Auditoria Informatica y Auditoria Forense_Final.pdf
Transcript of Auditoria Informatica y Auditoria Forense_Final.pdf
-
SEMINARIO DE CASOS DE AUDITORIA
LIC. OSCAR OXOM
DCIMO SEMESTRE
TEMA:
AUDITORIA INFORMTICA
AUDITORA FORENSE
INTEGRANTES:
JAYRO NERY CALEL SIS 201143896
EDGAR HUMBERTO YOJ JOM 201143905
BAYRON ALEXANDER POP CUCUL 201143897
BYRON EMILIO COY MORAN 201143996
CESAR AUGUSTO CU CAAL 201040614
COBN ALTA VERAPAZ, 03 DE OCTUBRE DE 2015
-
NDICE
INTRODUCCIN ..................................................................................................................... I
OBJETIVOS ............................................................................................................................III
CAPITULO I ............................................................................................................................ 1
AUDITORIA INFORMATICA ..................................................................................................... 1
1.1. CONCEPTO ........................................................................................................................................ 1
1.2. CAMPOS DE ACCIN DE LA AUDITORA INFORMTICA ................................................................................. 3
1.3. PERFIL DEL AUDITOR ............................................................................................................................ 4
1.4. OBJETIVOS DE LA AUDITORA INFORMTICA .............................................................................................. 4
1.5. CONTROL INTERNO INFORMTICO .......................................................................................................... 5
1.6. ETAPAS DE UNA AUDITORIA INFORMTICA ............................................................................................... 6
1.6.1. Planeacin ............................................................................................................................. 6
1.6.2. Ejecucin ............................................................................................................................. 13
1.6.3. Finalizacin .......................................................................................................................... 18
1.7. TIPOS DE AUDITORA INFORMTICA ...................................................................................................... 19
1.7.1. Auditoria Fsica .................................................................................................................... 19
1.7.2. Auditoria Ofimtica ............................................................................................................. 21
1.7.3. Auditoria de la direccin ..................................................................................................... 23
1.7.4. Auditoria de la explotacin ................................................................................................. 23
1.7.5. Auditoria del desarrollo ....................................................................................................... 24
1.7.6. Auditoria del mantenimiento .............................................................................................. 25
1.7.7. Auditora de bases de datos ................................................................................................ 27
1.7.8. Auditoria de tcnica de sistemas ......................................................................................... 28
1.7.9. Auditoria de la calidad ........................................................................................................ 30
1.7.10. Auditora de la seguridad .................................................................................................... 33
-
1.7.11. Auditora de los sistemas redes ........................................................................................... 35
1.7.12. Auditoria de aplicaciones .................................................................................................... 38
1.7.13. Auditoria Jurdica de entorno informticos ......................................................................... 39
CAPTULO II ......................................................................................................................... 41
AUDITORA FORENSE ........................................................................................................... 41
2.1. DEFINICIN ..................................................................................................................................... 41
2.2. OTRAS DEFINICIONES ......................................................................................................................... 44
2.3. OBJETIVOS DE LA AUDITORA FORENSE .................................................................................................. 45
2.4. CONOCIMIENTOS Y HABILIDADES DEL AUDITOR FORENSE ........................................................................... 46
2.5. QUINES DEMANDAN EL SERVICIO DE AUDITORA FORENSE? .................................................................... 47
2.6. CAMPOS DE ACCIN DEL AUDITOR FORENSE ........................................................................................... 49
2.7. DIVERSOS TIPOS DE TAREAS QUE PUEDE DESARROLLAR UN AUDITOR FORENSE ............................................... 49
2.7.1. Auditora investigativa ........................................................................................................ 49
2.7.2. Sumario administrativo ....................................................................................................... 50
2.7.3. Investigacin pre judicial ..................................................................................................... 50
2.7.4. Actuacin pericial y testimonio judicial ............................................................................... 51
2.8. MARCO DE ACTUACIN Y NORMATIVO .................................................................................................. 52
2.9. IMPORTANCIA .................................................................................................................................. 53
2.10. CLASIFICACIN DE ACTUACIN ............................................................................................................. 55
2.10.1. Preventiva ........................................................................................................................... 55
2.10.2. Detectiva ............................................................................................................................. 55
2.11. FASES DE LA AUDITORA FORENSE ......................................................................................................... 56
2.11.1. Planificacin ........................................................................................................................ 56
2.11.2. Trabajo de campo ............................................................................................................... 57
2.11.3. Comunicacin de resultados ............................................................................................... 58
2.11.4. Monitoreo del caso.............................................................................................................. 59
-
2.11.5. Elaboracin del Informe Final.............................................................................................. 59
ANEXOS ............................................................................................................................... 60
CASO PRCTICO, AUDITORA INFORMTICA ......................................................................... 60
CASO PRCTICO, AUDITORA FORENSE ................................................................................. 73
CONCLUSIONES .................................................................................................................... 82
BIBLIOGRAFA ...................................................................................................................... 84
-
I
INTRODUCCIN
Los sistemas de informacin de las empresas cada vez son ms dependientes de la
informtica, sistemas de cmputo y tecnologas de informacin, lo que hace necesario
verificar su correcto funcionamiento y eficiencia, para evitar cualquier riesgo de fraude o
prdida de informacin con ayuda de los computadores. Es as como, la auditoria
informtica cobra una real importancia para las empresas, ms aun teniendo en cuenta
que la informacin se ha convertido en uno de los activos principales, y que las
inversiones en sistemas de informacin son cada vez ms grandes.
Sin embargo hoy en da todava existen empresas que no asimilan las nuevas
tecnologas, manejan aplicaciones obsoletas, no planifican los sistemas de informacin,
e incluso llevan a cabo procesos manuales difciles y costosos. Esto no solo causa
prdidas a las entidades sino que representa riesgos en el manejo de la informacin. La
auditora informtica aqu juega un papel primordial, porque aporta soluciones tanto en
el reconocimiento de fallas o indicios de un mal procedimiento, que pueda tener
consecuencias negativas para la empresa, como una forma de mejorar los procesos en
el mbito de la informtica aportando al funcionamiento general de la empresa y a la
reduccin de costos.
Toda empresa cuenta con un sistema de control interno, que protege los valores de la
misma, sin embargo es importante mencionar que el riesgo inherente a una actividad
ilcita (corrupcin, fraudes y sobornos en el desarrollo de funciones) no desaparece
debido a diferentes circunstancias. Es por ello que este tipo ilcitos se debe de tratar de
una manera diferente y especializada, esto a travs de una auditoria forense, la cual se
busca descubrir y divulgar estos delitos de una manera penal ante un juez competente.
-
II
El auditor que realice este tipo de auditoria, debe contar con una amplia experiencia
contable, habilidades de detective y conocimiento sobre leyes de carcter penal, ya que
la evidencia recaba servir como pruebas contundentes delante de un juez competente.
Dependiendo el enfoque que se le d a este tipo de auditoria esta puede clasificarse: en
preventiva, detectiva. Es importante mencionar que al momento de planificar este tipo
de auditoria debe tomarse el tiempo necesario, evitando de esta manera la exageracin
e improvisacin de la misma.
-
III
OBJETIVOS
Conocer la importancia de una auditoria en informtica y forense.
Identificar los principales objetivos de la auditoria informtica y forense.
Conocer las habilidades y conocimientos que se debe tener para realizar una
auditoria informtica y forense.
Conocer los diferentes tipos de auditoria en informtica y forense existentes.
-
1
CAPITULO I
AUDITORIA INFORMATICA
1.1. Concepto
La auditora informtica es un proceso llevado a cabo por profesionales
especialmente capacitados, que consiste en recoger, agrupar y evaluar evidencias
para determinar si un sistema de informacin salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organizacin, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. Adems, la auditoria permite detectar de forma
sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determinar qu informacin es crtica para el cumplimiento de su
misin y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de informacin eficientes.
El desarrollo de una auditoria informtica es importante debido a que permite
identificar fortalezas, debilidades y riesgos en la gestin de proyectos,
funcionalidad de los sistemas de informacin, configuracin de la plataforma
informtica, calidad en los servicios prestados, y dems aspectos incluidos en el
mbito del uso y aplicacin de las Tics en la entidad. A partir de esta informacin,
el auditor puede brindar recomendaciones y propuestas para el mejoramiento de
los procesos de la entidad, dando as soluciones integrales y un apoyo para el
logro de los objetivos establecidos en la entidad.
-
2
La auditora informtica se puede desarrollar de dos maneras, por medio de
una auditoria interna, aquella que se hace dentro de la empresa por un auditor
interno; y auditoria externa, como su nombre lo indica es aquella en la cual la
empresa contrata a personas de afuera para que haga la auditoria en su empresa.
Asimismo, la auditoria informtica se desarrolla en tres etapas, que aseguran su
eficacia y eficiencia, planeacin, ejecucin e informacin. Estas etapas se llevan a
cabo consecutivamente, y permiten una retroalimentacin constante durante el
desarrollo de la auditoria, garantizando as su calidad y pertinencia.
Ante estas situaciones, y los rpidos cambios en el mundo, los directivos
deben tomar decisiones para revaluar y restructurar sus sistemas de informacin y
controles internos, asegurando la integridad de la informacin.
