SEGUNDA

UNIDAD

Auditoria Informtica
INTRODUCCION

En esta unidad, se desarrollan aspectos de la auditoria informtica relacionados

con el alcance, importancia y tipos de la auditoria informtica.

El propsito es que usted identifique el proceso de una auditoria informtica, su

metodologa y las diferentes tcnicas aplicadas en su ejecucin.

OBJETIVOS
Identificar el propsito de la auditoria informtica
Distinguir entre los diferentes tipos de auditora informtica
Identificar el papel del auditor informtico

Capitulo 1.

La auditoria informtica

Leccin 1. Concepto, objetivos de la auditoria informtica

Concepto: La auditoria informtica: es la revisin tcnica, especializada y
exhaustiva que se realiza a los sistemas computacionales, software e informacin
utilizados en una empresa, sean individuales compartidos y/o de redes, as como
a sus instalaciones, telecomunicaciones, mobiliario, equipos perifricos y dems
componentes. Dicha revisin se realiza de igual manera a la gestin informtica, el
aprovechamiento de sus recursos, las medidas de seguridad y los bienes de
consumo necesarios para el funcionamiento del centro de cmputo. El propsito
fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso
de los datos, el procesamiento adecuado de la informacin y la emisin oportuna
de los resultados en la institucin, incluyendo la evaluacin en el cumplimiento de
las funciones actividades y operaciones de funcionarios, empleados y usuarios
involucrados con los servicios que proporcionan los sistemas computacionales a la
empresa. 18
Objetivos de la auditoria informtica
Evaluar el uso de los recursos tcnicos y materiales para el procesamiento

de la informacin as como tambin el aprovechamiento de los equipos de

cmputo, sus perifricos, las instalaciones y mobiliario del centro de
cmputo.
Evaluar el desarrollo e instalacin de nuevos sistemas, el aprovechamiento

de de los sistemas de procesamiento, los sistemas operativos, los

lenguajes, programas y aplicaciones.

Operatividad

Verificacin de las normas existentes en el departamento de Informtica y

su coherencia con las del resto de la empresa

La operatividad, se encarga de verificar que la organizacin y las maquinas

funcionen, siquiera mnimamente. No es aceptable detener la los recursos de
A

"

#$% $

& $ %

% $ &

"

9'$

& #

$)&" *++*" "

computo para descubrir sus fallos y comenzar de nuevo. Cuando los sistemas
estn operando la auditoria inicia su actividad.

De ah

que la principal

preocupacin del auditor informtico es la de mantener la operatividad de los

sistemas y para lograrlo debe verificar que se estn realizando los siguientes tipos de
controles: Controles Tcnicos Generales de Operatividad y Controles Tcnicos
Especficos de Operatividad.

La verificacin de las normas existentes en el departamento de Informtica y su

coherencia con las del resto de la empresa, implica que se debe revisar:

Leccin 2. Alcance, importancia, de la auditoria informtica

Alcance de la Auditoria Informtica

El alcance define el entorno y los lmites donde va a desarrollarse la auditoria
informtica, complementndose con los objetivos definidos para el proceso de
revisin. El alcance debe manifestarse claramente en el Informe Final, de modo
que queden perfectamente detallados no solamente los puntos que fueron
examinados, sino tambin cuales fueron omitidos. 19

Importancia de la Auditoria Informtica

La Auditoria Informtica, es importante en las organizaciones por las siguientes
razones:

Se pueden difundir y utilizar resultados o informacin errnea si la calidad de

datos de entrada es inexacta o los mismos son manipulados, lo cual abre la
posibilidad de que se provoque un efecto domin y afecte seriamente las
operaciones, toma de decisiones e imagen de la empresa.
Las computadoras, servidores y los Centros de Procesamiento de Datos se
han convertido en blancos apetecibles para fraudes, espionaje, delincuencia
y terrorismo informtico.
La continuidad de las operaciones, la administracin y organizacin de la
empresa no deben descansar en sistemas mal diseados, ya que los
mismos pueden convertirse en un serio peligro para la empresa.
Las bases de datos pueden ser propensas a atentados y accesos de
usuarios no autorizados o intrusos.
7

000" &
& 9$ ?

1$ "
D

#$% $ #
"

$ %

C%$

$# # &1

:%$ " &%

&%

Leccin 3. Necesidad de la auditoria informtica

Necesidad de la Auditoria Informtica

20

Las empresas acuden a las auditoras externas cuando existen sntomas bien
perceptibles de debilidad. Estos sntomas pueden agruparse en clases:
Sntomas de descoordinacin y desorganizacin:

No coinciden los objetivos de la Informtica de la Compaa y de la

propia Compaa.

