, y el plan de recuperacin en caso de
un desastre, que permita garantizar el funcionamiento de las
9
operaciones en el menor tiempo posibles y con el menor impacto
para la organizacin.
Plan de contingencias: En la organizacin pueden ocurrir diferentes
accidentes debido a mal manejo de la administracin, negligencia,
ataques o desastres naturales. Es por esto que la organizacin debe
contar con un plan de contingencia que prevea cualquier riesgo que
afecta a la organizacin y determinar cules son las acciones a
seguir. El plan de contingencias es definido como la identificacin y
proteccin de los procesos crticos de la organizacin y los recursos
requeridos para mantener un aceptable nivel de transacciones y de
ejecucin, protegiendo estos recursos y preparando procedimientos
para asegurar la sobrevivencia de la organizacin en caso de
desastre. Este plan debe asegurar la continuidad de las operaciones
o la restauracin de los equipos en el menor tiempo posible, evitando
consecuencias negativas para la entidad. De la misma manera, el
plan de seguridad debe garantizar la integridad y exactitud de los
datos, permitir identificar la informacin confidencial, proteger los
activos de desastres naturales u ocasionados por el hombre,
asegurar la capacidad de la organizacin para sobrevivir a las
eventualidades. El plan de contingencia debe ser probado, sobre la
base de que puede ocurrir un desastre, para evaluar si responde
adecuadamente.
10
lado se encuentra el ambiente de control especfico, que evala todas
aquellas normas, procedimientos, acciones y uso de recursos empleados
en el procesamiento electrnico de datos, entrada, procesamiento, salida,
bases de datos, aplicaciones y procesamiento distribuido, es decir todo lo
relacionado a lo que ocurre al interior de los equipos de cmputo.
11
El auditor debe entender y evaluar el ambiente de control general de
tecnologa de informacin. Los controles generales son las polticas y
procedimientos que se aplican a los sistemas de informacin,
infraestructura y plataformas de TI en una organizacin, asegurando as
un correcto funcionamiento de todas las operaciones.
Dentro de este ambiente existen cuatro dominios:
Acceso a programas y datos: Verificar que solo el personal
autorizado accede a los programas e informacin bajo la
autentificacin de la identidad de los usuarios.
Cambios en los programas: Verificar que los cambios a los
programas y los componentes de infraestructura relacionados, son
solicitados, autorizados, desarrollados, evaluados e implementados
para alcanzar los objetivos de control de gestin de aplicaciones.
Operaciones informticas: Confirmar que los sistemas de produccin
, y los problemas de procesos son identificados y solucionados
adecuadamente para mantener la integridad de la informacin:
Desarrollo
de
programas:
Determinar
si
los
sistemas
son
12
Antecedentes
Justificacin
Objetivos
Alcance
Evaluacin de la seguridad
Informacin de apoyo
Metodologa
Establecer comunicaciones necesarias con el personal involucrado
en la auditoria
Tiempo y costo
Recursos
Comunicacin de resultados
Aprobacin del plan de trabajo de la auditoria informtica
As mismo, el plan del auditor debe definir:
Funciones: Descripcin de forma precisa de las funciones y
organizacin del departamento de auditoria, con todos sus recursos.
Procedimientos: Actividades a realizar en la auditoria, definiendo
tipos de auditoria, sistema de evaluacin, nivel de exposicin, lista de
distribucin de informes, seguimiento de acciones correctivas, plan
de cinco aos y plan de trabajo anual.
13
Organismo:
#:
Fecha:
Fase
Descripcin Actividad
Periodo Estimado
Personal
Participante Inicio
Trmino
Das
Das
1.6.2. Ejecucin
Durante la ejecucin se disean y aplican los cuestionarios de control,
se evala el riesgo computacional, y se realizan todos los procedimientos
detallados en los programas para obtener evidencias del desarrollo del
trabajo.
a) CAAT (Computer Assisted Audit Techniques), Tcnicas de auditoria
asistidas por computador
Software de auditoria generalizado, software utilitario, datos de
prueba y sistemas expertos de auditoria. Estas tcnicas pueden ser
utilizadas para varios procedimientos como: prueba de los detalles de
operacin y saldos, procedimientos de revisin analticos, pruebas de
cumplimiento de los controles generales de SI, y pruebas de
cumplimiento de los controles de aplicacin. Cuando el auditor decide
utilizar herramientas CAAT, debe controlar el uso de las herramientas
para asegurar que se cumple con los objetivos de la auditoria, y
documentar el trabajo que se realice incluyendo: planificacin, objetivos
de los CAAT, CAATs a utilizar, controles a implementar, personal
involucrado, tiempo y costos, procedimientos de la preparacin y prueba
de los CAAT y controles relacionados, detalle de las pruebas, detalles de
14
los input, evidencia de auditoria output, resultado de auditoria,
conclusiones, y recomendaciones.
TIPOS DE HERRAMIENTAS CAAT
HERRAMIENTA
IDEA
FUNCIN
Esta herramienta permite leer, visualizar, analizar y manipular datos,
llevar a cabo muestreos y extraer archivos de datos. Adems, el uso de
esta herramienta disminuye costos de anlisis y realzar la calidad de
trabajo.
Funciones: importacin de datos, manejo de archivos y clientes,
estadsticas de campo, historial, extracciones, extraccin indexada,
extraccin por valor clave, funciones, conector visual, uniones, agregar,
comparar, duplicados, omisiones, grficos,
Ley de Benford, estratificacin, sumarizacin, antigedad, tabal pivot,
agrupador de procesos, muestreo, agregar campos e IDEASscript
ACL
Auto Audit
15
b) Evaluacin del sistema de control interno
En la evaluacin del sistema de control interno se aplican los
cuestionarios de control por cada actividad de riesgo definida en el
alcance de la auditoria, a partir de esta informacin se evala el riesgo
computacional. Este proceso permite medir la eficiencia y eficacia de los
diferentes mecanismos de control establecidos en la entidad, que deben
garantizar la confiabilidad, confidencialidad, oportunidad, integralidad y
seguridad en el manejo de la informacin como de los recursos
informticos.
Antes de evaluar el riesgo computacional, es importante determinar el
tipo de software con que cuenta la organizacin para cumplir con los
requerimientos. La seleccin de tipo de software a ser usado en la
empresa, debe estar definida en el plan estratgico, evaluando las
ventajas y desventajas de cada uno, y acorde a las necesidades y
requerimientos de la entidad.
Estas pueden ser:
Software elaborado por el usuario
Comercial
Software compartido o regalado
Software transportable
Un solo usuario o multiusuario
Categorizacin del software de aplicacin por usuario
Software a la medida de la oficina
16
Los sistemas deben ser evaluados de acuerdo con su ciclo de vida,
teniendo claridad del mismo.
c) Riesgo computacional
Al evaluar el riesgo computacional, el auditor debe conocer los
diferentes riesgos informticos que pueden presentarse en una entidad;
un riesgo es una contingencia o proximidad de un dao o amenaza
interna o externa que puede afectar la operacin del sistema de control.
Los riesgos pueden ser de perdida, estos exponen al sistema a
interrupciones, inaccesibilidad y demoras en el procesamiento de la
informacin, los cuales representan una perdida financiera para la
empresa; riesgos de revelacin de la informacin, estos vulneran el
sistema
17
RIESGO COMPUTACIONAL
Incendio
Naturaleza
Inundacin
Terremoto
Riesgos
segn su
origen
Fallas de
hardware
no
Fraudes
de
los
circuitos
Desfalcos
No registro de ventas
Malversar pagos de clientes
Alteraciones en planillas
Falsificacin de inventarios
de
18
durante el desarrollo de la auditoria. Esta evidencia debe ser relevante,
fiable, suficiente, y adecuada.
