HISTORIA,

CARACTERÍSTICA
ALCANCE
OBJETIVOS,
DELITOS INFORMÁTICOS,
PLATAFORMA
DE LOS SISTEMAS,
AUDITORIA INTERNA Y EXTERNA,
SÍNTOMAS DE NECESIDAD DE
AUDITORIA,
CONTROL, SEGURIDAD DE LOS SISTEMAS,
VULNERABILIDAD DE LOS
SISTEMAS.

RIESGOS EN AUDITORIAS.
1. HISTORIA
los Sistemas Informáticos se han constituido en las herramientas más poderosas
para materializar uno de los conceptos más vitales y necesarios para cualquier
organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso

las normas y estándares propiamente informáticos deben estar, por lo tanto,
sometidos a los generales de la misma. En consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado el "management" o gestión
de la empresa. Cabe aclarar que la Informática no gestiona propiamente la
empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende,
debido a su importancia en el funcionamiento de una empresa, existe la Auditoría
Informática.

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se

ha considerado como una evaluación cuyo único fin es detectar errores y señalar
fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de
que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado
fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se

realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo,
una entidad, etc.

La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra

auditor, que se refiere a todo aquel que tiene la virtud de oír.

Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de

contadores nos dice: " La auditoría no es una actividad meramente mecánica que
implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado
a cabo son de carácter indudable."
 De todo esto sacamos como deducción que la auditoría es un examen crítico pero
no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que
persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un
organismo.

El auditor sólo puede emitir un juicio global o parcial basado en hechos y

situaciones incontrovertibles, careciendo de poder para modificar la situación
analizada por él mismo.

2. CARACTERÍSTICAS
La información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias primas si
las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se
ocupa la Auditoría de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en
general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser
Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de

alguna forma su función: se está en el campo de la Auditoría de Organización
Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan
en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área
de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese
Desarrollo existen, además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
3. ALCANCES
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El
alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino
cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los
registros grabados a un control de integridad exhaustivo*? ¿Se comprobará que
los controles de validación de errores son adecuados y suficientes*? La
indefinición de los alcances de la auditoría compromete el éxito de la misma.

*Control de integridad de registros:

Hay Aplicaciones que comparten registros, son registros comunes. Si una

Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo
va encontrar y, por lo tanto, la aplicación no funcionaría como debería.

*Control de validación de errores:

Se corrobora que el sistema que se aplica para detectar y corregir errores sea
eficiente.

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo

muy preciso entre auditores y clientes sobre las funciones, las materias y las
organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy
beneficioso para ambas partes expresar las excepciones de alcance de la
auditoría, es decir cuales materias, funciones u organizaciones no van a ser
auditadas.

4. OBJETIVOS
Los Principales Objetivos que constituyen a la auditoría Informática son el control
de la función informática, el análisis de la eficiencia de los Sistemas Informáticos
que comporta, la verificación del cumplimiento de la Normativa general de la
 empresa en este ámbito y la revisión de la eficaz gestión de los recursos
materiales y humanos informáticos.

Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al
control correspondiente, o al menos debería estarlo. La importancia de llevar un
control de esta herramienta se puede deducir de varios aspectos. He aquí
algunos:

Objetivo fundamental de la auditoría informática: Operatividad

La operatividad es una función de mínimos consistente en que la organización y

las maquinas funcionen, siquiera mínimamente. No es admisible detener la
maquinaria informática para descubrir sus fallos y comenzar de nuevo.

La operatividad de los Sistemas ha de constituir entonces la principal

preocupación del auditor informático. Para conseguirla hay que acudir a la
realización de Controles Técnicos Generales de Operatividad y Controles
Técnicos Específicos de Operatividad, previos a cualquier actividad de aquel.

5. DELITOS INFORMÁTICOS
Se podría definir el delito informático como toda (acción u omisión) culpable
realizada por un ser humano, que cause un perjuicio a personas sin que cause un
perjuicio a personas sin que necesariamente se beneficie el autor o que, por el
contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma
directa o indirecta a la víctima, tipificado por la Ley, que se realiza en el entorno
informático y está sancionado con una pena.

Características de los delitos informáticos.