El auditor durante el desarrollo de la auditoria adquiere responsabilidades,
tanto en el ejercicio de la auditoria como en la planeacin y ejecucin de la misma.
Estas responsabilidades estn contempladas en los diferentes aspectos de la
auditoria informtica, que permiten establecer el mbito de actuacin del auditor.
Los aspectos funcionales se enfocan a la adecuacin de los sistemas en funcin
de las necesidades reales y la evaluacin del rendimiento y fiabilidad de los
mismos. Los aspectos econmicos relacionados con la informtica le permitirn al
auditor conocer sobre los presupuestos del servicio informtico o los costos del
desarrollo de un plan de sistemas. Los aspectos tcnicos envuelven los equipos,
perifricos, procedimientos de captura de datos, redes, comunicaciones, entre
otros. Los aspectos de direccin, contemplan las indicaciones hacia los planes
informticos, en cuanto a su adecuacin y seguimiento. Finalmente, los aspectos
de seguridad se relacionan a la confidencialidad de los datos, seguridad de
-
3
CAMPO DE ACCION
DEL AUDITOR
Instructivos y documentacin.
Formas de implantacin.
Evaluacin administrativa
del rea informtica
Evaluacin de los
sistemas y
procedimientos, y de la
eficacia que se tiene en el
uso de la informacin.
Evaluacin de la
eficiencia y eficacia con la
que se trabaja.
ELEMENTOS
Facilidades para la elaboracin de los sistemas.
Control de proyectos.
Control de sistemas y programacin.
Evaluacin del anlisis de los sistemas y sus diferentes
etapas.
Evaluacin del diseo lgico del sistema.
Evaluacin del desarrollo fsico del sistema.
Integracin de los recursos materiales y tcnicos.
Direccin y controles administrativos del rea de
procesos electrnicos.
Costos y controles presupuestales.
Objetivos del departamento, direccin o gerencia.
Metas, planes, polticas y procedimientos de procesos
electrnicos estndares.
Organizacin del rea y su estructura orgnica.
Funciones y niveles de autoridad y responsabilidad del rea
de procesos electrnicos.
acceso, proteccin de las instalaciones, y dems factores que garanticen la
seguridad de los sistemas informticos.
1.2. Campos de accin de la auditora informtica
El departamento o rea de informtica en una empresa, debe llevar a cabo un
control interno informtico, que permita controlar las actividades diarias de los
sistemas de informacin y verificar si estas cumplen a cabalidad con los
procedimientos, estndares y normas pertinentes, tanto dentro de la empresa
como las establecidas nacional e internacionalmente. El trabajo realizado en
control interno informtico colabora y apoya el trabajo de la auditoria informtica.
-
4
1.3. Perfil del auditor
Para el desarrollo de una auditoria informtica exitosa, el auditor debe ser un
profesional con un alto grado de conocimiento en informtica y suficiente
experiencia en el rea, as como habilidad para comunicarse efectivamente y dar
un trato adecuado a las personas. El auditor, ya sea interno o externo, debe ser
independiente de las actividades que audita, asegurando un trabajo objetivo y
profesional.
Al momento que el auditor acepta el trabajo de auditoria, est aceptando la
responsabilidad de actuar a favor del inters pblico, cumpliendo no solo las
necesidades de su cliente, sino acogindose a los requisitos establecidos en el
Cdigo de tica para profesionales.
1.4. Objetivos de la auditora informtica
Verificar si los riesgos del negocio y de Tecnologa de informacin han sido
identificados y gestionados apropiadamente.
Salvaguardar los activos, en trminos de proteccin de hardware, software
y recursos humanos.
Verificar control interno.
Control de la funcin informtica:
Verificar que las aplicaciones proporcionen informacin oportuna,
exacta, necesaria y suficiente.
Revisar las medidas de seguridad, integridad de la informacin,
procedimientos de operacin, infraestructura de sistemas,
procedimientos de mantenimiento, proceso de desarrollo de
sistemas, software y hardware.
-
5
Revisar y evaluar el nivel de eficacia, utilidad, fiabilidad y seguridad de
los equipos e informacin.
Anlisis de la eficiencia de los sistemas informticos y el estado del arte
tecnolgico de las instalaciones.
Anlisis de la gestin de los riesgos de la informacin y de la seguridad
implcita.
Diagnosticar el grado de cobertura de las aplicaciones a las necesidades
estratgicas y operativas de la informacin de la organizacin.
Verificacin del cumplimiento de la normatividad de la empresa.
Verificar la proteccin de activos e integridad de los datos y nivel de
continuidad de las operaciones.
Revisin de la eficaz gestin de los recursos materiales y humanos
informticos
1.5. Control interno informtico
El control interno informtico controla diariamente todas las actividades de los
sistemas de informacin para asegurar que se estn cumpliendo los
procedimientos, estndares y normas pertinentes dentro de la entidad. Esta tarea
la lleva a cabo el personal asignado dentro del departamento de informtica en la
entidad, quienes tienen como objetivos:
Controlar que todas las actividades sean realizadas de acuerdo a los
procedimientos, estndares y normas establecidas y pertinentes.
Asesorar sobre las normas y regulaciones pertinentes.
Colaborar y apoyar el trabajo de la auditoria informtica.
Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro.
-
6
Asegurar que las modificaciones de los procedimientos, correspondientes
al mantenimiento, estn adecuadamente diseadas, probadas, aprobadas
e implementadas.
Garantizar la proteccin en los procedimientos programados, evitando as
cambios no autorizados.
Para determinar la implementacin de controles es importante conocer el
sistema, sus elementos, productos y herramientas; lo que permite identificar los
posibles riesgos. Este conocimiento envuelve el entorno de red, configuracin del
computador base, entorno de aplicaciones, productos y herramientas, y seguridad
del computador base. La responsabilidad de este sistema de control interno
informtico es de la gerencia o direccin de la empresa, quienes deben definir las
normas de funcionamiento del entorno informtico mediante el establecimiento de
procedimientos, estndares, metodologas y normas a seguir.
1.6. Etapas de una auditoria informtica
Para que la auditoria informtica se desarrolle apropiadamente, esta se debe
llevar a cabo en tres etapas bien definidas, planeacin, ejecucin, e informacin.
1.6.1. Planeacin
La planeacin de la auditoria debe hacerse cuidadosa y objetivamente.
Esta funcin de planear la auditoria se desarrolla en tres procesos:
conocimiento general de la entidad, definicin del mbito y alcance de la
auditoria, y definicin del programa de auditoria; procesos que permiten
llevar a cabo la auditoria de una manera eficaz y eficiente.
El proceso de planeacin comprende el establecer metas, programas
de trabajo de auditoria, planes de contratacin de personal, presupuesto
-
7
financiero, e informes de actividades. De esta manera, esta etapa inicia
con un diagnostico general de la organizacin o entidad, en torno a los
ambientes organizacional, informtico y de control interno; que permite
reconocer los sistemas y procesos dentro de la entidad, y a su vez
identificar cualquier falla o anomala que afecte los mismos.
Esta informacin permite que el auditor establezca el alcance y
planeacin de los procedimientos a seguir, as como:
Destinatario de las conclusiones, documentacin a entregar y fechas.
Informacin y documentacin previa a solicitar (informes previos de
auditora, organigrama funcional y departamental, esquema de
arquitecturas, procesos o interfaces).
Programas de trabajo detallados y estndares que se van a seguir
(COBIT, ISO).
Identificacin de interlocutores (administradores de bases de datos,
responsables de la seguridad) e identificacin de herramientas
tecnolgicas para la realizacin del trabajo.
a) rea informtica
En cuanto al rea informtica el diagnostico comprende la revisin y
evaluacin de la organizacin, administracin, operacin, seguridad,
infraestructura de computo, procesamientos electrnico de datos, y
herramientas de tecnologa de informacin. El auditor debe tener en
cuenta los siguientes aspectos:
Estructura de funciones del rea de sistemas.
-
8
Estudios de viabilidad: Anlisis de costos y beneficios sobre el uso
de los computadores a largo plazo, definiendo tipo de hardware,
software, perifricos, y equipo de comunicaciones, necesarios para
lograr los objetivos de la organizacin y el departamento de
informtica. De la misma manera, este estudio permite evaluar si un
procedimiento puede ser llevado a cabo por el computador, y cules
son las alternativas para un mejor resultado. Los resultados del
estudio de viabilidad deben ser distribuidos al personal de
informtica, como base y soporte para la compra, contratacin o
elaboracin de un proyecto.
Plan estratgico de sistemas e informtico: Definicin de objetivos a
largo plazo y las metas necesarias para lograrlos. Este plan envuelve
el plan estratgico de organizacin, plan estratgico de sistemas de
informacin, plan de requerimientos y plan de aplicaciones de
sistemas de informacin.
Plan de proyectos: Plan bsico para desarrollar un sistema y
asegurar que el proyecto es consistente con las metas y objetivos de
la organizacin.
Plan estratgico de instalaciones.
Plan de seguridad: Debido a que las instalaciones de informtica
estn expuestas a desastres por varias razones, huracanes,
inundaciones, fuego, terremotos, entre otros; debe existir un plan que
permita reducir los riesgos a un nivel aceptable, planeando los
seguros que se deban obtener, y el plan de recuperacin en caso de
un desastre, que permita garantizar el funcionamiento de las
-
9
operaciones en el menor tiempo posibles y con el menor impacto
para la organizacin.