Los estndares de productividad se desvan sensiblemente de los

promedios conseguidos habitualmente.

Sntomas de mala imagen e insatisfaccin de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos:

cambios de Software en los terminales de usuario, resfrecamiento de
paneles, variacin de los ficheros que deben ponerse diariamente a
su disposicin, etc.

No se reparan las averas de Hardware ni se resuelven incidencias

en plazos razonables. El usuario percibe que est abandonado y
desatendido permanentemente.

No se cumplen en todos los casos los plazos de entrega de

resultados peridicos. Pequeas desviaciones pueden causar
importantes desajustes en la actividad del usuario, en especial en los
resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financiero:

*+

.%% //000"

Incremento desmesurado de costes.

&

1$ "

/%

2 /

#$% $&1 / #$% $&1 " .%

Necesidad de justificacin de Inversiones Informticas (la empresa

no est absolutamente convencida de tal necesidad y decide
contrastar opiniones).

Desviaciones Presupuestarias significativas.

Costes y plazos de nuevos proyectos (deben auditarse

simultneamente a Desarrollo de Proyectos y al rgano que realiz
la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos

Seguridad Lgica

Seguridad Fsica

Confidencialidad

Continuidad del Servicio. Es un concepto an ms importante que la

Seguridad. Establece las estrategias de continuidad entre fallos
mediante Planes de Contingencia* Totales y Locales.

Centro de Proceso de Datos fuera de control. Si tal situacin llegara

a percibirse, sera prcticamente intil la auditora. Esa es la razn
por la cual, en este caso, el sntoma debe ser sustituido por el
mnimo indicio.

Leccin 4. Tipos de Auditoria Informtica

La divisin de la auditoria informtica o de sistemas se ha realizado teniendo en
cuenta las diferentes funciones que se desarrollan en esta rea, se indican
brevemente cada una de estas divisiones: 21

000" &
& 9$ ?

1$ "
D

#$% $ #
"

$ %

C%$

$# # &1

:%$ " &%

&%

Explotacin u Operacin.
Desarrollo de Proyectos.
De Sistemas.
De Comunicaciones y Redes y de Seguridad.
Auditoria de la Seguridad Informtica
Auditoria Informtica para Aplicaciones en Internet.

Auditoria Informtica de Produccin o Explotacin: conocida tambin como de

operacin, se ocupa de revisar todo lo que se refiere con producir resultados
informticos, listados impresos, archivos soportados magnticamente, ordenes
automatizadas para ejecutar o modificar procesos, etc.
La produccin, operacin o explotacin informtica dispone de una materia prima,
los datos, que son necesarios para transformar y que se someten previamente a
controles de integridad y calidad.

La transformacin se realiza por medio del

proceso informtico, el cual est regido por programas y una vez obtenido el
producto final, los resultados son sometidos a varios controles de calidad y,
finalmente, son distribuidos al cliente, al usuario.
La auditoria informtica de produccin, operacin o explotacin se encarga de
revisar las secciones que la componen y sus interrelaciones, las cuales
generalmente son: planificacin, produccin y soporte tcnico.

Auditoria Informtica de Desarrollo de Proyectos: La funcin de desarrollo es

una evolucin del llamado anlisis y programacin de sistemas, y abarca muchas
reas tales como: prerrequisitos del usuario y del entorno, anlisis funcional,
diseo, anlisis orgnico (reprogramacin y programacin) y pruebas. Estas fases
deben estar sometidas a un exigente control interno, de lo contrario, los costos pueden
ser excesivos o se puede no satisfacer todas las necesidades del usuario.

La auditoria en este caso deber principalmente comprobar la seguridad de los

programas en el sentido de garantizar que lo ejecutado por la mquina sea
exactamente lo previsto o lo solicitado inicialmente.

Auditoria Informtica de Sistemas: Se ocupa de analizar y revisar los controles

y efectividad de la actividad que se conoce como tcnicas de sistemas en todas
sus facetas y se enfoca principalmente en el entorno general de sistemas, el cual
incluye sistemas operativos, software bsico, aplicaciones, administracin de base
de datos, etc.

Auditoria Informtica de Comunicaciones y Redes: Este tipo de revisin se

enfoca en las redes, lneas, concentradores, multiplexores, etc.

El auditor

informtico deber indagar sobre los ndices de utilizacin de las lneas

contratadas, solicitar informacin sobre tiempos de desuso. Tambin

ser

necesario que obtenga informacin sobre la cantidad de lneas existentes, cmo

son y donde estn instaladas, sin embargo, las debilidades ms frecuentes o
importantes se encuentran en las disfunciones organizativas, pues la contratacin
e instalacin de lneas va asociada a la instalacin de los puestos de trabajo
correspondientes

(pantallas,

servidores

de

redes

locales,

computadoras,

impresoras, etc.).