 Son conductas criminales de cuello blanco (White collar crime), en tanto
que sólo un determinado número de personas con ciertos conocimientos (en este
caso técnicos) puede llegar a cometerlas.
  Son acciones ocupacionales, en cuanto a que muchas veces se realizan
cuando el sujeto se halla trabajando.
 Son acciones de oportunidad, ya que se aprovecha una ocasión creada o
altamente intensificada en el mundo de funciones y organizaciones del sistema
 tecnológico y económico.
 Provocan serias pérdidas económicas, ya que casi siempre producen
“beneficios” de más de cinco cifras.
 Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de
segundo y sin una necesaria presencia física pueden llegar a consumarse.
 Son muchos los casos y pocas las denuncias, y todo ello debido a la misma
falta de regulación por parte del Derecho.
 Son muy sofisticados y relativamente frecuentes en el ámbito militar.
 Presentan grandes dificultades para su comprobación, ésto por su mismo
carácter técnico.
 En su mayoría son imprudencias y no necesariamente se cometen con
intención.
 Ofrecen facilidades para su comisión los menores de edad.

6. AUDITORIA INTERNA Y EXTERNA

La auditoría interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados económicamente. La auditoría interna existe por expresa decisión de
la Empresa, o sea, que puede optar por su disolución en cualquier momento.

Por otro lado, la auditoría externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditoría informática interna cuenta con algunas ventajas adicionales muy

importantes respecto de la auditoría externa, las cuales no son tan perceptibles
como en las auditorías convencionales. La auditoría interna tiene la ventaja de que
puede actuar periódicamente realizando Revisiones globales, como parte de su
Plan Anual y de su actividad normal. Los auditados conocen estos planes y se
habitúan a las Auditorías, especialmente cuando las consecuencias de las
Recomendaciones habidas benefician su trabajo.

En una empresa, los responsables de Informática escuchan, orientan e informan

sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a
menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible
aquellas necesidades. La empresa necesita controlar su Informática y ésta
necesita que su propia gestión esté sometida a los mismos Procedimientos y
estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza
en la figura del auditor interno informático.

Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones
contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:

 Necesidad de auditar una materia de gran especialización, para la cual los

servicios propios no están suficientemente capacitados.
 Contrastar algún Informe interno con el que resulte del externo, en aquellos
supuestos de emisión interna de graves recomendaciones que chocan con
la opinión generalizada de la propia empresa.

 Servir como mecanismo protector de posibles auditorías informáticas

externas decretadas por la misma empresa.

Aunque la auditoría interna sea independiente del Departamento de Sistemas,

sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen
auditorías externas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una actividad exenta
de cualquier contenido o matiz "político" ajeno a la propia estrategia y política
general de la empresa. La función auditora puede actuar de oficio, por iniciativa
del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o
cliente.
7. SÍNTOMAS DE NECESIDAD DE AUDITORIA
Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización:

 No coinciden los objetivos de la Informática de la Compañía y de la propia

Compañía.

 Los estándares de productividad se desvían sensiblemente de los

promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración

fallida de alguna área o en la modificación de alguna Norma importante]

Síntomas de mala imagen e insatisfacción de los usuarios:

 No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de

Software en los terminales de usuario, resfrescamiento de paneles, variación de
los ficheros que deben ponerse diariamente a su disposición, etc.

 No se reparan las averías de Hardware ni se resuelven incidencias en plazos

razonables. El usuario percibe que está abandonado y desatendido
permanentemente.

 No se cumplen en todos los casos los plazos de entrega de resultados periódicos.

Pequeñas desviaciones pueden causar importantes desajustes en la actividad del
usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

8. CONTROL
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones
y actitudes de las empresas y para ello permite verificar si todo se realiza
conforme a los programas adoptados, órdenes impartidas y principios admitidos.
 Clasificación general de los controles:

Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones .
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso

Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta
luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven
para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría
Procedimientos de validación

Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección
adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de
controles detectivos sobre los controles correctivos, debido a que la corrección de
errores es en si una actividad altamente propensa a errores.

Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Area de Informática de una empresa o institución debe

implantar los siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores
9. SEGURIDAD DE LOS SISTEMAS

La seguridad informática o seguridad de tecnologías de la información es el área

de la informática que se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta y, especialmente, la información
contenida o circulante. Para ello existen una serie de estándares, protocolos,
métodos, reglas, herramientas y leyes concebidas para minimizar los posibles
riesgos a la infraestructura o a la información. La seguridad informática
comprende software (bases de datos, metadatos, archivos), hardware y todo lo
que la organización valore (activo) y signifique un riesgo si esta información
confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en
información privilegiada.