1.6.3. Finalizacin
El informe de auditora de informtica contiene el resumen de la
gestin y el informe detallado de la auditoria, y para su redaccin el
auditor debe tener en cuenta el destinatario y presentar un informe
coherente, pulcro, de calidad, confiable y veraz.
El informe detallado de auditoria informtica est preparado para los
directamente involucrados en la auditoria informtica y responsables de
las reas de informtica; este informe consta de los siguientes aspectos:
Introduccin
Antecedentes
Justificacin
Alcance
Objetivos
Metodologa
Hallazgos
Determinacin del riesgo computacional
Realizacin de pruebas de auditoria de cumplimiento y sustantivas
Evaluacin de los usuarios
Situaciones encontradas (correctas, para ser mejoradas, de riesgo)
Conclusiones
Recomendaciones e impacto
Anexos
19
Bibliografa
Estos informes estn soportados por los papeles de trabajo, los
cuales facilitan la planeacin de la auditoria, la recoleccin, anlisis,
sntesis de la informacin de control obtenida y representan las
evidencias suficientes de las actividades realizadas.
20
Una seguridad fsica adecuada debe comprender:
Ubicacin del edificio.
Ubicacin del Centro de Procesamiento de Datos: Es importante
que el centro de cmputo este localizado en un lugar seguro, que
permita la realizacin eficaz del trabajo. As mismo se debe tener
en cuenta aspectos como los materiales de construccin,
espacios y ubicacin de ventanas, evitando ambientes calurosos o
manejo de elementos inflamables que puedan ocasionar un
desastre. Otro aspecto importante es la proteccin del cableado
del sistema, a travs del uso de pisos falso o canales y paneles
adecuados de resistencia al fuego, en lugares aislados y fuera de
los lugares de transito del personal.
Aire acondicionado: Instalacin de aire acondicionado, que
permita prevenir la entrada de polvo y suciedad, que puedan
afectar los equipos de cmputo; as como garantizar una
temperatura adecuada en el centro de cmputo.
Compartimentacin de reas.
Elementos de construccin.
Potencia elctrica e instalaciones: Es importante que el auditor se
asesore de un especialista en lo que concierne al adecuado
funcionamiento del sistema elctrico y el respectivo suministro de
energa, con el fin de evaluar y controlar con rigurosidad las
instalaciones elctricas, debido a que estas pueden ocasionar
fallas de energa que ponen en riesgo la informacin y trabajo, e
incluso provocar incendios en las instalaciones de la entidad. Por
21
lo tanto, es importante conocer los planos de las instalaciones
elctricas y el sistema de cableado elctrico, con el fin de
identificar tanto positivos y negativos como polo a tierra, que
proteger los equipos de cmputo contra un cortocircuito durante
una descarga elctrica.
Sistema contra incendios: Las instalacin de los detectores de
incendios debe hacerse en lugares no tan cercanos a los aparatos
de aire acondicionado, debido a que estos pueden difundir el calor
o el humo y dificultar as la activacin de los detectores. Es
recomendable que estos detectores se instalen cerca a los
centros de cmputo, en las reas de oficina y depsitos de la
papelera, entre otros. Las alarmas contra incendios deben estar
conectadas a la alarma central o si es posible, directamente al
departamento de bomberos.
22
Los controles ofimticos se establecen teniendo en cuenta la
economa, eficacia y eficiencia, seguridad y normatividad vigente en la
organizacin, de esta manera estos controles deben:
Determinar la exactitud del inventario ofimtico
Evaluar los procedimientos de adquisicin de los equipos y
aplicaciones.
Determinar y evaluar la poltica de mantenimiento de la
organizacin
Evaluar la calidad de las aplicaciones del entorno ofimtico
Evaluar
aplicaciones.
Determinar
si
los
usuarios
cuenta
con
la
formacin
si
los
sistemas
existentes
se ajustan
las
necesidades de la empresa.
Determinar si existen garantas suficientes para proteger los
accesos no autorizados a la informacin de la empresa y la
integridad de la misma.
Evaluar la fiabilidad y confiabilidad de los procesos de copia de
respaldo
back-up,
garantizando
la
recuperacin
de
la
23
Determinar el grado de exposicin ante la posibilidad de intrusos y
virus en los sistemas informticos.
Determinar si el entorno ofimtico aplica y cumple con las normas
y regulaciones establecidas en la organizacin, as como evaluar
si existen situaciones que puedan generar infracciones segn los
dispuesto en la ley.
24
La auditora de explotacin sigue los controles establecidos en el modelo
COBIT.
25
organizacin y gestin del rea, y por otra de los proyectos de
desarrollo de sistemas de informacin. El auditor basa su trabajo en
la evaluacin de riesgos, estableciendo controles que minimicen los
riesgos relacionados al desarrollo de un sistema de informacin. As
mismo se deben utilizar pruebas de cumplimiento, que permitan la
comprobacin de la existencia y correcta implementacin de los
controles, obteniendo as evidencia. El anlisis de esta informacin le
permitir al auditor conocer los puntos fuertes y dbiles de los
controles, para determinar cules riesgos son cubiertos y cules no,
y en qu medida lo son, y lo que puede representar para la
organizacin. Estas conclusiones son presentadas en el informe de
auditora.
26
banco, se lleva a cabo cuando el cliente lleva a las oficinas del proveedor
el equipo para el arreglo necesario. La empresa, debe hacer una anlisis
sobre cual tipo de contrato de mantenimiento le conviene, para solicitarlo y
revisar con detalle las clausulas y artculos, con el fin de evitar
inconvenientes con los proveedores. El auditor debe determinar si los
contratos de mantenimiento celebrados por la empresa estn de acuerdo a
las polticas y necesidades de la empresa. De la misma manera, el auditor
debe evaluar que controles ha establecido la empresa con respecto a la
utilizacin del sistema de cmputo, debido a que un control adecuado
permitir acceder al mantenimiento necesario, reduciendo costos y
teniendo control sobre las fallas que se puedan presentar. Se debe realizar
mantenimiento no solo del equipo central, sino del total de los equipos,
incluyendo
computadores
personales,
impresoras,
equipos
de
comunicacin, y perifricos.
Se debe evaluar:
Registros de la utilizacin del sistema de cmputo
Uso adecuado del sistema de cmputo, evitar que:
27
28
estos objetivos, se determinan las tcnicas de control para alcanzar dichos
objetivos. Para la verificacin de los objetivos se utilizan las pruebas de
cumplimiento y pruebas sustantivas, cuando sean necesarias.
El auditor debe revisar la utilizacin de todas las herramientas que
ofrece el Sistema de Gestin de Bases de Datos SGBD, las polticas y
procedimientos definidas para su utilizacin, y as determinar si son
suficientes o se deben mejorar. Es responsabilidad de la empresa
coordinar los distintos elementos y controles de seguridad, a travs del
monitoreo de los controles, gestin rigurosa de la configuracin del sistema
y dems procedimientos necesarios. El auditor puede utilizar dos tcnicas
para evaluar estos procedimientos:
Matrices de control: Esta tcnica permite identificar el conjunto de
datos de los controles de seguridad o integridad implementados. Los
controles se clasifican en detectivos, preventivos y correctivos.
Anlisis de los caminos de acceso: Permite documentar el flujo,
almacenamiento y procesamiento de los datos en todas las fases,
identificando los componentes del sistema y los controles asociados.
Esta tcnica le permite al auditor identificar las debilidades o fallas
que puedan exponer a los datos a riesgos de integridad,
confidencialidad y seguridad.