Plan de contingencias: En la organizacin pueden ocurrir diferentes
accidentes debido a mal manejo de la administracin, negligencia,
ataques o desastres naturales. Es por esto que la organizacin debe
contar con un plan de contingencia que prevea cualquier riesgo que
afecta a la organizacin y determinar cules son las acciones a
seguir. El plan de contingencias es definido como la identificacin y
proteccin de los procesos crticos de la organizacin y los recursos
requeridos para mantener un aceptable nivel de transacciones y de
ejecucin, protegiendo estos recursos y preparando procedimientos
para asegurar la sobrevivencia de la organizacin en caso de
desastre. Este plan debe asegurar la continuidad de las operaciones
o la restauracin de los equipos en el menor tiempo posible, evitando
consecuencias negativas para la entidad. De la misma manera, el
plan de seguridad debe garantizar la integridad y exactitud de los
datos, permitir identificar la informacin confidencial, proteger los
activos de desastres naturales u ocasionados por el hombre,
asegurar la capacidad de la organizacin para sobrevivir a las
eventualidades. El plan de contingencia debe ser probado, sobre la
base de que puede ocurrir un desastre, para evaluar si responde
adecuadamente.
b) Anlisis y Evaluacin de Controles
Una vez terminado el diagnostico, el auditor debe iniciar el anlisis de
la informacin obtenida para determinar los controles a evaluar. Por un
-
10
lado se encuentra el ambiente de control especfico, que evala todas
aquellas normas, procedimientos, acciones y uso de recursos empleados
en el procesamiento electrnico de datos, entrada, procesamiento, salida,
bases de datos, aplicaciones y procesamiento distribuido, es decir todo lo
relacionado a lo que ocurre al interior de los equipos de cmputo.
Y en segundo lugar est el ambiente de control general que evala
todas aquellas normas, procedimientos, acciones y uso de recursos
empleados para soportar el desarrollo y produccin de los sistemas de
informacin, es entonces todo lo concerniente a lo que ocurre alrededor
de los equipos de cmputo. Esta informacin permite identificar los
sectores de riesgo o que necesitan ser mejorados, para direccionar el
desarrollo de la auditoria informtica y definir su alcance.
c) Evaluacin de controles generales de tecnologa de informacin,
ITGCs (Information Technology General Controls)
-
11
El auditor debe entender y evaluar el ambiente de control general de
tecnologa de informacin. Los controles generales son las polticas y
procedimientos que se aplican a los sistemas de informacin,
infraestructura y plataformas de TI en una organizacin, asegurando as
un correcto funcionamiento de todas las operaciones.
Dentro de este ambiente existen cuatro dominios:
Acceso a programas y datos: Verificar que solo el personal
autorizado accede a los programas e informacin bajo la
autentificacin de la identidad de los usuarios.
Cambios en los programas: Verificar que los cambios a los
programas y los componentes de infraestructura relacionados, son
solicitados, autorizados, desarrollados, evaluados e implementados
para alcanzar los objetivos de control de gestin de aplicaciones.
Operaciones informticas: Confirmar que los sistemas de produccin
, y los problemas de procesos son identificados y solucionados
adecuadamente para mantener la integridad de la informacin:
Desarrollo de programas: Determinar si los sistemas son
desarrollados, configurados e implementados de acuerdo a los
objetivos de control de gestin de aplicaciones.
d) mbito, Alcance y Programa de auditoria
De esta manera el auditor puede proceder a elaborar por escrito el
programa de auditoria a seguir, teniendo en cuenta los siguientes puntos:
Introduccin
-
12
Antecedentes
Justificacin
Objetivos
Alcance
Evaluacin de la direccin informtica
Evaluacin de los sistemas
Evaluacin de los equipos
Evaluacin de procesos de datos
Evaluacin de la seguridad
Informacin de apoyo
Metodologa
Establecer comunicaciones necesarias con el personal involucrado
en la auditoria
Tiempo y costo
Recursos
Comunicacin de resultados
Aprobacin del plan de trabajo de la auditoria informtica
As mismo, el plan del auditor debe definir:
Funciones: Descripcin de forma precisa de las funciones y
organizacin del departamento de auditoria, con todos sus recursos.
Procedimientos: Actividades a realizar en la auditoria, definiendo
tipos de auditoria, sistema de evaluacin, nivel de exposicin, lista de
distribucin de informes, seguimiento de acciones correctivas, plan
de cinco aos y plan de trabajo anual.
-
13
Hoja
Fase Descripcin Actividad
Inicio Trmino
Programa De Auditora Informtica
Organismo:
Das Das
Fecha:
#:
Personal
Participante
Periodo Estimado
1.6.2. Ejecucin
Durante la ejecucin se disean y aplican los cuestionarios de control,
se evala el riesgo computacional, y se realizan todos los procedimientos
detallados en los programas para obtener evidencias del desarrollo del
trabajo.
a) CAAT (Computer Assisted Audit Techniques), Tcnicas de auditoria
asistidas por computador
Software de auditoria generalizado, software utilitario, datos de
prueba y sistemas expertos de auditoria. Estas tcnicas pueden ser
utilizadas para varios procedimientos como: prueba de los detalles de
operacin y saldos, procedimientos de revisin analticos, pruebas de
cumplimiento de los controles generales de SI, y pruebas de
cumplimiento de los controles de aplicacin. Cuando el auditor decide
utilizar herramientas CAAT, debe controlar el uso de las herramientas
para asegurar que se cumple con los objetivos de la auditoria, y
documentar el trabajo que se realice incluyendo: planificacin, objetivos
de los CAAT, CAATs a utilizar, controles a implementar, personal
involucrado, tiempo y costos, procedimientos de la preparacin y prueba
de los CAAT y controles relacionados, detalle de las pruebas, detalles de
-
14
HERRAMIENTA
ACL
Auto Audit
AUDICONTROL
APL
FUNCIN
TIPOS DE HERRAMIENTAS CAAT
IDEA
Metodologa y software que asiste a los diseadores de controles,
analistas de seguridad y analistas de riesgos en el desarrollo de todas
las etapas de proyectos de gestin de riesgos y diseo de controles
Sistema completo para la automatizacin de la funcin de
auditoria, soportando todo el proceso del trabajo, desde la
planificacin, trabajo de campo, hasta la preparacin del informe final.
Auto Audit permite planificar la auditoria en funcin de evaluacin de
riesgos, asignacin de auditores para el trabajo de campo, flexibilidad,
mantenimiento de bibliotecas estndares, establecimiento de usuarios
con perfil definidos, creacin del informe final, monitoreo de
hallazgos, registro de tiempos y costos, elaboracin de encuestas y
evaluaciones a los auditores, registro histrico, adaptar cualquier
estructura de auditoria, y encriptamiento de datos asegurando la
confidencialidad de la informacin.
Herramienta enfocada al acceso de datos, anlisis y reportes para
auditores y profesionales financieros. ACL lee y compara datos,
permitiendo que la fuente de datos permanezca intacta, para una
completa integridad y calidad de los datos. As mismo ACL permite
analizar datos para un completo aseguramiento, localizar errores y
fraudes potenciales, identificar errores y controlarlos, limpiar y
normalizar los datos para incrementar la consistencia de los
resultados, realizar un test analtico automtico y manda una
notificacin va e-mail con el resultado.
Esta herramienta permite leer, visualizar, analizar y manipular datos,
llevar a cabo muestreos y extraer archivos de datos. Adems, el uso de
esta herramienta disminuye costos de anlisis y realzar la calidad de
trabajo.
Funciones: importacin de datos, manejo de archivos y clientes,
estadsticas de campo, historial, extracciones, extraccin indexada,
extraccin por valor clave, funciones, conector visual, uniones, agregar,
comparar, duplicados, omisiones, grficos,
Ley de Benford, estratificacin, sumarizacin, antigedad, tabal pivot,
agrupador de procesos, muestreo, agregar campos e IDEASscript
los input, evidencia de auditoria output, resultado de auditoria,
conclusiones, y recomendaciones.
-
15
b) Evaluacin del sistema de control interno
En la evaluacin del sistema de control interno se aplican los
cuestionarios de control por cada actividad de riesgo definida en el
alcance de la auditoria, a partir de esta informacin se evala el riesgo
computacional. Este proceso permite medir la eficiencia y eficacia de los
diferentes mecanismos de control establecidos en la entidad, que deben
garantizar la confiabilidad, confidencialidad, oportunidad, integralidad y
seguridad en el manejo de la informacin como de los recursos
informticos.
Antes de evaluar el riesgo computacional, es importante determinar el
tipo de software con que cuenta la organizacin para cumplir con los
requerimientos. La seleccin de tipo de software a ser usado en la
empresa, debe estar definida en el plan estratgico, evaluando las
ventajas y desventajas de cada uno, y acorde a las necesidades y
requerimientos de la entidad.
Estas pueden ser:
Software elaborado por el usuario
Comercial
Software compartido o regalado
Software transportable
Un solo usuario o multiusuario
Categorizacin del software de aplicacin por usuario
Software a la medida de la oficina
-
16
Los sistemas deben ser evaluados de acuerdo con su ciclo de vida,
teniendo claridad del mismo.
c) Riesgo computacional
Al evaluar el riesgo computacional, el auditor debe conocer los
diferentes riesgos informticos que pueden presentarse en una entidad;
un riesgo es una contingencia o proximidad de un dao o amenaza
interna o externa que puede afectar la operacin del sistema de control.