El concepto de seguridad de la información no debe ser confundido con el de

«seguridad informática», ya que este último solo se encarga de la seguridad en el
medio informático, pero la información puede encontrarse en diferentes medios o
formas, y no solo en medios informáticos.

La seguridad informática es la disciplina que se ocupa de diseñar las normas,

procedimientos, métodos y técnicas destinados a conseguir un sistema de
información seguro y confiable.

10. VULNERABILIDAD DE LOS SISTEMAS

Conjuntamente con el nacimiento de la computación, también nacieron los

programas o software que le permitían a aquellas primitivas maquinarias operar. Si
bien estas máquinas procesaban la información de una manera precisa, lo cierto
es que los programas que las controlaban eran de desarrollo y diseño humano, y
por lo tanto muy factibles de contener toda clase de errores.

Con el paso de los años, los errores de programación han ido disminuyendo,
gracias en gran parte a que los nuevos lenguajes de programación son más
 flexibles y que existe gran cantidad de información impresa y en Internet acerca de
cómo operarlos.

Pero lamentablemente todavía nos podemos encontrar con muchos de estos

errores cuando ejecutamos un programa, aún los más reputados y con mayor
trabajo en su diseño, incluyen una serie de errores que sus ingenieros van
parcheando con actualizaciones a medida que son descubiertos o denunciados
por sus usuarios.

Las mencionadas vulnerabilidades son partes del código fuente del programa que
no han sido concienzudamente escritas teniendo en cuenta la seguridad global de
una aplicación, y por lo tanto es posible que un hacker, o una persona con el
suficiente nivel de conocimientos, los aproveche para comprometer la integridad
de un sistema informático, sea un mainframe o un simple PC de escritorio.

Las vulnerabilidades más peligrosas son aquellas que le permiten a un atacante

ejecutar código arbitrario, lo que le brindaría la oportunidad de tomar el control de
nuestra PC, sometiéndola a sus deseos o requerimientos.

11. RIESGOS EN AUDITORIAS

Es la posibilidad de emitir un informe de auditoría incorrecto por no haber
detectado errores o irregularidades significativas que modificarían el sentido de la
opinión vertida en el informe.
El riesgo global de Auditoría es el conjunto de:

- Aspectos Aplicables exclusivamente al negocio o actividad del ente (Riesgo

Inherente)
- Aspectos atribuibles a los sistemas de control, incluyendo auditoría interna
(Riesgo de control)

- Aspectos originados en la naturaleza, alcance y oportunidad de los

procedimientos de auditoría de un trabajo en particular (Riesgo de detección)

Nos detenemos a continuación an cada uno de estos factores.

Riesgo Inherente: Es la susceptibilidad de los estados financieros a la existencia
de errores o irregularidades significativos, antes de considerar la efectividad de los
sistemas de control.

El riesgo inherente está totalmente fuera de control por parte del auditor.
Difícilmente se puedan tomar acciones que tiendan a eliminarlo, porque es propia
de la operatoria del ente.

Riesgo De Control: Es el riesgo de que los sistemas de control estén

incapacitados para detectar o evitar errores o irregularidades significativos en
forma oportuna.

Riesgo De Detección: Es el riesgo de que los procedimientos de auditoría

seleccionados no detecten errores o irregularidades existentes en los estados
contables.

Por ejemplo, errores en la definición de una muestra en la circularización de

saldos de proveedores, o en la definición del período de análisis de pagos
posteriores pueden implicar conclusiones erróneas en cuanto a la validez de la
integridad de las cuentas a pagar.

El riesgo de detección es controlable por la labor del auditor y dependen

exclusivamente de la forma en que se diseñen y lleven a cabo los procedimientos
de auditoría.

El riesgo de detección es la última y única posibilidad de mitigar altos niveles de

riesgos inherentes y de control.

Establecidas las diferencias, veremos como impactan los mismos en la evaluación

y planificación del proceso de auditoria

Evaluación Del Riesgo De Auditoria

El nivel de riesgo de auditoría suele medirse en cuatro grados posibles:

- Mínimo
- Bajo
- Medio
- Alto

La tarea de evaluación está presente en dos momentos de la planificación de

auditoría:

Planificación estratégica: En esta etapa se evalúa el riesgo global de auditoría

relacionado con el conjunto de los estados contables y además, se evalúa el
riesgo inherente y de control de cada componente en particular

Planificación detallada: En esta etapa se evalúa el riesgo inherente y de control

específico para cada afirmación en particular; dentro de cada componente