29
especializacin en el manejo de las aplicaciones, determinando todas las
actividades relacionadas para alcanzar los objetivos. La auditora de
tcnica de sistemas envuelve los siguientes aspectos:
Instalaciones: Salas de proceso, con sus sistemas de control y
seguridad, y elementos de conexin y cableados.
Equipos de proceso: Computadores, perifricos, dispositivos de
comunicacin y conmutacin.
Software de base: Sistemas operativos, compiladores, traductores e
intrpretes
de
comandos
programas,
gestores
de
datos,
30
Seguridad y control: Estos procedimientos son de gran importancia,
debido a que permiten detectar a tiempo cualquier incidencia.
Adems, la proteccin de la informacin debe ser garantizada por
medio de procedimientos, tales como el control de accesos y perfiles
de trabajo. Los entornos de desarrollo y mantenimiento de
programas deben dejar documentados los cambios, modificaciones o
actualizaciones.
Informacin sobre la actividad: Documentacin sobre la evolucin,
objetivos, estndares, y dems aspectos relacionados al desarrollo
de la actividad.
31
Para garantizar la calidad de los proyectos de software, es necesario
asegurar dentro del desarrollo, la realizacin del Plan General de Calidad,
el cual determina las especificaciones para garantizar la calidad del
software.
As mismo se deben seguir y cumplir diferentes normas de calidad de
software, algunas de estas son:
32
Una caracterstica de los procesos de calidad es la repetitividad de los
mismos; estos deben estar definidos, para conseguir los mismos
resultados, cada vez que se repitan. Esta repeticin permite redefinir los
procesos y corregir las fallas encontradas. En el desarrollo de la auditoria
se debe llevar a cabo procesos de revisin, que permiten evaluar el
software o proyecto para identificar las discrepancias sobre los resultados
planificados y expresar las recomendaciones necesarias.
Los requisitos de calidad son establecidos desde las necesidades de
los usuarios y clientes, y teniendo en cuenta la calidad de los productos y
servicios, tiempos acordados de entrega y costos. El auditor, tambin,
puede usar software de evaluacin de calidad, para suministrar una
valoracin independiente.
La auditora de calidad debe permitir evaluar si:
Los productos software codificados reflejan lo diseado en la
documentacin.
Los requerimientos de la revisin de aceptacin y de pruebas
prescritos por la documentacin, son adecuados para la aceptacin
de los productos software.
Los informes de prueba son correctos y los problemas que se
presentaran, fueron resueltos.
La documentacin del usuario cumple a cabalidad con los
estndares.
Las actividades se han desarrollado de acuerdo requerimientos,
planes y contrato establecido.
33
Los costos y cronograma se ajustan a los planes establecidos.
34
Controles directivos: Polticas, planes, funciones, comits, objetivos
de control, presupuestos y evaluacin de riesgos.
Desarrollo de polticas: Procedimientos, estndares, normas y guas.
Amenazas fsicas externas: inundaciones, incendios, explosiones,
corte de suministros, terremotos, terrorismo, o huelgas.
Control de accesos fsicos y lgicos: Establecer rutas de acceso,
claves, software de control y encripta miento.
Proteccin de datos, programas, instalaciones, equipos y soportes.
Comunicaciones y redes: Usos autorizados, con la asignacin de
dominios segn los perfiles de los usuarios. Se deben revisar y
evaluar el uso de internet e intranet, correo electrnico, y dems
servicios en lnea.
Entorno de produccin: desarrollo de las aplicaciones en un entorno
seguro, e incorporacin de controles en los productos realizados,
haciendo posible el desarrollo de la auditoria. Todos los proyectos
deben ser autorizados, para verificar el cumplimiento de los
estndares y normas establecidas. Otro aspecto importante es la
contratacin de servicios y su respectivo seguimiento.
Continuidad de las operaciones: Desarrollo de un plan de
contingencias.
Un riesgo al que los sistemas y equipos estn expuestos, son los virus
(malware, software malicioso), rutinas que se esconden en los programas,
y se activan cuando se cumple una condicin especfica, y llevan a cabo
actividades como copia de archivos e incluso el borrado de toda la
informacin contenida en disco del equipo.
35
La auditora de seguridad debe garantizar cuatro aspectos importantes
de
la
informacin,
confidencialidad,
integridad,
disponibilidad
36
Monitorizacin de las comunicaciones, registro y solucin de
problemas.
Revisin de costes y su asignacin de proveedores y servicios de
transporte, balanceo de trfico entre rutas y seleccin de
equipamiento.
Garantas y vulnerabilidad de las instalaciones fsicas de la empresa.
identificar
anomalas
seguir
los
procedimientos
establecidos.
37
Transporte: Comprobacin de la integridad de los datos transmitidos.
Red: Rutas de comunicacin entre el emisor y receptor.
Enlace: Transformacin de los paquetes de informacin en trama
adaptadas por los dispositivos fsicos, usados para la transmisin.
Fsico: Transformacin de la informacin en seales fsicas
adaptadas al medio de comunicacin.
Para establecer una comunicacin, la informacin debe pasar por cada
una de las siete etapas, a travs de los mtodos prefijados para establecer
la comunicacin entre las mismas etapas. En las tres primeras etapas se
definen las redes LAN (Local rea Network), MAN (Metropolitan rea
Network), y WAN (Wide rea Network).
Existe un elemento que influye en la redes, es la vulnerabilidad, debido
a que la informacin transita por diferentes lugares, fsicamente a
diferentes distancias, lo que hace necesario implementar modelos de
seguridad apropiados. Segn el origen de los riesgos se pueden dividir en
tecnolgicos o fsicos:
Tecnolgicos
Alteracin de bits
Ausencia de tramas
Alteracin de secuencias
Fsicos
Indagacin
Suplantacin
Modificacin
38
39
riesgos que afecte la informacin, y el sistema o aplicacin en su totalidad.
Estas medidas pueden clasificarse en dos grupos, el primero son los
controles manuales y automticos, y el segundo grupo son controles
preventivos, detectivos, y correctivos. Los controles manuales son
realizados por el personal del rea y establecidos para asegurar que se
preparan, autorizan y procesan todas las operaciones, se subsanan
adecuadamente los errores, las bases de datos dan soporte a la
aplicacin, y los resultados son coherentes respecto a los datos de
entrada.
Los controles automticos son incorporados en los programas de la
aplicacin, para asegurar que la informacin se registre y mantenga
completa y exacta, los procesos de todo tipo sean correctos, y los usuarios
respeten los mbitos de confidencialidad establecidos.
De esta manera, el auditor debe entender el software bsico de la
aplicacin, identificando la seguridad que ofrece, y los riesgos inducidos,
incluyendo la arquitectura y caractersticas lgicas. Este entendimiento le
permite identificar cualquier falla o riesgo significativo en la aplicacin.
40
cualquier sancin administrativa o legal, cuando sea posible; as como
costos econmicos como indemnizaciones, por negligencias que pudieron
haber prevenido a tiempo. La auditora informtica llevada a cabo a tiempo,
puede prevenir el delito informtico, generando beneficios para la empresa.
La auditora informtica comprende cuatro reas:
Auditoria del entorno informtico: Revisin y evaluacin de los
elementos del hardware, software y contratos de paquetes
gestionados, outsourcing.
Auditoria de las personas que manipulan la informacin: Evaluar al
personal que utiliza los sistemas de informacin y equipos,
verificando as: quienes tienen acceso a la informacin, adecuacin
del personal al cargo que ostentan, conocimiento de la normatividad
pertinente y actitud tica frente al desarrollo de las funciones
relegadas, establecimiento en el contrato del personal de la labor que
cumplen y responsabilidad que ostentan, y si los contratos con
proveedores aseguran la confidencialidad de la informacin.