Los riesgos pueden ser de perdida, estos exponen al sistema a
interrupciones, inaccesibilidad y demoras en el procesamiento de la
informacin, los cuales representan una perdida financiera para la
empresa; riesgos de revelacin de la informacin, estos vulneran el
sistema debido al acceso sin autorizacin faltando as a los
requerimientos de confidencialidad y seguridad; y los riesgos de
modificacin que hacen referencia a los cambios no autorizados en la
informacin o componentes del sistema; algunos de estos riesgos son:
-
17
Incendio
Inundacin
Terremoto
Dao del computador o impresora
Dao del equipo de transcripcin
Dao en la transmission
Fallas humanas Error de reporte, transcripcin y transmisin
Saqueos
Sabotajes
Violacin de la privacidad
Fraude
Alteracin de la informacin
Caballo Troya: Colocar instrucciones adicionales en
un programa, para que efecte una funcin no
autorizada.
Tcnica del salami: Robo de informacin mediante el
fraude de un programa.
Bombas lgicas: Diseo de un programa que busca una
condicin o estado especifico.
El programa funciona correctamente hasta que esa
condicin se cumple y se realiza una accin no
autorizada.
Escobitas: Mtodo que consigue informacin dejada en el
computador despus de la ejecucin de un trabajo.
Accesos no autorizados a computadores o cualquier
recurso del sistema a travs del uso de passwords,
cdigos u otro mtodo que suplante personal
autorizado.
Intercepcin: intervencin de los circuitos de
comunicacin.
Falsedad de la informacin en las nminas de pago.
Cuentas incobrables
No registro de ventas
Malversar pagos de clientes
Alteraciones en planillas
Falsificacin de inventarios
Desfalcos Desfalcos
RIESGO COMPUTACIONAL
Naturaleza
Fallas de
hardware
Fallas humanas
intencionales
Riesgos
segn su
origen
Mtodos de
fraudesFraudes
El auditor luego de analizar el riesgo computacional y aplicar las
pruebas y cuestionarios correspondientes, debe recolectar toda la
evidencia necesaria para soportar la opinin que el auditor va formando
-
18
durante el desarrollo de la auditoria. Esta evidencia debe ser relevante,
fiable, suficiente, y adecuada.
1.6.3. Finalizacin
El informe de auditora de informtica contiene el resumen de la
gestin y el informe detallado de la auditoria, y para su redaccin el
auditor debe tener en cuenta el destinatario y presentar un informe
coherente, pulcro, de calidad, confiable y veraz.
El informe detallado de auditoria informtica est preparado para los
directamente involucrados en la auditoria informtica y responsables de
las reas de informtica; este informe consta de los siguientes aspectos:
Introduccin
Antecedentes
Justificacin
Alcance
Objetivos
Metodologa
Hallazgos
Determinacin del riesgo computacional
Realizacin de pruebas de auditoria de cumplimiento y sustantivas
Evaluacin de los usuarios
Situaciones encontradas (correctas, para ser mejoradas, de riesgo)
Conclusiones
Recomendaciones e impacto
Anexos
-
19
Bibliografa
Estos informes estn soportados por los papeles de trabajo, los
cuales facilitan la planeacin de la auditoria, la recoleccin, anlisis,
sntesis de la informacin de control obtenida y representan las
evidencias suficientes de las actividades realizadas.
1.7. Tipos de Auditora informtica
Dentro de la auditora informtica encontramos los siguientes tipos de
auditoria:
1.7.1. Auditoria Fsica
La auditora fsica envuelve todo lo que rodea los equipos informticos
y Centro de Procesamiento de Datos, de tal manera que se asegure la
integridad de los activos humanos, lgicos y materiales. Por esta razn se
refiere a la ubicacin de la organizacin, evitando ubicaciones de riesgo,
las protecciones externas y protecciones del entorno.
-
20
Una seguridad fsica adecuada debe comprender:
Ubicacin del edificio.
Ubicacin del Centro de Procesamiento de Datos: Es importante
que el centro de cmputo este localizado en un lugar seguro, que
permita la realizacin eficaz del trabajo. As mismo se debe tener
en cuenta aspectos como los materiales de construccin,
espacios y ubicacin de ventanas, evitando ambientes calurosos o
manejo de elementos inflamables que puedan ocasionar un
desastre. Otro aspecto importante es la proteccin del cableado
del sistema, a travs del uso de pisos falso o canales y paneles
adecuados de resistencia al fuego, en lugares aislados y fuera de
los lugares de transito del personal.
Aire acondicionado: Instalacin de aire acondicionado, que
permita prevenir la entrada de polvo y suciedad, que puedan
afectar los equipos de cmputo; as como garantizar una
temperatura adecuada en el centro de cmputo.
Compartimentacin de reas.
Elementos de construccin.
Potencia elctrica e instalaciones: Es importante que el auditor se
asesore de un especialista en lo que concierne al adecuado
funcionamiento del sistema elctrico y el respectivo suministro de
energa, con el fin de evaluar y controlar con rigurosidad las
instalaciones elctricas, debido a que estas pueden ocasionar
fallas de energa que ponen en riesgo la informacin y trabajo, e
incluso provocar incendios en las instalaciones de la entidad. Por
-
21
lo tanto, es importante conocer los planos de las instalaciones
elctricas y el sistema de cableado elctrico, con el fin de
identificar tanto positivos y negativos como polo a tierra, que
proteger los equipos de cmputo contra un cortocircuito durante
una descarga elctrica.
Sistema contra incendios: Las instalacin de los detectores de
incendios debe hacerse en lugares no tan cercanos a los aparatos
de aire acondicionado, debido a que estos pueden difundir el calor
o el humo y dificultar as la activacin de los detectores. Es
recomendable que estos detectores se instalen cerca a los
centros de cmputo, en las reas de oficina y depsitos de la
papelera, entre otros. Las alarmas contra incendios deben estar
conectadas a la alarma central o si es posible, directamente al
departamento de bomberos.
1.7.2. Auditoria Ofimtica
La auditora ofimtica comprende el conjunto de herramientas de
tecnologa de informacin que permiten generar, procesar, almacenar,
recuperar, comunicar y presentar los datos relacionados con el
funcionamiento de las oficinas. El desarrollo de sistemas ofimticos
envuelve el escritorio virtual y el trabajo cooperativo; los cuales deben
posibilitar el trabajo personal de cada empleado, permitir distribuir las
aplicaciones por los diferentes departamentos de la organizacin y la
aplicacin de los controles necesarios de los sistemas de informacin.
-
22
Los controles ofimticos se establecen teniendo en cuenta la
economa, eficacia y eficiencia, seguridad y normatividad vigente en la
organizacin, de esta manera estos controles deben:
Determinar la exactitud del inventario ofimtico
Evaluar los procedimientos de adquisicin de los equipos y
aplicaciones.
Determinar y evaluar la poltica de mantenimiento de la
organizacin
Evaluar la calidad de las aplicaciones del entorno ofimtico
Evaluar los procedimientos para cambio de versiones y
aplicaciones.
Determinar si los usuarios cuenta con la formacin y
documentacin suficiente y pertinente.
Determinar si los sistemas existentes se ajustan a las
necesidades de la empresa.
Determinar si existen garantas suficientes para proteger los
accesos no autorizados a la informacin de la empresa y la
integridad de la misma.
Evaluar la fiabilidad y confiabilidad de los procesos de copia de
respaldo y back-up, garantizando la recuperacin de la
informacin en caso de que sea necesario.
Determinar si se garantiza el funcionamiento continuo de las
aplicaciones sin interrupciones que puedan generar prdidas de la
integridad de la informacin y aplicaciones.
-
23
Determinar el grado de exposicin ante la posibilidad de intrusos y
virus en los sistemas informticos.
Determinar si el entorno ofimtico aplica y cumple con las normas
y regulaciones establecidas en la organizacin, as como evaluar
si existen situaciones que puedan generar infracciones segn los
dispuesto en la ley.
1.7.3. Auditoria de la direccin
Las organizaciones hoy en da trabajan con base a la informacin, por
lo que invierten grandes sumas de dinero en la implementacin de
herramientas tecnolgicas y nuevas prcticas de negocio. Estas
actualizaciones estn incorporadas en el Plan Estratgico Corporativo y
general cambio en los procesos y relaciones desarrollados en la empresa,
generando una estructura organizacional en la que las reas y procesos se
integran como un todo a partir de las soluciones de negocio. Debido a esto,
cada proceso y actividad en la empresa tendr repercusiones de orden
financiero y logstico, y estarn enfocadas a la eficiencia, costos,
satisfaccin del cliente, rentabilidad, competencia y cooperacin.
La direccin debe entonces, planificar, organizar, coordinar y controlar
todos los procesos y procedimientos llevados a cabo en la empresa,
soportados en la tecnologa de informacin.
1.7.4. Auditoria de la explotacin
La auditora informtica peridica permite detectar las debilidades del
sistema para mejorarlas a tiempo, racionalizando los recursos informticos.