Auditoria de la Seguridad Informtica: La auditoria de la seguridad en la

informtica comprende los conceptos de seguridad fsica y lgica. La seguridad
fsica se refiere a la resguardo del hardware y los soportes de datos, as como la
seguridad de los edificios e instalaciones que los alojan. Es papel del auditor
informtico contemplar situaciones de incendios, sabotajes, inundaciones, robos,
catstrofes naturales, etc.

Por su parte, la seguridad lgica hace referencia a la seguridad en el uso de

software, la proteccin de los datos, procesos y programas, as como la del
acceso ordenado y autorizado de los usuarios a la informacin.

El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado
de que no existen copias piratas, o de que, al conectarnos en red con otros
computadores, no exista la posibilidad de transmisin de virus.

Auditoria Informtica para Aplicaciones en Internet: En este tipo de revisiones,

se enfoca principalmente en verificar los siguientes aspectos, que el auditor
informtico no puede pasar por alto:

Evaluacin de los riesgos de Internet (operativos, tecnolgicos y

financieros) y as como su probabilidad de ocurrencia.

Evaluacin

de

vulnerabilidades

la

arquitectura

de

seguridad

implementada.
Verificar la confidencialidad de las aplicaciones y la publicidad negativa
como consecuencia de ataques exitosos por parte de hackers.

Leccin 5. Medios disponibles y especficos de auditora. 22

Medios tcnicos
o Equipo fsico y locales.
o Software bsico.
Medios humanos.
Medios financieros.

**

http://zip.rincondelvago.com/00022558

1. Medios tcnicos:
Equipo fsico y locales.
Comprende el ordenador propiamente dicho, el hardware y los soportes fsicos de
los ficheros, as como los locales donde se instalan estas mquinas.
Aspectos a tener en cuenta:

Los equipos fsicos y locales han de adaptarse a la finalidad, es decir, a las

aplicaciones, tanto cualitativas como cuantitativas.

Dada la evolutividad de los objetivos el equipo fsico debe ser tambin

evolutivo sin dejar de resultar adecuado y modular.

Cada componente del equipo fsico de formar parte de un todo homogneo.

Otros criterios de eleccin son la fiabilidad del material y la rapidez de las

restauraciones.

Para garantizar la consecucin de la finalidad se hace necesario garantizar

la

seguridad del hardware. Es conveniente disponer de un plan

preventivo y

curativo para garantizar esa seguridad.

El plan preventivo debe prever catstrofes generales ( incendio,

inundacin,...) as como otros sucesos ( cortes de fludo elctrico, aumentos
de tensin, presencia de polvo,...).
El plan curativo est formado por soluciones de emergencia en
circunstancias

diversas. Resulta fundamental la salvaguarda en lugares

distintos de un nmero suficiente de generaciones de ficheros, de

programas y su modo de empleo.

Una

documentacin

actualizada

caractersticas tcnica del equipo fsico.

Herramientas de auditora especfica:

disponible

debe

describir

las

a) La auditora del equipo fsico debe comprobar si se aplican las reglas

anteriores: adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para
ello, el auditor debe estar provisto de unos conocimientos tcnicos
slidos.
b) El auditor valorar la adaptacin a los objetivos y a las acciones tomando
como base de juicio la evolucin histrica.
c) El inters del auditor por las ejecuciones trs la adaptacin a las
finalidades.
d) Estimacin de la homogeneidad de los componentes y su fiabilidad
atendiendo a las estadsticas de tiempo de utilizacin y la conservacin
de grabaciones en caso de fallos.
e) El estudio del presupuesto de seguridad evaluando los medios en funcin
del servicio que prestan y conforme a la probabilidad de fallo que pueden
tener. Tambin se examinar la seguridad del material suplementario y
los formularios que contienen talonarios y letras.
f) La conservacin se evala a partir de los contratos y de los informes de
indisponibilidad. Puede ser preventiva (mantenimiento) o curativa
(restauracin).

Software bsico.
Constituye una parte creciente del coste de un sistema. Tiene una importancia
primordial en la seguridad de las operaciones pero a medida que va creciendo
ms compleja es su evaluacin.
Aspectos a tener en cuenta:

1.

El software bsico se adapta a las finalidades siempre y cuando

permita una correcta utilizacin del hardware con el lenguaje y en el modo

de explotacin elegidos para ejecutar las aplicaciones.