Auditoria de la informacin: cumplimiento de la normatividad en
cuanto al manejo de la informacin, evitando su uso con finalidades
incompatibles con aquellas para las que se seleccion la
informacin.
Auditoria de los archivos: Evaluacin de los niveles de proteccin de
los archivos, mecanismos de seguridad, y figura del responsable del
archivo.
41
CAPTULO II
AUDITORA FORENSE
2.1. Definicin
Debe entenderse como el proceso de recopilar, evaluar y acumular evidencia
con la aplicacin de normas, procedimientos y tcnicas de auditora, finanzas y
contabilidad, para la investigacin de ciertos delitos.
En trminos de investigacin contable y de procedimientos de auditora, la
relacin con lo forense se hace estrecha cuando se habla de la contadura
forense, encaminada a aportar pruebas y evidencias de tipo penal, por lo tanto se
define inicialmente a la auditora forense como una auditora especializada en
descubrir, divulgar sobre fraudes y delitos en el desarrollo de las funciones
pblicas y privadas.
Forense proviene de fuero, es decir que la actuacin forense del auditor se
orienta a recolectar evidencia idnea para su presentacin en una Corte Judicial.
Por tanto, las reglas de evidencia seguidas para la formulacin de opinin del
auditor forense debern considerar no solamente el marco profesional para la
actuacin del auditor de que se trate, sino los aspectos legales aplicables.
42
Como consecuencia de ello, el auditor forense normalmente no actuar de
manera autnoma como el auditor externo o el interno, sino que integrar su labor
junto con la de un abogado que determinar la validez y relevancia de la
informacin provista por el auditor forense para presentarla en Corte junto con
otras evidencias recolectadas por medios alternativos (por caso, investigaciones).
En este contexto, la auditoria forense es inherentemente interdisciplinaria.
En el campo de la auditora, hasta hace poco, se sola otorgar el mismo
tratamiento a las auditoras financieras que a aquellas en las que se detectaban
presuntos hechos ilcitos, ya que la formacin tradicional de los profesionales se
basaba en la aplicacin de procedimientos que buscan comprobar la razonabilidad
de las operaciones, y no as la sustanciacin de procedimientos de naturaleza
penal.
Lo anterior presupone que los procedimientos de auditora que se aplican en
las ltimas no se diferencian de los aplicados en cualquier revisin en condiciones
normales, lo que se traduca en lo siguiente:
Las auditoras resultaban omisas en la aplicacin de procedimientos
especficos para deteccin y prevencin de fraudes, ya que en estos casos
se requiere de procedimientos de investigacin y formalizacin.
Las evidencias que arrojaban las auditoras en los casos de presuntos
ilcitos, si bien fundamentaban de manera slida las observaciones de la
auditora, carecan de elementos de solidez jurdica a ser presentada como
evidencia ante las autoridades persecutorias de delitos.
La formacin del personal auditor era esencialmente de Contadores y
profesionales con experiencia en la aplicacin de procedimientos de
43
auditora nicamente para comprobar la razonabilidad de las operaciones y
no as la sustanciacin de procedimientos de naturaleza penal.
Surge la necesidad de conformar un grupo multidisciplinario que permitiera
apoyar las funciones tradicionales de auditora con cuestiones tales como:
Medios de investigacin, tanto fsicos como tecnolgicos utilizados en las
auditoras especficas para deteccin de fraudes.
Personal de disciplinas distintas a la auditora bsicamente con habilidades
en materia informtica, en manejo de denuncias de tipo penal y con
enfoques especializados en diversas materias hacia la obtencin de
evidencia jurdica que d consistencia a las denuncias que en su caso se
llegaran a presentar, ya que en las auditoras forenses se llevan a cabo
otras indagaciones que rebasan los procedimientos aplicados en la auditora
tradicional.
Los auditores forenses realizan investigaciones de gabinete y campo para
recabar todo tipo de documentos y elementos que permitan establecer la
presunta comisin de un acto ilcito, se profundizan los procedimientos de
auditora, y se aplican tcnicas de investigacin forense para constatar y
documentar presuntos hechos delictivos.
Se utiliza el cmputo forense para analizar y procesar la informacin
contenida en bases de datos, para recuperar de discos duros informacin
destruida o registros que sirven como evidencia de actividades irregulares
La auditora forense tiene como finalidad la revisin de los procesos, hechos y
evidencias para la deteccin o investigacin de actos u omisiones que impliquen
alguna irregularidad o conducta ilcita, con el propsito de documentar con
44
pruebas vlidas y suficientes, las conclusiones derivadas de los hallazgos
mediante la aplicacin de tcnicas de investigacin especializadas, y cuando sea
necesario, apoyada en la tecnologa y herramienta forense, para reunir los
elementos y pruebas contundentes y competentes para acudir a las autoridades
ministeriales y/o competentes a denunciar probables irregularidades o hechos
delictuosos.
La Auditora Forense es el trmino que engloba la incorporacin de
conocimientos y la aplicacin de novedosas y probadas tcnicas forenses,
herramientas de TI, as como otras especialidades distintas de las ramas
financieras, como son las legales, psicolgicas y criminolgicas, con el propsito
de crear un nuevo perfil de profesional capaz de detectar de manera oportuna
fraudes y delitos. Se utiliza tambin, en ciertos casos, el Cmputo Forense para el
anlisis y procesamiento de informacin contenida en base de datos, recuperacin
de archivos e informacin borrado o destruido contenida en discos duros.
45
organizado utiliza medios ms sofisticados para lavar dinero, financiar
operaciones ilcitas y ocultar los resultados de sus diversos delitos.
Lo forense, por lo tanto, est estrechamente vinculado a la administracin de
justicia en el sentido de aportar pruebas de carcter pblico, que puedan ser
discutidas a la luz de todo el mundo (el foro).
46
Investigar hechos que se le encomienden como sospechosos de actos
delictivos, en directa asesora a los rganos que tienen a su cargo velar por la
transparencia en las operaciones de una entidad.
La auditora forense debe cubrir ciertas reas de su competencia:
Investigacin de fraude interno y soporte de litigios, tanto en entidades privadas
como pblicas. Aplicando tcnicas especficas para la determinacin de
indicadores y tendencias, entrevistas y anlisis documental, se obtiene evidencia
de la ocurrencia o potencialidad de fraude.
El examen y evaluacin de evidencias de hechos, adems de la posibilidad de
brindar testimonio experto en la Corte, sirve de invaluable apoyo a los
profesionales que deben llevar adelante los litigios.
47
En el desarrollo de una auditora forense, en el examen y en la elaboracin de
los informes, se identifican adems, las nuevas habilidades y competencias
demandas a los auditores:
Conocimiento del negocio, comprendiendo su funcionamiento y forma de
planificar, administrar y controlar, anticipndose a la posibilidad de hechos
fraudulentos.
Adoptar una mente estratgica a fin de cumplir con una funcin
investigadora de la gestin empresarial.
Conocimiento avanzado de tecnologas de informacin.
Adopcin de tcnicas innovadoras de auditora para prevenir hechos
delictuosos.
Desarrollar habilidades de investigacin, en especial en los tipos de
fraudes, delitos y operaciones ilcitas que se pueden cometer en las
empresas y/o instituciones financieras.
48
efectos perversos que este tipo de actos trae como consecuencia, no tan
solo a las entidades en particular, sino al pas que recibe el efecto.
En
la
auditora forense,
las
estrategias,
procedimientos
y mtodos
para
identificar
cualquier
deficiencia
material
reportarla
adecuadamente;
El desarrollo de unas polticas y normas necesarias incluyendo un modelo
apropiado de riesgos para auditoras y otros propsitos.