-
24
La auditora de explotacin sigue los controles establecidos en el modelo
COBIT.
1.7.5. Auditoria del desarrollo
El rea de desarrollo abarca todas las fases, desde que surge la
necesidad de los sistemas de informacin hasta su creacin e
implementacin. La auditora del desarrollo envuelve todo el ciclo de vida
del software, exceptuando su explotacin y mantenimiento; y verifica la
existencia y aplicacin de procedimientos de control adecuados, que
garanticen que los sistemas de informacin se han desarrollado de
acuerdo a los principios de ingeniera.
Para llevar a cabo la auditoria del desarrollo, el auditor, en primer lugar,
debe determinar las funciones del rea de desarrollo, para establecer su
plan a seguir. Algunas de las funciones del rea de desarrollo son:
Planificacin del rea y participacin en la elaboracin del plan
estratgico de informtica.
Desarrollo de sistemas de informacin, incluyendo anlisis, diseo,
construccin e implementacin.
Mantenerse actualizado en el campo de tecnologa e informtica,
para aplicar los lenguajes, tcnicas, metodologas, estndares,
herramientas y dems elementos relacionados.
Capacitacin continua para el personal del rea de desarrollo.
Establecer normas y controles para la realizacin de las actividades
del rea. El auditor, una vez conozca las funciones del rea de
desarrollo, llevara a cabo la auditoria por una parte de la
-
25
organizacin y gestin del rea, y por otra de los proyectos de
desarrollo de sistemas de informacin. El auditor basa su trabajo en
la evaluacin de riesgos, estableciendo controles que minimicen los
riesgos relacionados al desarrollo de un sistema de informacin. As
mismo se deben utilizar pruebas de cumplimiento, que permitan la
comprobacin de la existencia y correcta implementacin de los
controles, obteniendo as evidencia. El anlisis de esta informacin le
permitir al auditor conocer los puntos fuertes y dbiles de los
controles, para determinar cules riesgos son cubiertos y cules no,
y en qu medida lo son, y lo que puede representar para la
organizacin. Estas conclusiones son presentadas en el informe de
auditora.
1.7.6. Auditoria del mantenimiento
El mantenimiento es un factor de calidad que engloba todas las
caractersticas del software que hacen que un sistema sea ms fcilmente
mantenible. En esta auditora, entran en juego diferentes elementos, uno
de estos es la productividad, la cual est directamente relacionada con el
mantenimiento del sistema. Se pueden establecer tres tipos de contrato de
mantenimiento en una empresa, mantenimiento total, mantenimiento por
llamada, y mantenimiento en banco. El mantenimiento total incluye un
mantenimiento correctivo y preventivo, y se deja al proveedor la
responsabilidad total del mantenimiento, con excepcin de daos por
negligencia en la utilizacin de los equipos. En el mantenimiento por
llamada, se contacta al proveedor en el caso de una falla y se presta el
servicio tcnico, acorde a las tarifas establecidas. Y el mantenimiento en
-
26
banco, se lleva a cabo cuando el cliente lleva a las oficinas del proveedor
el equipo para el arreglo necesario. La empresa, debe hacer una anlisis
sobre cual tipo de contrato de mantenimiento le conviene, para solicitarlo y
revisar con detalle las clausulas y artculos, con el fin de evitar
inconvenientes con los proveedores. El auditor debe determinar si los
contratos de mantenimiento celebrados por la empresa estn de acuerdo a
las polticas y necesidades de la empresa. De la misma manera, el auditor
debe evaluar que controles ha establecido la empresa con respecto a la
utilizacin del sistema de cmputo, debido a que un control adecuado
permitir acceder al mantenimiento necesario, reduciendo costos y
teniendo control sobre las fallas que se puedan presentar. Se debe realizar
mantenimiento no solo del equipo central, sino del total de los equipos,
incluyendo computadores personales, impresoras, equipos de
comunicacin, y perifricos.
Se debe evaluar:
Registros de la utilizacin del sistema de cmputo
Uso adecuado del sistema de cmputo, evitar que:
Programadores utilicen el equipo para aplicaciones ajenas a la
empresa.
Personal utilice los equipos para trabajos personales, trabajos
no autorizados o juegos.
Instalacin de programas mal elaborados, que degradan los
equipos.
Degradacin en los equipos por fallas en equipos perifricos.
Registros de fallas, causas y procedimientos llevados a cabo.
-
27
1.7.7. Auditora de bases de datos
La auditora de bases de datos evala y verifica los controles de
acceso, de actualizacin, de integridad y calidad de los datos. Una base de
datos es definida como la organizacin sistemtica de archivos de datos,
para facilitar su acceso, recuperacin, consulta y actualizacin. Los
archivos estn relacionados unos con otros, y son tratados como una
entidad.
El auditor debe evaluar y verificar en la base de datos:
Independencia de los datos
Si existe redundancia de datos
Consistencia de los datos
Diccionario de datos
Lenguaje de datos
Monitoreo de teleproceso
Software de seguridad
Sistema de almacenamiento, respaldo y recuperacin
Lenguajes de consulta (Query languages)
Bases de datos de multiplataforma
Los auditores pueden usar una metodologa tradicional o metodologa
de evaluacin de riesgos. En la metodologa tradicional el auditor utiliza
lista de chequeo o checklist, para revisar el entorno de las bases de datos.
La metodologa de evaluacin de riesgos, la propone ISACA, y se inicia
fijando los objetivos de control que minimizan los riesgos a los que est el
entorno de bases de datos durante su ciclo de vida. Una vez establecidos
-
28
estos objetivos, se determinan las tcnicas de control para alcanzar dichos
objetivos. Para la verificacin de los objetivos se utilizan las pruebas de
cumplimiento y pruebas sustantivas, cuando sean necesarias.
El auditor debe revisar la utilizacin de todas las herramientas que
ofrece el Sistema de Gestin de Bases de Datos SGBD, las polticas y
procedimientos definidas para su utilizacin, y as determinar si son
suficientes o se deben mejorar. Es responsabilidad de la empresa
coordinar los distintos elementos y controles de seguridad, a travs del
monitoreo de los controles, gestin rigurosa de la configuracin del sistema
y dems procedimientos necesarios. El auditor puede utilizar dos tcnicas
para evaluar estos procedimientos:
Matrices de control: Esta tcnica permite identificar el conjunto de
datos de los controles de seguridad o integridad implementados. Los
controles se clasifican en detectivos, preventivos y correctivos.
Anlisis de los caminos de acceso: Permite documentar el flujo,
almacenamiento y procesamiento de los datos en todas las fases,
identificando los componentes del sistema y los controles asociados.
Esta tcnica le permite al auditor identificar las debilidades o fallas
que puedan exponer a los datos a riesgos de integridad,
confidencialidad y seguridad.
1.7.8. Auditoria de tcnica de sistemas
La tcnica de sistemas consiste en desempear las actividades de
instalar y mantener en adecuado orden de utilizacin la infraestructura
informtica. El avance de la informtica exige un alto grado de
-
29
especializacin en el manejo de las aplicaciones, determinando todas las
actividades relacionadas para alcanzar los objetivos. La auditora de
tcnica de sistemas envuelve los siguientes aspectos:
Instalaciones: Salas de proceso, con sus sistemas de control y
seguridad, y elementos de conexin y cableados.
Equipos de proceso: Computadores, perifricos, dispositivos de
comunicacin y conmutacin.
Software de base: Sistemas operativos, compiladores, traductores e
intrpretes de comandos y programas, gestores de datos,
herramientas y componentes auxiliares e intermedios.
Estos aspectos deben ser evaluados para determinar el nivel de
servicio, es decir su eficacia. Para garantizar la eficacia y calidad de los
servicios, es importante determinar los procedimientos que permiten lograr
los objetivos propuestos. Estos procedimientos son:
Instalacin y puesta en servicio: Actividades para conseguir el
funcionamiento adecuado de la aplicacin o sistema.
Mantenimiento y soporte: Conjunto de acciones necesarias para la
puesta en marcha del sistema o aplicacin. Se incluye la asistencia a
los usuarios para su mejor utilizacin.
Requisitos para otros componentes: Requerimientos para el mejor
comportamiento de otros componentes del sistema.
Resolucin de incidencias: Procedimiento para registrar, analizar,
diagnosticar, calificar y seguir las incidencias que se presenten para
lograr su resolucin.
-
30
Seguridad y control: Estos procedimientos son de gran importancia,
debido a que permiten detectar a tiempo cualquier incidencia.
Adems, la proteccin de la informacin debe ser garantizada por
medio de procedimientos, tales como el control de accesos y perfiles
de trabajo. Los entornos de desarrollo y mantenimiento de
programas deben dejar documentados los cambios, modificaciones o
actualizaciones.
Informacin sobre la actividad: Documentacin sobre la evolucin,
objetivos, estndares, y dems aspectos relacionados al desarrollo
de la actividad.