El software posee muchas posibilidades pero lo ms interesante a nivel

prctico es la posibilidad de poder incorporarse en gran parte al equipo
fsico.
2.

La evolutividad del software exige una transparencia de su

dependencia con respecto a las aplicaciones del equipo fsico.

Los lmites de las posibilidades del software deben encontrarse bastante
alejados, as como los obstculos no deben ser tan rgidos.
Tanto las opciones del software como sus modificaciones futuras deben
anotarse dentro de un estudio como ya ocurre con el hardware.
3.

Los componentes del software bsico deben estar adaptados entre

s y con la configuracin del equipo fsico siempre en funcin de la finalidad.

Por otro lado, tambin ha de adaptarse a los medios humanos, tanto para
aquellos que desarrollan las aplicaciones como tambin para los que las
usan.
4.

La fiabilidad del software bsico se consigue mediante el registro de

las anomalas para su posterior anlisis y rectificacin por el constructor

aunque el software debe emplear ayudas para diagnstico de fallos.
Resulta esencial que el software permita implantar los puntos de enlace
eficazmente utilizables mediante la reinicializacin en la eventualidad de un
mal funcionamiento, como una adecuada recuperacin de los ficheros.
En definitiva, la fiabilidad de una base de datos est sealada en su
sistema de gestin.
5.

Para la seguridad del software bsico se requiere una proteccin

contra los accesos prohibidos, especialmente en el modo interactivo y en

un sistema de base de datos.
Se aconseja la proteccin de los programas y datos temporales alojados en
la memoria central, as como recomendable la rpida destuccin de
ficheros con informacin confidencial.

Las distintas protecciones del software deben registrar el intento de acceso

ilegal. Aunque resulta difcil obtener una proteccin eficaz contra el acceso
no autorizado en pequeos sistemas debiendo colocar los ficheros en
soportes que slo se manejen a la hora de su empleo.

6.

Resulta importante que el software contenga una documentacin

completa y actualizada que le sirva de referencia al usuario.

Herramienta de auditora especfica:

a) La auditora del software bsico, en primer lugar, puede tener por fin la
evaluacin de su adaptacin y de su evolutividad as como de su
homogeneidad con los otros componentes.
Igualmente, la auditora del software bsico puede versar sobre la fiabilidad y/o
la seguridad.
b) El auditor ha de ser realista pues al examinar el software directamente no
puede hacer ms que comprobar reducidos fragmentos, incluso cuando la
documentacin existe y est bien hecha.
Es indispensable que el auditor adquiera los conocimientos para comprender
el funcionamiento y poder intentar encontrar las deficiencias o la mala
realizacin como si fuera un sistema de gestin de ficheros ordinarios.
c) El auditor ha de examinar la consulta de la documentacin pues sto le indica
la complejidad del software o bien su falta de actualizacin.

2. Medios humanos.

Aspectos a tener en cuenta:

1. Las personas tienen su propia finalidad la cul tratan de satisfacer, an as en

una empresa se ha de respetar la realizacin de los objetivos definidos, sin
quedar bloqueado por la reticencia de rutina y por la ostilidad particular.
2. Es necesario un reparto de las responsabilidades de forma arborescente, cada
equipo ha de contar con un escaso nmero de miembros, incluso resulta
aconsejable una rotacin de las responsabilidades.
3. Se requiere buenas relaciones entre los miembros del personal, lo que cada
uno hace debe ser conocido globalmente por todos, y estar accesible de forma
detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente.
Tambin es importante una formacin y una informacin suficiente para que el
personal tenga una visin bastante amplia de los problemas y de las
interrelaciones.
4. Se ha de proceder a una verificacin de las informaciones transmitidas y
tratadas por cada miembro del personal. Las comprobaciones deben ser tales
que se detecte con rapidez el error humano y se rectifique antes de que se
produzcan grandes consecuencias.
La documentacin e informacin recprocas deben ser suficientes para que
nadie resulte insustituible.
5. La seguridad comienza por la seleccin del personal y contina por el control
mutuo en la realizacin de las tareas ms importantes. An as, es preciso
precaverse contra un posible sabotaje directo o indirecto.
6. Sin informacin no hay motivacin, por tanto los fines y mtodos adoptados
han de ser comprendidos y aceptados, a la vez que la formacin del personal
es en s mismo una finalidad.