Con frecuencia las organizaciones deben enfrentar cambios en la estructura
de sus procesos, muchas veces llevadas por las necesidades que surgen de su
propio seno, otras como consecuencia de cambio de tamao, fusiones, compras y
tomas de posesin, nuevos productos, etc. En el diseo y monitoreo de estos
procesos, resulta fundamental la evaluacin de riesgos y la prevencin del fraude,
ya que estos son los momentos de mayor vulnerabilidad, interna y externa, que
presentan las organizaciones.
49
Auditora investigativa
Las
Normas
Internacionales
de
Auditora
Interna
del
IIA
(y
50
Considerar la posibilidad de fraude en el curso de las auditoras regulares,
y.
Si existen indicios que sealen la probabilidad de que haya ocurrido un
fraude, expedirse recomendando a la administracin el desarrollo de tareas
especializadas ms profundas
A esta labor la denominamos auditora investigativa, y su producto final
es la determinacin de la existencia de indicadores que induzcan a
considerar que la probabilidad de que se haya cometido fraude es lo
suficientemente seria como para incurrir en el costo de una investigacin.
O si, por el contrario, tales evidencias no alcanzan la cuanta necesaria
como para merecer ulteriores esfuerzos investigativos.
2.7.2.
Sumario administrativo
Si la organizacin se orienta a una sancin administrativa sin intencin
de abrir un juicio, puede obtenerse evidencia de auditora que fortalezca la
evidencia de autora de hechos irregulares. En este caso, el auditor se
encuentra abocado a una instancia sumarial de la auditora forense, cuya
caracterstica es que no se halla evaluando informacin financiera, el
sistema de control interno ni responsabilidades de gestin, sino hechos
que incriminen a personas concretas en la comisin de hechos apartados
de las normas seguidas por la organizacin (no necesariamente delitos),
para la potencial aplicacin de una sancin administrativa.
2.7.3.
51
judicial. En este caso, lo que inicia es una investigacin (normalmente con
la intervencin de especialistas externos a la propia organizacin). El
auditor forense acta en un rol de obtencin de evidencia contable y
administrativa para ser evaluada por investigadores y abogados no
especializados en documentacin ni registracin contable e informacin
financiera. Tambin puede colaborar en entrevistas e interrogatorios que
involucren temas cuya complejidad administrativa/ contable/financiera
exceden de la capacidad de los restantes investigadores para evaluar
verosimilitud de las declaraciones, posibles autoras y responsabilidades.
2.7.4.
52
Entrevistas.
Fotografa.
Grafoscopa.
Documentoscopa.
Lingstica forense.
La
auditora
forense
engloba
procedimientos
tcnicas
de
53
como abogados (generalmente criminalistas, aunque tambin los hay comerciales
y otros), e investigadores profesionales.
De todas formas, estas Normas proveen un marco relevante (aunque
probablemente no suficiente), para regular los aspectos bsicos del accionar de
los auditores forenses.
2.9. Importancia
La importancia de esta faceta auditora se puede observar por la existencia de
su correspondiente certificacin profesional, otorgada en esta ocasin por la
Association of Certified Fraud Examiners, en forma similar a como ISACA acta
en el entorno de las tecnologas de la informacin.
En opinin de esta Asociacin el rbol del fraude abarca tres grandes
apartados:
La apropiacin indebida de activos
La corrupcin, y
Reportes Fraudulentos.
Los dos primeros se deberan adscribir dentro del alcance de los Planes de las
Auditoras Internas, atendiendo a las ramificaciones que aparecen en las grficas
que se indican a continuacin. En tanto que el aspecto relacionado con los
Reportes Financieros es el objetivo a cubrir por los externos.
54
55
experiencia y juicio profesional al preparar los procedimientos de auditora que
sean efectivos para determinar y cuantificar estos hechos. Pudiendo, no obstante,
indicar algunas tcnicas apropiadas para la realizacin de las inspecciones:
Deteccin de pautas de comportamiento fraudulentas.
Trabajos basados en la totalidad de la poblacin, no en muestras.
Enfoque haca la evidencia: entrevistas, documentos, prueba digital.
Uso de la Tecnologa (Minera de datos).
El reporte de los informes suelen ser materia reservada y no se discuten
con el rea investigada.
2.10.2. Detectiva
Enfoque reactivo orientado a identificar la existencia de fraudes
mediante la investigacin de los mismos llegando a establecer su cuanta;
efectos directos e indirectos; posible tipificacin; presuntos autores,
cmplices y encubridores, mtodo empleado, controles no eficaces,
etctera.
56
Para ir acabando, y entendiendo que se comparte la idea de que la
lucha contra el fraude es un objetivo empresarial muy importante, en el que
las Unidades de Auditora Interna tienen un rol muy significativo que
realizar, puesto que, aunque Es un riesgo que resulta inevitable, solo tiene
como espacio y lmite el ingenio humano, lo cual requiere que los auditores
y los responsables de control estn siempre actualizados de los mtodos
que se emplean para detectarlo y prevenirlo. Solo se volver manejable si
se logran entender los elementos que lo generan.
2.11.1. Planificacin
En esta fase el auditor forense debe:
Obtener un conocimiento general del caso investigado
Analizar todos los indicadores de fraude existentes
Evaluar el control interno de ser posible y considerarlo necesario
(es opcional). Esta evaluacin, de realizarse, permitir: detectar
debilidades de control que habran permitido se cometa el frauda;
obtener indicadores de fraude, realizar recomendaciones para
fortalecer el control interno existente a fin de prevenir fraudes.
Investigar tanto como sea necesario para elaborar el informe de
relevamiento
de
la
investigacin,
en
el
cual
se
decide
57
motivadamente si amerita o no la investigacin; es decir si existen
suficientes
indicios
como
para
considerar
procedente
la
los
programas
de
auditoria
forense
(objetivos
58
Un aspecto importante en la ejecucin de la auditoria forense es el
sentido de oportunidad, una investigacin debe durar el tiempo necesario,
ni mucho ni poco, el necesario. Muchas veces por excesiva lentitud los
delincuentes se ponen alerta, escapan o destruyen las pruebas, en otros
casos por demasiado apresuramiento, la evidencia reunida no es la
adecuada, en cantidad y/o calidad, para sustentar al juez en la emisin de
una sentencia condenatoria, quedando impunes los perpetradores del
delito financiero investigado.
El auditor forense debe conocer o asesorarse por un experimentado
abogado respectos de las normas jurdicas penales y otras relacionadas
especficamente con la investigacin que est realizando. Lo mencionado
es fundamental, puesto que si el auditor forense no realiza la prolijidad y
profesionalismo su trabajo, puede terminar acusado por el delincuente
financiero aduciendo daos morales o similares.
59
60
ANEXOS
CASO PRCTICO, AUDITORA INFORMTICA
Contrato de auditoria en informtica
Contrato de presentacin de servicios profesionales de Auditora en informtica
que celebran por una parte Corporacin Radial Del Norte Sociedad Annima
(CORANORSA), representado por Ral Alberto Njera Ponce en su carcter
de Director General y que en lo sucesivo se denominar el cliente, por otra
parte Gerardo Ortiz, Contador Pblico y Auditor, a quien se denominar el
auditor, de conformidad con las declaraciones y clusulas siguientes:
EXPONEN
1. El cliente expone:
a) Que es una empresa de produccin radial constituida jurdicamente como
una Sociedad Annima y que se rige por las leyes y disposiciones
guatemaltecas.
b) Que est representada para este acto por Ral Alberto Njera Ponce y
tiene como su domicilio en la 6av. Avenida C 2-25 zona 3, Cobn Alta
Verapaz.
c) Que acepta la propuesta del servicio de auditora en informtica,
solicitado por el auditor.