1.7.9. Auditoria de la calidad
La calidad es un factor importante al momento de competir en el
mercado, y se define como la concordancia con los requisitos funcionales
(funciones realizadas por el software) y el rendimiento, establecidos por los
usuarios, con los estndares de desarrollo de software determinados y
normas de calidad. Una auditoria de calidad tiene como objetivo el mostrar
la situacin real, para aportar confianza y destacar las reas que puedan
afectar esa confianza, es decir evaluar los proyectos o sistemas, y verificar
la aplicacin de los estndares, lneas gua, especificaciones y
procedimientos. En este proceso, se establece el estado del sistema o del
proyecto, capacidad de realizar o continuar un trabajo especfico, verificar
que elementos del programa o plan de aseguramiento de la calidad, han
sido desarrollados y documentados. Esta informacin debe ser analizada,
y sirve como base para la toma de decisiones en la organizacin.
-
31
Para garantizar la calidad de los proyectos de software, es necesario
asegurar dentro del desarrollo, la realizacin del Plan General de Calidad,
el cual determina las especificaciones para garantizar la calidad del
software.
As mismo se deben seguir y cumplir diferentes normas de calidad de
software, algunas de estas son:
-
32
Una caracterstica de los procesos de calidad es la repetitividad de los
mismos; estos deben estar definidos, para conseguir los mismos
resultados, cada vez que se repitan. Esta repeticin permite redefinir los
procesos y corregir las fallas encontradas. En el desarrollo de la auditoria
se debe llevar a cabo procesos de revisin, que permiten evaluar el
software o proyecto para identificar las discrepancias sobre los resultados
planificados y expresar las recomendaciones necesarias.
Los requisitos de calidad son establecidos desde las necesidades de
los usuarios y clientes, y teniendo en cuenta la calidad de los productos y
servicios, tiempos acordados de entrega y costos. El auditor, tambin,
puede usar software de evaluacin de calidad, para suministrar una
valoracin independiente.
La auditora de calidad debe permitir evaluar si:
Los productos software codificados reflejan lo diseado en la
documentacin.
Los requerimientos de la revisin de aceptacin y de pruebas
prescritos por la documentacin, son adecuados para la aceptacin
de los productos software.
Los informes de prueba son correctos y los problemas que se
presentaran, fueron resueltos.
La documentacin del usuario cumple a cabalidad con los
estndares.
Las actividades se han desarrollado de acuerdo requerimientos,
planes y contrato establecido.
-
33
Los costos y cronograma se ajustan a los planes establecidos.
1.7.10. Auditora de la seguridad
La importancia de la informacin manejada por las empresas, cada da
tiene un valor mayor, por esta razn surge la necesidad de una proteccin
adecuada que garantice la disponibilidad, integridad, confidencialidad y
autenticacin de la informacin. Si no existen las medidas adecuadas de
proteccin puede perderse informacin vital para la empresa, y que puede
generar la toma de decisiones errneas, o causar problemas mayores.
Los objetivos de la auditoria de seguridad son:
Verificar la proteccin de la integridad, exactitud y confidencialidad
de la informacin.
Verificar la proteccin de los activos ante desastres provocados por
el hombre y actos hostiles.
Corroborar la proteccin de la empresa contra situaciones externas
como desastres naturales y sabotajes.
Comprobar la existencia de planes y polticas de contingencias, para
lograr una pronta recuperacin de la informacin.
Comprobar la existencia de seguros necesarios que cubran las
prdidas econmicas, en caso de desastre.
El auditor debe evaluar en primera instancia, si los modelos de
seguridad estn acorde a las nuevas arquitecturas, plataformas y
posibilidades de comunicacin. As mismo debe evaluar las siguientes
reas:
-
34
Controles directivos: Polticas, planes, funciones, comits, objetivos
de control, presupuestos y evaluacin de riesgos.
Desarrollo de polticas: Procedimientos, estndares, normas y guas.
Amenazas fsicas externas: inundaciones, incendios, explosiones,
corte de suministros, terremotos, terrorismo, o huelgas.
Control de accesos fsicos y lgicos: Establecer rutas de acceso,
claves, software de control y encripta miento.
Proteccin de datos, programas, instalaciones, equipos y soportes.
Comunicaciones y redes: Usos autorizados, con la asignacin de
dominios segn los perfiles de los usuarios. Se deben revisar y
evaluar el uso de internet e intranet, correo electrnico, y dems
servicios en lnea.
Entorno de produccin: desarrollo de las aplicaciones en un entorno
seguro, e incorporacin de controles en los productos realizados,
haciendo posible el desarrollo de la auditoria. Todos los proyectos
deben ser autorizados, para verificar el cumplimiento de los
estndares y normas establecidas. Otro aspecto importante es la
contratacin de servicios y su respectivo seguimiento.
Continuidad de las operaciones: Desarrollo de un plan de
contingencias.
Un riesgo al que los sistemas y equipos estn expuestos, son los virus
(malware, software malicioso), rutinas que se esconden en los programas,
y se activan cuando se cumple una condicin especfica, y llevan a cabo
actividades como copia de archivos e incluso el borrado de toda la
informacin contenida en disco del equipo.
-
35
La auditora de seguridad debe garantizar cuatro aspectos importantes
de la informacin, confidencialidad, integridad, disponibilidad y
autenticidad, a travs de la implementacin de procedimientos pertinentes.
Confidencialidad: Asegurar que solo las personas autorizadas tiene
los accesos a la informacin correspondiente.
Integridad: Garantizar que solo los usuarios autorizados pueden
realizar cambios en la informacin correspondiente, dejando los
registros pertinentes para el desarrollo de la auditoria.
Disponibilidad: Asegurar el acceso de las personas con las
autorizaciones pertinentes, a la informacin en los tiempos
determinados.
Autenticidad: Garantizar que la informacin sea autentica y
manipulados por las personas autorizadas.
Una forma de proteger la informacin y el control de accesos, es el
encriptamiento, arte de proteger la informacin transformndola con un
determinado algoritmo, dentro de un formato, para que no pueda ser leda
normalmente. Solo los usuarios autorizados podrn, desencriptar la
informacin.
1.7.11. Auditora de los sistemas redes
La auditora de redes debe determinar que la funcin de gestin de
redes y comunicaciones este claramente definida en la empresa y se tenga
en cuenta:
Gestin de la red, inventario de equipos y normas de conectividad.
-
36
Monitorizacin de las comunicaciones, registro y solucin de
problemas.
Revisin de costes y su asignacin de proveedores y servicios de
transporte, balanceo de trfico entre rutas y seleccin de
equipamiento.
Garantas y vulnerabilidad de las instalaciones fsicas de la empresa.
Controlar las reas para los equipos de comunicaciones, para
prevenir accesos inadecuados.
Proteccin de cables y lneas de comunicacin, para evitar
accesos fsicos.
Monitoreo de la red y su trfico, para impedir usos inadecuados
e identificar anomalas y seguir los procedimientos
establecidos.
Establecer contraseas y los procedimientos necesarios para
limitar y detectar cualquier intento de acceso no autorizado a la
red.
Control e identificacin de errores de transmisin, para
restablecer las retransmisiones apropiadas.
Para la auditoria de redes se trabaja con base al modelo OSI (Open
systems Interconnection), el cual consta de siete etapas:
Aplicacin: Conexin entre la aplicacin con el sistema de
comunicaciones.
Presentacin: Formato de datos que van a presentar la aplicacin.
Sesin: Establecer procedimientos de apertura y cierre de sesiones,
e informacin de la sesin en curso.
-
37
Transporte: Comprobacin de la integridad de los datos transmitidos.
Red: Rutas de comunicacin entre el emisor y receptor.
Enlace: Transformacin de los paquetes de informacin en trama
adaptadas por los dispositivos fsicos, usados para la transmisin.
Fsico: Transformacin de la informacin en seales fsicas
adaptadas al medio de comunicacin.
Para establecer una comunicacin, la informacin debe pasar por cada
una de las siete etapas, a travs de los mtodos prefijados para establecer
la comunicacin entre las mismas etapas. En las tres primeras etapas se
definen las redes LAN (Local rea Network), MAN (Metropolitan rea
Network), y WAN (Wide rea Network).
Existe un elemento que influye en la redes, es la vulnerabilidad, debido
a que la informacin transita por diferentes lugares, fsicamente a
diferentes distancias, lo que hace necesario implementar modelos de
seguridad apropiados. Segn el origen de los riesgos se pueden dividir en
tecnolgicos o fsicos:
Tecnolgicos
Alteracin de bits
Ausencia de tramas
Alteracin de secuencias
Fsicos
Indagacin
Suplantacin
Modificacin
-
38
1.7.12. Auditoria de aplicaciones
La auditora de aplicaciones se basa en la ltima etapa del ciclo de vida
de la aplicacin, su funcionamiento, en la cual se evala el grado de
cumplimiento de los objetivos establecidos para la aplicacin, y se realiza
una revisin de la eficacia del funcionamiento de los controles diseados
frente a los riesgos, asegurando la fiabilidad, seguridad, disponibilidad y
confidencialidad de la informacin gestionada por la aplicacin.
Es importante que el auditor para llevar a cabo la auditoria de
aplicacin, conozca la organizacin y los procedimientos de los servicios
que utilizan la aplicacin, as como el entorno en que se desarrolla la
aplicacin. Una aplicacin o sistema de informacin de una empresa tiene
los siguientes objetivos:
Registro de la informacin de las operaciones y actividades de la
empresa.
Realizacin de procesos de clculo y edicin necesarios.
Dar respuesta a consultas autorizadas, sobre la informacin
almacenada, solicitadas con el fin de dar cobertura a las necesidades
de los usuarios.