2. El auditor expone:
a) Que se ha preparado acadmicamente en el extranjero sobre temas
relacionados a la auditoria en informtica, por lo que los servicios sern de
gran utilidad para la entidad.
3. Exponen ambas partes:
a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, proceden
a formalizan otorgando el presente contrato que contiene en las
siguientes:
61
CLUSULAS
Primera: Objetivo
El auditor queda obligado a prestar al cliente los servicios de auditora en
informtica para llevar a cabo la evaluacin de la seguridad fsica de los
sistemas informticos y dems equipos que posea l cliente.
Segunda: Alcance del trabajo
El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato
son:
a) Evaluaciones de la seguridad fsica los sistemas:
62
_____________________
Ral Alberto Njera Ponce
Director General
Corporacin Radial del Norte
63
Preparado
Revisado
Por
GO
Fecha
28-03-15
OBJETIVO
Evaluar la seguridad fisica de los sitemas informaticos y dems equipos de la empresa, as como la situacin del
edificio y seguridad del personal.
PROCEDIMIENTOS
REFERENCIA FECHA
PROCEDIMIENTOS A APLICAR
Revision de la situacin de las instalaciones del
edificio para establecer si representa o no algn
1 riesgo de seguridad para los equipos informaticos.
Conocer la ubicacin fisica de los departamentos
2 donde haya equipos informaticos.
Verificar la existencia de un lugar de
almacenamiento de equipos de computo en las
3 instalaciones de la empresa
Verificar la existencia y vigencia de extinguidores de
4 fuego para casos de emergencia
Inspeccionar si los cables de conduccin eletrica
estan resguardados y no representen peligro tanto
5 para equipos como para el personal usuario.
6
7
9
10
11
14
15
Observacin fisica de los equipos de computo para
determinar:
Su existencia
16
Su funcionalidad
Obtener evidencia de los sistemas informaticos
mediante fotografas.
PT-A
PT-DIR-1
PT-DIR-1
PT-DIR-1
PT-DIR-1
PT-I-D1-1
PT-I-D1-1
PT-I-D1-1
PT-I-D1-1
OBS ERVACIONES
El edificio no presenta
31/03/2015 daos estructurales
8 departamentos
autorizados para realizar
31/03/2015 la auditora.
Existe una bodega donde
almacenan recursos
informaticos caducos y
31/03/2015 vigentes.
Existen pero no estan
31/03/2015 vigentes.
Los cables estan
31/03/2015 resguardados.
No existe planes para la
seguridad de los sistemas
informaticos y otros
31/03/2015 equipos
01/04/2015 14 Equipos evaluados
Existen riesgos que
pueden daar los equipos
01/04/2015 de la empres
La mayora de equipos
estan sucios y con mucho
01/04/2015 polvo.
Todos los equipos
01/04/2015 cuentan con ups
PT-I-D1-1
PT-DIR-1
31/03/2015
PT-DIR-1
No hay planes de
31/03/2015 seguridad.
PT-DIR-1
PT-I-D1-1
31/03/2015
PT-I-D1-1
01/04/2015
PT-I-D1-1
La mayora de equipos
funcionan y tiene
01/04/2015 windows XP
PT-I-D1-1
PT-I-D1-1
PT-I-D1-1
PT-I-D1-1
PT-I-D1-1
01/04/2015
01/04/2015 Los equipos existen
01/04/2015 No todos funcionan
Se tomaron fotos de
01/04/2015 todos los equipos.
64
Papeles de trabajo
I-D1-1
Empresa: GRUPO ESMERALDA LOS KUATRO, S.A.
Perodo: al 01-04-2015
Cdula
Descriptivas
Preparado
Revisado
Por
GO
Fecha
01-04-15
EQUIPO PROPIO
FECHA DE ADQUISICIN
EQUIPO EN LEASING
TIEMPO DE GARANTA
No.
1
2
3
4
5
6
COMPONENTE
CPU
MONITOR
TECLADO
MOUSE
UPS
BOCINAS
No.
1
2
3
COMPONENTE
DISCO DURO
MEMORIA RAM
PROCESADOR
EMPRESA
TIPO DE AUDITORIA
SI
EQUIPO DE CMPUTO
SISTEMA OPERATIVO
NOMBRE DEL EQUIPO
USUARIO
No. DE USUARIOS
WINDOWS XP
Winxp-f6db06c4b
Usuario
5
CONCLUSIONES:
El equipo de computo an maneja el sistema operativo Windows XP (esta desactualizado), el cableado no estra resguardado
ante cualquier peligro que pudiera surgir por derramamiento de liquidos, accidentes al momento de hacer la limpieza del
departamento. La cantidad de almacenamiento de Disco Duro y memoria RAM es muy reducida por lo que no se garantiza
el funcionamiento de otros programa que no sean compatibles con la version de windows XP.
Es necesario colocar los cables en poliductos y otros medios protectores para la salvaguarda del activo informatico, por el
tipo de windows la computadora es muy lenta por lo que se recomienda planificar el cambio de equipo.
65
Carta de opinin
Carta de opinin de auditoria
Seor
Ral Alberto Njera Ponce
Director General
Corporacin Radial del Norte, S.A.
Cobn, Alta Verapaz
Responsabilidad de la Administracin
La administracin es responsable de las polticas y normas de seguridad fsica de los
sistemas de cmputo y del personal que se implementen en los departamentos y reas
que posea la empresa. Los hechos presentes en las reas, son responsabilidad de
quienes hacen uso del servicio de sistemas de cmputo.
Responsabilidad del Auditor
Mi responsabilidad es expresar una opinin sobre la seguridad fsica en que se
encuentran los sistemas de cmputo y otros equipos que posea la empresa. Con el
objetivo de disminuir aspectos que pudieran afectar las operaciones que se realizan a
travs del equipo de cmputo, de esta manera contribuir al mejoramiento del control
interno que posee la empresa.
66
alguna irregularidad y no sea detectada oportunamente. Es importante mencionar que
esta auditora, se realiz a travs de la aplicacin de procedimientos y tcnicas para
evaluar especficamente la funcionalidad y seguridad fsica de los sistemas informticos
y otros equipos.
Base para opinin con salvedades
Las consideraciones siguientes son significativas
Cucul
Auditor
67
Seor:
Ral Alberto Njera Ponce
Director General
Corporacin Radial del Norte, S.A.
Cobn, Alta Verapaz
He auditado la seguridad fsica de los sistemas informticos y otros activos que posee la
empresa que representa.
Aclaro que el objetivo de esta revisin ha sido expresar una opinin sobre los controles
y polticas de seguridad fsica de equipos informticos que tiene la empresa, los
procedimientos de evaluacin practicados no han sido extensos. Por lo anterior las
observaciones no incluyen necesariamente todas aquellas posibles sugerencias que se
podran poner de manifiesto por medio de un estudio especial sobre la materia.
Es importante hacer presente que ningn sistema de control interno puede lograr
eliminar totalmente el riesgo de que errores o irregularidades ocurran y no sean
detectados oportunamente.
Los aspectos que a mi juicio profesional son significativos en el control interno se
incluyen en el cuerpo del presente informe, los cuales a continuacin se describen:
68
Hallazgos y recomendaciones
HALLAZGO No. 01:
Equipo de cmputo con sistema operativo desactualizado.
Condicin:
Actualmente el Windows que se utiliza ya no tiene actualizaciones porque el proveedor
dejo de comercializarlas desde octubre de 2014.
Criterio:
El sistema operativo de un equipo de cmputo es la base en la que funcionan todas las
aplicaciones y programas, en ello radica que su actualizacin sea de importancia.