Generar informes con la informacin correcta y utilizando criterios de
seleccin.
El sistema siempre est en riesgo de una falla, ya sea tcnica o
humana, que amenazan la confidencialidad, integridad y disponibilidad de
la informacin. Es por esto que desde la etapa de diseo de la aplicacin o
sistema, se debieron tomar las medidas de control interno para reducir los
-
39
riesgos que afecte la informacin, y el sistema o aplicacin en su totalidad.
Estas medidas pueden clasificarse en dos grupos, el primero son los
controles manuales y automticos, y el segundo grupo son controles
preventivos, detectivos, y correctivos. Los controles manuales son
realizados por el personal del rea y establecidos para asegurar que se
preparan, autorizan y procesan todas las operaciones, se subsanan
adecuadamente los errores, las bases de datos dan soporte a la
aplicacin, y los resultados son coherentes respecto a los datos de
entrada.
Los controles automticos son incorporados en los programas de la
aplicacin, para asegurar que la informacin se registre y mantenga
completa y exacta, los procesos de todo tipo sean correctos, y los usuarios
respeten los mbitos de confidencialidad establecidos.
De esta manera, el auditor debe entender el software bsico de la
aplicacin, identificando la seguridad que ofrece, y los riesgos inducidos,
incluyendo la arquitectura y caractersticas lgicas. Este entendimiento le
permite identificar cualquier falla o riesgo significativo en la aplicacin.
1.7.13. Auditoria Jurdica de entorno informticos
La auditora jurdica es parte fundamental de la auditoria informtica,
debido a que su objetivo es comprobar el cumplimiento legal de las
medidas del uso de la informtica y de seguridad exigidas por el
Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos. Esta
auditora es esencial para evitar posibles reclamaciones contra la entidad
auditada. Entonces, el trabajo del auditor ser preventivo, y evitara
-
40
cualquier sancin administrativa o legal, cuando sea posible; as como
costos econmicos como indemnizaciones, por negligencias que pudieron
haber prevenido a tiempo. La auditora informtica llevada a cabo a tiempo,
puede prevenir el delito informtico, generando beneficios para la empresa.
La auditora informtica comprende cuatro reas:
Auditoria del entorno informtico: Revisin y evaluacin de los
elementos del hardware, software y contratos de paquetes
gestionados, outsourcing.
Auditoria de las personas que manipulan la informacin: Evaluar al
personal que utiliza los sistemas de informacin y equipos,
verificando as: quienes tienen acceso a la informacin, adecuacin
del personal al cargo que ostentan, conocimiento de la normatividad
pertinente y actitud tica frente al desarrollo de las funciones
relegadas, establecimiento en el contrato del personal de la labor que
cumplen y responsabilidad que ostentan, y si los contratos con
proveedores aseguran la confidencialidad de la informacin.
Auditoria de la informacin: cumplimiento de la normatividad en
cuanto al manejo de la informacin, evitando su uso con finalidades
incompatibles con aquellas para las que se seleccion la
informacin.
Auditoria de los archivos: Evaluacin de los niveles de proteccin de
los archivos, mecanismos de seguridad, y figura del responsable del
archivo.
-
41
CAPTULO II
AUDITORA FORENSE
2.1. Definicin
Debe entenderse como el proceso de recopilar, evaluar y acumular evidencia
con la aplicacin de normas, procedimientos y tcnicas de auditora, finanzas y
contabilidad, para la investigacin de ciertos delitos.
En trminos de investigacin contable y de procedimientos de auditora, la
relacin con lo forense se hace estrecha cuando se habla de la contadura
forense, encaminada a aportar pruebas y evidencias de tipo penal, por lo tanto se
define inicialmente a la auditora forense como una auditora especializada en
descubrir, divulgar sobre fraudes y delitos en el desarrollo de las funciones
pblicas y privadas.
Forense proviene de fuero, es decir que la actuacin forense del auditor se
orienta a recolectar evidencia idnea para su presentacin en una Corte Judicial.
Por tanto, las reglas de evidencia seguidas para la formulacin de opinin del
auditor forense debern considerar no solamente el marco profesional para la
actuacin del auditor de que se trate, sino los aspectos legales aplicables.
-
42
Como consecuencia de ello, el auditor forense normalmente no actuar de
manera autnoma como el auditor externo o el interno, sino que integrar su labor
junto con la de un abogado que determinar la validez y relevancia de la
informacin provista por el auditor forense para presentarla en Corte junto con
otras evidencias recolectadas por medios alternativos (por caso, investigaciones).
En este contexto, la auditoria forense es inherentemente interdisciplinaria.
En el campo de la auditora, hasta hace poco, se sola otorgar el mismo
tratamiento a las auditoras financieras que a aquellas en las que se detectaban
presuntos hechos ilcitos, ya que la formacin tradicional de los profesionales se
basaba en la aplicacin de procedimientos que buscan comprobar la razonabilidad
de las operaciones, y no as la sustanciacin de procedimientos de naturaleza
penal.
Lo anterior presupone que los procedimientos de auditora que se aplican en
las ltimas no se diferencian de los aplicados en cualquier revisin en condiciones
normales, lo que se traduca en lo siguiente:
Las auditoras resultaban omisas en la aplicacin de procedimientos
especficos para deteccin y prevencin de fraudes, ya que en estos casos
se requiere de procedimientos de investigacin y formalizacin.
Las evidencias que arrojaban las auditoras en los casos de presuntos
ilcitos, si bien fundamentaban de manera slida las observaciones de la
auditora, carecan de elementos de solidez jurdica a ser presentada como
evidencia ante las autoridades persecutorias de delitos.
La formacin del personal auditor era esencialmente de Contadores y
profesionales con experiencia en la aplicacin de procedimientos de
-
43
auditora nicamente para comprobar la razonabilidad de las operaciones y
no as la sustanciacin de procedimientos de naturaleza penal.
Surge la necesidad de conformar un grupo multidisciplinario que permitiera
apoyar las funciones tradicionales de auditora con cuestiones tales como:
Medios de investigacin, tanto fsicos como tecnolgicos utilizados en las
auditoras especficas para deteccin de fraudes.
Personal de disciplinas distintas a la auditora bsicamente con habilidades
en materia informtica, en manejo de denuncias de tipo penal y con
enfoques especializados en diversas materias hacia la obtencin de
evidencia jurdica que d consistencia a las denuncias que en su caso se
llegaran a presentar, ya que en las auditoras forenses se llevan a cabo
otras indagaciones que rebasan los procedimientos aplicados en la auditora
tradicional.
Los auditores forenses realizan investigaciones de gabinete y campo para
recabar todo tipo de documentos y elementos que permitan establecer la
presunta comisin de un acto ilcito, se profundizan los procedimientos de
auditora, y se aplican tcnicas de investigacin forense para constatar y
documentar presuntos hechos delictivos.
Se utiliza el cmputo forense para analizar y procesar la informacin
contenida en bases de datos, para recuperar de discos duros informacin
destruida o registros que sirven como evidencia de actividades irregulares
La auditora forense tiene como finalidad la revisin de los procesos, hechos y
evidencias para la deteccin o investigacin de actos u omisiones que impliquen
alguna irregularidad o conducta ilcita, con el propsito de documentar con
-
44
pruebas vlidas y suficientes, las conclusiones derivadas de los hallazgos
mediante la aplicacin de tcnicas de investigacin especializadas, y cuando sea
necesario, apoyada en la tecnologa y herramienta forense, para reunir los
elementos y pruebas contundentes y competentes para acudir a las autoridades
ministeriales y/o competentes a denunciar probables irregularidades o hechos
delictuosos.
La Auditora Forense es el trmino que engloba la incorporacin de
conocimientos y la aplicacin de novedosas y probadas tcnicas forenses,
herramientas de TI, as como otras especialidades distintas de las ramas
financieras, como son las legales, psicolgicas y criminolgicas, con el propsito
de crear un nuevo perfil de profesional capaz de detectar de manera oportuna
fraudes y delitos. Se utiliza tambin, en ciertos casos, el Cmputo Forense para el
anlisis y procesamiento de informacin contenida en base de datos, recuperacin
de archivos e informacin borrado o destruido contenida en discos duros.
2.2. Otras definiciones
a) La auditora forense, es una ciencia que permite reunir y presentar
informacin financiera, contable, legal, administrativa e impositiva, en una
forma que ser aceptada por una corte de jurisprudencia contra los
perpetradores de un crimen econmico, por lo tanto, existe la necesidad de
preparar personas con visin integral, que faciliten evidenciar especialmente,
delitos como la corrupcin administrativa, el fraude contable, el delito en los
seguros, el lavado de dinero y el terrorismo, entre otros. La sociedad espera
de los investigadores, mayores resultados que minimicen la impunidad,
especialmente en estos momentos tan difciles, en los cuales el crimen
-
45
organizado utiliza medios ms sofisticados para lavar dinero, financiar
operaciones ilcitas y ocultar los resultados de sus diversos delitos.
Lo forense, por lo tanto, est estrechamente vinculado a la administracin de
justicia en el sentido de aportar pruebas de carcter pblico, que puedan ser
discutidas a la luz de todo el mundo (el foro).
b) La auditora forense, es una disciplina especializada que requiere un
conocimiento experto de la teora contable, auditoria y mtodos de
investigacin. La auditora forense constituye una rama importante de la
contabilidad investigativa utilizada en la reconstruccin de hechos financieros,
investigaciones de fraudes, clculos de daos econmicos y rendimientos de
proyecciones financieras.