Causa:
Desinters por parte de la direccin y gerencia en actualizar los equipos ya que no le
prestan la importancia debida a esta situacin.
Efecto:
Problemas de incompatibilidad e infecciones de virus altamente peligrosos que el
sistema desactualizado no pueda combatir.
Recomendacin:
Realizar la actualizacin del sistema operativo de los equipos que presentan
desactualizacin para mejorar el rendimiento de los mismos.
Condicin:
Los cables de las computadoras no estn en canaletas, estn en desorden y hay reas
en las que se encuentran muy cerca de las sillas de los usuarios, estn expuestos a
cualquier peligro.
69
Criterio:
El cableado de los equipos de cmputo es esencial para que los equipos
y sus
Recomendacin:
Implementar canaletas para los cables de las computadoras para su resguardo, se debe
tener en cuenta la seguridad del cableado y su distribucin al instalar un equipo de
cmputo.
70
Efecto:
Riesgo de que los equipos de cmputo sufran cada accidentas que daen su estructura
interna y externa, as como daos a los cables de conexin.
Recomendacin:
Realizar la reparacin del mobiliario que soporta el equipo de cmputo, adems de ello
se sugiere establecer un programa de revisin de la estructura fsica de los muebles
que soportan todos los equipos de cmputo para prevenir accidentes y daos a los
equipos.
HALLAZGO No. 4:
Equipo de cmputo sin funcionamiento y mantenimiento.
Condicin:
Actualmente en el departamento de ventas y departamento tcnico existen
computadoras que no funcionan desde hace un mes aproximadamente.
Criterio:
El desarrollo de las actividades que requieren de equipo informtico es eficiente cuando
dicho equipo funciona. El mantenimiento a los equipos es esencial para que funcionen y
no sufran daos.
Causa:
No existe planificacin sobre reparacin y mantenimiento de equipos de cmputo. La
direccin y Gerencia no tienen claro la utilidad de que todos los equipos funcionen.
Efecto:
Retrasos en las actividades de ventas y del servicio tcnico de equipos de transmisin.
Prdida de informacin que los equipos que no funcionan poseen
71
Recomendacin:
Programar la reparacin de los equipos de cmputo, de la misma manera tener una
planificacin sobre reparacin y mantenimiento que indique procedimientos a seguir en
caso de que una maquina no funcione.
Causa:
La parte superior de las paredes estn abiertas por lo que hay facilidad de ingreso de
polvo. El rea de seguridad no es objeto de limpieza por parte del conserje, sino hasta
que el director general se lo indica.
Efecto:
El polvo puede conducir electricidad por esto puede ocasionar corto circuitos y fallas en
los componentes, el polvo entra en los ventiladores y los hace ms ruidosos. Puede
llegar el momento en que sea insoportable el ruido y se deban limpiar y lubricar o
cambiar definitivamente. El exceso de polvo produce recalentamiento del procesador.
Los puertos USB son afectados por el exceso de polvo dando errores de lectura o no
detectan los dispositivos.
72
Recomendacin:
Realizar mantenimiento de los equipos enfatizndose en la limpieza interna y externa
del polvo existente. Utilizar ventiladores para que esparzan el polvo e impida que se
adhiera al equipo de cmputo.
Criterio:
En la prevencin de accidentes informticos se hace nfasis en los lquidos que el
personal ingresa a su centro de trabajo. El ndice de accidentes en oficinas disminuye
cuando los trabajadores estn informados sobre los riesgos potenciales y las prcticas
de trabajo seguras.
Causa:
Desconocimiento del personal sobre normas de seguridad en una oficina con ambiente
informtico
.
Efecto:
Cortos circuitos provocados por lquidos derramados en el equipo de cmputo. Fallas en
el equipo de cmputo que pueden generar su descompostura total.
Recomendacin:
Establecer normas al personal sobre el ingreso de alimentos a las oficinas, adiestrar al
personal sobre los riesgos que se corren al ingresar lquidos a las oficinas de cmputo.
73
APORTE
Q.50,000.00
Q. 50,000.00
Q. 20,000.00
DOCUMENTO IDENTIDAD
1502 09210 1554
1002 08621 4401
1121 01454 4241
Datos:
RUC: 20503271754
Direccin: 8 Avenida y 5 Calle Zona 3, Guatemala, local donde se encuentran ubicadas
las oficinas administrativas
74
Operaciones realizadas en periodo a investigar:
1. Socio Antonio Reyes Martnez aporta en efectivo (segn recibo de
caja N 001)
2. Socio Carola Reyes Martnez aporta en vehculo (segn contrato
1012)
3. Compra de mercadera por
Pago de efectivo segn comprobante de egreso 001
Q.25,000.00
y a crdito el saldo segn letra 2025
Q.25,000.00
4. Compra muebles y enseres por
Paga en efectivo segn comprobante de egreso 002
Q.20,000.00
5. Vende mercadera con utilidad de S/.30,000.00, le pagan el 50% en
efectivo y el 50 % restante a crdito (factura venta 001)
Recibe en efectivo (segn recibo 002 )
Q.18,000.00
Le firman documento (letra 001) por
Q.40,000.00
6. Paga sueldo a empleados, paga en efectivo segn comprobante de
egreso 003
7. Utiliza servicios de publicidad quedando pendiente segn letra
15210
8. El socio Pedro Gutirrez, aporta en efectivo 003
9. Compra edificio segn escritura pblica 252056AC
Obtiene crdito hipotecario segn pagare 8894 Banco de Crdito
Detalle :
Se evala el terreno en
Q.500,000.00
El avalu de lo construido
Q.1,500,000.00
Q.50,000.00
Q.50,000.00
Q.50,000.00
Q.20,000.00
Q.58,000.00
Q.25,000.00
Q.1,500.00
Q.20,000.00
Q.2,000,000.00
75
DENITEX SAC
PROGRAMA DE LA AUDITORIA FORENSE
PERIODO: DEL 01.ENE.2004 AL 31.DIC.2004
PROCEDIMIENTO DE AUDITORIA
1) Obtener copia literal de Registros Publicos, de Denitex
S.AC con una vigencia no mayor a 30 dias y verificar: razon
social, objeto social, fecha de constitucion, vigencia,
direccion principal. Nombre de representante legal.capital
inicial, capital actu
2).Obtener la escritura de constitucion y las modificaciones
realizadas y verificar los cambios importantes en la
trayectoria del negocio.
3) Obtener los ultimos balances a fecha de corte 31 de
diciembre , asimismo verificar que esten firmados por el
contador y el representante legal, asimismo confirmar si
estan autorizados.
4) Obtener el estado de perdidas y ganancias anterior al
periodo de investigacion , asimismo verificar que esten
firmados por el contador y el representante legal, asimismo
confirmar si estan autorizados.
5) Elaborar un estado de flujo de efectivo, asi como un
cuadro de activos fijo de la compaa.
6) Obtener las facturas de ventas de Denitex SAC del periodo
de investigacion, verificar su orden correlativo, el detalle de
cada uno (productos).
7) Obtener las facturas de compras de Denitex SAC del
periodo de investigacion, verificar su orden correlativo, el
detalle de cada uno (productos).
8) Identificar los principales clientes y proveedores de la
organizacin, realizar cruce de comprobantes de pago
(montos, fechas y detalle de productos)
9) Verificar el el correcto registro de los recibos de caja
producto de las transacciones realizadas
10) Verificar los contratos suscritos por la empresa, asi como
su verificacion si estan inscritos en Registros Publicos (si son
obligatorios)
11) Corroborrar la tasacion en la compra de inmuebles, asi
como la habilitacion del tasador.
12) Revisar la nomima de empleados de la empresa, las
boletas de pago y el grado de parentesco de los mismos.
13) .Revisar y evaluar la solidez y/o debilidades del sistema
de A31Control Interno y con base en dicha evaluacin
RRC
16.01.05
1 DIA
RRC
18.01.05
2 DIAS
EPO
20.01.05
2 DIAS
EPO
20.01.05
2 DIAS
EPO
24.01.05
4 DIAS
GAS
27.01.05
3 DIAS
GAS
27.01.05
3 DIAS
GAS
29.01.05
4 DIAS
EPO
27.01.05
3 DIAS
EPO
01.02.05
4 DIAS
GAS
30.01.05
3 DIAS
GAS
03.02.05
3 DIAS
RRC
29.01.05
7 DIAS
76
AUDITORIA FORENSE
INFORME DE AUDITORIA
I.
INTRODUCCIN
Cargo
Auditor Supervisor
Auditor Encargado
Auditor Integrante
Auditor Integrante
Auditor Integrante
1. Actividades de la Organizacin
Compaa Denitex SA., es una empresa que se dedica a la compra y venta de telas,
siendo su mercado objetivo empresas del sector pblico, quienes convocan
licitaciones para la adquisicin de insumos
2. Objetivos del Examen
General
Encontrar y demostrar actos ilcitos que sirvan de pruebas en un proceso
judicial contra las persona so instituciones que practican dichas actividades.
Especficos:
Determinar que las transacciones comerciales cumplan con los requisitos
establecidos por los rganos competentes
Verificar el origen de los aportes de los socios
Determinar la existencia jurdica de clientes y proveedores.
Determinar que el movimiento de inventario sea real
3. Alcance del examen
La Auditoria Forense correspondiente al requerimiento del Juzgado de Guatemala.
El perodo examinado abarc desde el 01 de Enero al 31 de Diciembre de 2013.
Comprende la evaluacin de las transacciones comerciales efectuadas por la
empresa Denitex SA.
77
4. Metodologa y Tipo del Examen
El presente Examen es una Auditoria Forense que es la investigacin de hechos
para obtener pruebas para demostrar actividades ilcitas dentro de una organizacin
5. Nmina de Funcionarios
Se aclara que dichos funcionarios laboraron en todo el periodo 2013.
NOMBRES Y APELLIDOS
1
2
3
4
5
6
CARGO
Gerente General
Jefe de Ventas
Jefe de Contabilidad y Finanzas
Jefe de almacn
Auxiliar Contabilidad
Auxilliar Administrativo
6. Comunicacin de hallazgos
El presente Informe se emite despus de haber comunicado los respectivos
Hallazgos de Auditora a los funcionarios involucrados, los mismos que luego de
haber recibido sus comentarios y/o aclaraciones, fueron materia de evaluacin por
parte de la presente Comisin de Auditoria.
78
II.
OBSERVACIONES
sustente su
79
3. Existen salidas de mercadera que no cuenta con documento que lo respalde
Durante la revisin del kardex de la empresa Denitex SA. se hall la existencia de
salida de tela Denim Stretch durante los das 03, 19 y 30 de junio del 2013 que hacen
un total 1721.25 mt cuyo valor asciende a Q.5508.00, siendo entregadas a la empresa
JARA EIRL.
Se convers con el encargado de Almacn Sra Luca lvarez, el cual confirmo la salida
de la mercadera con Notas de Salida correspondiente, indicando adems que no es
responsable por la emisin de su respectivo comprobante de pago. Por su parte el
auxiliar contable, encargado de facturacin, indico que la salida de dicha mercadera fue
autorizada directamente por el Gerente General.
Esta operacin se realiz con la finalidad de evadir el impuesto respectivo. Adems al
no estar reflejados estos ingresos en la contabilidad de la empresa, el Gerente General
le dio uso personal a estos ingresos.
4. Emisin de factura por un importe de Q.18,000.00 por venta no realizada al cliente
SEINTESA
Durante la revisin del registro de venta de Denitex SA. se descubri la existencia de la
factura 001-00139 con fecha 30 de junio emitida al cliente SEINTESA por un monto
mayor a las compras normales de este cliente, asimismo se encontr el original y todas
las copias, al preguntrsele al contador, este no pudo explicar el motivo de esta
anomala. Motivo por el cual se circulariz con el registro de compras del cliente y se
descubri que este no tena registrada la factura as como no haba una orden de
compra para el mismo.
Esta situacin se origina debido a que se busca justificar la entrada de efectivo por
Q.18,000, para encubrir ingresos provenientes de actividades ilcitas, como es en este
caso lavado de dinero.
La situacin encontrada provoc que se encubra la entrada ilegal de efectivo,
proveniente del lavado de dinero.
80
III.
CONCLUSIONES
81
IV.
RECOMENDACIONES
82
CONCLUSIONES
La mayora de empresas del siglo XXI, estn adoptando sistemas y tecnologas de
informacin para realizar sus operaciones de una manera ms eficiente, este tipo de
tecnologa que adquieren las empresas representan una fuerte inversin que hay que
cuidar de la mejor manera, para ello existe la auditoria en informtica la cual busca
prevenir, identificar y gestionar de la mejor manera los riesgos que pudieran existir.
Para que una auditoria en informtica se realice de una manera exitosa, esta debe
ser realizada por un profesional con un alto grado de conocimiento en informtica y
suficiente en el rea. El auditor debe de implementar un control interno informtico que
controle las actividades de los sistemas de informacin, estndares y normas
pertinentes dentro de la entidad.
Las etapas a desarrollar en una autora en informtica son planeacin la cual debe
realizarse cuidadosamente y objetivamente la cual se realiza en tres procesos que son:
conocimiento general de la entidad, alcance de la auditoria y definicin del programa de
auditoria.
Luego se encuentra la ejecucin en donde se aplican herramientas que permiten
evaluar el riesgo computacional y as obtener evidencias suficientes, pertinentes y
competentes.
Por ltimo se encuentra la finalizacin, donde se redacta el informe de auditora, que
contiene el resumen de la gestin y el informe detallado de auditoria el cual debe ser
coherente, de calidad, confiable y veraz.
83
De acuerdo a la necesidad de la empresa la auditoria se puede aplicar de la
siguiente manera: fsica, ofimtica, de la direccin, de la explotacin, del desarrollo, de
mantenimiento, de sistemas, calidad, etc.
Las empresas se ven expuestas a diferentes riesgos, tales como fraudes,
corrupcin, incumplimiento de funciones, etc., actividades ilcitas que perjudican
grandemente. Por ello es necesario contar con los conocimientos necesarios (amplia
experiencia contable, conocimiento en procesos penales, entre otros) para poder aplicar
un examen especializado que permita descubrir y prevenir dichas actividades.
Este examen especializado es la auditoria forense la cual tiene como objetivo
primordial cuidar los valores de la empresa, as mismo detectar todos los riesgos
posibles y darles el tratamiento que mejor corresponda. Para que un auditor realice este
tipo de auditoria debe contar con habilidades de detective, criminologa, ya que la
evidencia obtenida servir como herramienta ante un juez, el cual impartir justicia.
Los principales usuarios de la auditoria forense son las entidades de carcter
gubernamental, privado, entidades financieras entre otras. Entre los principales de
aplicacin de esta auditoria se encuentran: demandas de seguros, prdidas financieras,
incumplimiento de contratos.
Esta auditoria se clasifica en preventiva y detectiva, ya que la primera es de carcter
proactivo y busca detectar y reaccionar de manera anticipada, mientras que la segunda
busca descubrir la existencia y responsables de dichas actividades ilcitas.
84
BIBLIOGRAFA