La investigacin de un profundo conocimiento de contabilidad, auditoria y
vas de investigacin viene a formar la funcin especializada que en el mundo
de los negocios se conoce como auditoria forense y es aqu donde se brinda
el respaldo necesario. Existen otras asignaciones que nicamente requieren
el suministro o recopilacin de documentacin detallada del cliente.
2.3. Objetivos de la auditora forense
Evaluar los procesos de prevencin de fraudes y actos ilcitos, que daen la
propiedad del estado o de entes privados, con la finalidad de velar por el inters
pblico.
Evaluar las medidas tomadas para prevenir y predecir situaciones indeseables
en los aspectos definidos anteriormente.
-
46
Investigar hechos que se le encomienden como sospechosos de actos
delictivos, en directa asesora a los rganos que tienen a su cargo velar por la
transparencia en las operaciones de una entidad.
La auditora forense debe cubrir ciertas reas de su competencia:
Investigacin de fraude interno y soporte de litigios, tanto en entidades privadas
como pblicas. Aplicando tcnicas especficas para la determinacin de
indicadores y tendencias, entrevistas y anlisis documental, se obtiene evidencia
de la ocurrencia o potencialidad de fraude.
El examen y evaluacin de evidencias de hechos, adems de la posibilidad de
brindar testimonio experto en la Corte, sirve de invaluable apoyo a los
profesionales que deben llevar adelante los litigios.
2.4. Conocimientos y habilidades del auditor forense
Entre los conocimientos y habilidades que posee el auditor forense se
encuentra, una base fuerte de conocimientos contables, acompaados con
conocimientos slidos de auditora, valoracin de riesgos y control, adems debe
demostrar un conocimiento del ambiente legal necesario para su trabajo como
litigante. Lo anterior acompaado con una serie de habilidades necesarias para
una ejecucin eficiente en su labor, tal como, comunicacin, habilidades de
detective, criminologa y de litigante audaz.
El auditor forense debe tener la competencia y la preparacin de un experto,
ya que de su opinin se tomarn decisiones y su informe debe tener la validez
para impartir justicia. La condicin bsica para el aseguramiento y valoracin del
resultado de la auditora forense es el grado de preparacin y experiencia
adecuada para realizar las tareas por parte del auditor.
-
47
En el desarrollo de una auditora forense, en el examen y en la elaboracin de
los informes, se identifican adems, las nuevas habilidades y competencias
demandas a los auditores:
Conocimiento del negocio, comprendiendo su funcionamiento y forma de
planificar, administrar y controlar, anticipndose a la posibilidad de hechos
fraudulentos.
Adoptar una mente estratgica a fin de cumplir con una funcin
investigadora de la gestin empresarial.
Conocimiento avanzado de tecnologas de informacin.
Adopcin de tcnicas innovadoras de auditora para prevenir hechos
delictuosos.
Desarrollar habilidades de investigacin, en especial en los tipos de
fraudes, delitos y operaciones ilcitas que se pueden cometer en las
empresas y/o instituciones financieras.
2.5. Quines demandan el servicio de auditora forense?
a) Entidades de carcter gubernamental, segn sea la vulnerabilidad de sus
sistemas de gestin y control.
b) Entidades Financieras que dada la naturaleza de sus transacciones estn
expuestas a un riesgo mayor de fraudes.
c) Entidades de carcter pblico como son las compaas que cotizan sus
valores en bolsas de comercio, cuyos accionistas pueden estar expuestos
en sus intereses, especialmente aquellos accionistas minoritarios que no
tienen injerencia en las decisiones de la compaa.
d) Las compaas financieras son las que han trabajado con mayor
recurrencia el tema, en asociacin con las entidades reguladoras, dado los
-
48
efectos perversos que este tipo de actos trae como consecuencia, no tan
solo a las entidades en particular, sino al pas que recibe el efecto.
En la auditora forense, las estrategias, procedimientos y mtodos
investigativos, son especialmente estudiados a fin de preservar y priorizar el
inters pblico.
El rol de la auditora forense en el sector pblico es facilitar la prevencin,
deteccin e investigacin del crimen econmico. Esto incluye los siguientes
aspectos:
La iniciacin de un programa de prevencin del crimen econmico con una
visin amplia para resaltar la existencia de riesgos potenciales y de la
necesidad de una estrategia de prevencin en cada institucin pblica;
Una revisin del sistema criminal de justicia para determinar los crmenes
econmicos en el sector pblico y toda la legislacin relevante con una
visin para identificar cualquier deficiencia material y reportarla
adecuadamente;
El desarrollo de unas polticas y normas necesarias incluyendo un modelo
apropiado de riesgos para auditoras y otros propsitos.
Con frecuencia las organizaciones deben enfrentar cambios en la estructura
de sus procesos, muchas veces llevadas por las necesidades que surgen de su
propio seno, otras como consecuencia de cambio de tamao, fusiones, compras y
tomas de posesin, nuevos productos, etc. En el diseo y monitoreo de estos
procesos, resulta fundamental la evaluacin de riesgos y la prevencin del fraude,
ya que estos son los momentos de mayor vulnerabilidad, interna y externa, que
presentan las organizaciones.
-
49
2.6. Campos de accin del auditor forense
A diferencia de la auditora tradicional que se sustenta en la buena fe, en el
negocio en marcha y en la evidencia para obtener seguridad razonable, el
auditor forense va ms all de la evidencia de auditora, de la seguridad
razonable, evala e investiga al 100% del universo objeto de auditora,
centrndose en el hecho ilcito y en la mala fe de las personas. Por esto los
campos de accin del auditor forense son especializados y con objetivos muy
precisos.}Ejemplos
La cuantificacin de prdida financiera
Disputas entre accionistas o compaeros
Incumplimiento de contratos
Demandas de lesiones personales
Irregularidades e infracciones
Demandas de seguros
Disputas matrimoniales, las separaciones, los divorcios.
Herencias
Investigacin financiera
2.7. Diversos tipos de tareas que puede desarrollar un auditor
forense
2.7.1. Auditora investigativa
Las Normas Internacionales de Auditora Interna del IIA (y
especficamente el Consejo para la Prctica 1210.A2-2: Responsabilidad
en la Deteccin de Fraude establecen la responsabilidad del auditor interno
de:
-
50
Considerar la posibilidad de fraude en el curso de las auditoras regulares,
y.
Si existen indicios que sealen la probabilidad de que haya ocurrido un
fraude, expedirse recomendando a la administracin el desarrollo de tareas
especializadas ms profundas
A esta labor la denominamos auditora investigativa, y su producto final
es la determinacin de la existencia de indicadores que induzcan a
considerar que la probabilidad de que se haya cometido fraude es lo
suficientemente seria como para incurrir en el costo de una investigacin.
O si, por el contrario, tales evidencias no alcanzan la cuanta necesaria
como para merecer ulteriores esfuerzos investigativos.
2.7.2. Sumario administrativo
Si la organizacin se orienta a una sancin administrativa sin intencin
de abrir un juicio, puede obtenerse evidencia de auditora que fortalezca la
evidencia de autora de hechos irregulares. En este caso, el auditor se
encuentra abocado a una instancia sumarial de la auditora forense, cuya
caracterstica es que no se halla evaluando informacin financiera, el
sistema de control interno ni responsabilidades de gestin, sino hechos
que incriminen a personas concretas en la comisin de hechos apartados
de las normas seguidas por la organizacin (no necesariamente delitos),
para la potencial aplicacin de una sancin administrativa.
2.7.3. Investigacin pre judicial
La organizacin puede decidir que la naturaleza y gravedad de los
hechos de que se sospecha justifican su presentacin en una instancia
-
51
judicial. En este caso, lo que inicia es una investigacin (normalmente con
la intervencin de especialistas externos a la propia organizacin). El
auditor forense acta en un rol de obtencin de evidencia contable y
administrativa para ser evaluada por investigadores y abogados no
especializados en documentacin ni registracin contable e informacin
financiera. Tambin puede colaborar en entrevistas e interrogatorios que
involucren temas cuya complejidad administrativa/ contable/financiera
exceden de la capacidad de los restantes investigadores para evaluar
verosimilitud de las declaraciones, posibles autoras y responsabilidades.
2.7.4. Actuacin pericial y testimonio judicial
Finalmente, cuando las investigaciones ya han dado lugar a la apertura
de actuaciones judiciales, el auditor forense puede actuar como asesor de
las partes que normalmente intervienen en una causa judicial:
Fiscala y querella, por la parte acusadora
Defensa, por la parte acusada
Tribunal que impartir sentencia
En este rol, es posible que el Tribunal decida convocar a los auditores
forenses de las distintas partes y a los propios como testigos expertos,
cuyo testimonio es especialmente valorado por los Tribunales en virtud de
la especial calificacin de los auditores forenses en la materia respecto de
la cual se los convoca a testimoniar.
Dependiendo del caso concreto, el auditor forense se puede auxiliar en
peritos o expertos en diversas reas, entre otras:
Criminalstica.
-
52
Entrevistas.
Fotografa.
Grafoscopa.
Documento