Herramientas de auditora especfica:

a) Es conveniente tener el historial general del servicio y de los movimientos del
personal.

b) Comprobar la adecuacin al plan de los medios humanos por medio de los

organigramas y fichas de funcin.
c) Los medios humanos del sistema de informaciones son tambin piezas
externas al servicio informtico.
d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las
hojas de consola nos indican la fiabilidad de las operaciones de explotacin.
La separacin de funciones, un examen de todas las protecciones materiales y
lgicas y un conocimiento de los modos operativos proporcionan en su
conjunto la seguridad humana.
La realizacin de cursos como la utilizacin de libros y revistas conllevan una
mejor documentacin y una mayor formacin.

3. Medios financieros.
La eleccin de los medios financieros ha de considerarse de forma global. No slo
consiste en determinar qu equipos fsicos, programas o realizaciones cuestan
ms o menos, sino tambin abarca otros aspectos, adems del econmico, tales
como: fiabilidad, velocidad de procesamiento, rentabilidad, etc....

Aspectos a tener en cuenta:

1. La adecuacin de los medios financieros a la finalidad se mide por la
proporcin entre los gastos exigidos y los resultados (financieros o no)
obtenidos. Los mtodos de control de gestin y contabilidad presupuestaria
clsicos sirven para prever y posteriormente controlar la adecuacin a los
objetivos.
La evolutividad implica un presupuesto no slo flexible sino modulado en el
tiempo, ya que los costes son importantes.

2.

Los mtodos clsicos de la contabilidad analtica permiten establecer los

estndares de homogeneidad de los medios financieros.
Tambin es muy til verificar peridicamente si los costes imputados son
todava competitivos con relacin a un servicio exterior.

3. Para elaborar un sistema equitativo sera preciso que dos servicios semejantes
diera lugar a una misma valoracin.
Los costos deben ser registrados de forma fiable, completa y pertinente, y los
clculos y agrupaciones efectuados deben ser legtimos. El trabajo del personal
debe ser registrado o repartido segn conceptos para que las cifras conserven
algn sentido.

4.

La seguridad financiera se obtiene por una rentabilidad duradera de la

financiacin de hardware y el software.
A la hora de la entrega de los equipos informticos, el contrato debe recoger un
plan y un informe de gastos que condujo a su eleccin. La garanta de fiabilidad
material reside en una clusula que fija el plazo de intervencin, en caso de
avera, y el grado de fiabilidad de los componentes. Tambin puede contratarse
un seguro para una garanta eficaz de los equipos.

5. Tanto los contratos de adquisicin y seguro como los documentos contables

comprenden la documentacin sobre los medios financieros.

Herramientas de auditora especfica:

a) Unos mnimos conocimientos por el auditor a nivel de contabilidad analtica y

presupuestaria as como de derecho comercial y seguros, con lo que podr
comprobar la existencia y la adecuacin de los presupuestos de inversin, la

correccin de las previsiones y medios de control, as como la forma de

financiacin.

b) Para la seguridad de los medios financieros el auditor consultar todos los documentos
contractuales que vinculan a la empresa.

Capitulo 2.

Metodologa de la
auditoria
informtica

Leccin 1. Etapas del mtodo de trabajo

El mtodo de trabajo del auditor pasa por las siguientes etapas: *,
Alcance y Objetivos de la Auditora Informtica.
Estudio inicial del entorno auditable.
Determinacin de los recursos necesarios para realizar la auditora.
Elaboracin del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la auditora.
Confeccin y redaccin del Informe Final.
Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final.

*,

.%% //000"

&

1$ "

/%

2 6/

#$/

#$*" .%

Alcance y Objetivos de la Auditoria Informtica: El alcance de la Auditoria

expresa los lmites de la misma. Debe existir un acuerdo muy preciso entre
auditores y clientes sobre las funciones, las materias y las organizaciones a
auditar. A efectos de delimitar el trabajo, resulta muy beneficioso para ambas
partes expresar las excepciones de alcance de la Auditoria, es decir cuales
materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances
como las excepciones deben figurar al comienzo del Informe Final.

Las personas que realizan la Auditoria han de conocer con la mayor exactitud
posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos
y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos especficos, stos se aadirn a los objetivos
generales y comunes de a toda Auditoria Informtica: La operatividad de los
Sistemas y los Controles Generales de Gestin Informtica.

Estudio inicial del entorno auditable.

Para realizar dicho estudio se deben examinar las funciones y actividades
generales de la informtica. Para su realizacin el auditor debe conocer lo
siguiente:
Organizacin: Para el equipo auditor, el conocimiento de quin ordena, quin
disea y quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse
en:
Organigrama: El organigrama expresa la estructura oficial de la organizacin a
auditar. Si se descubriera que existe un organigrama fctico diferente al oficial,
se pondr de manifiesto tal circunstancia.

Departamentos: Se entiende como departamento a los rganos que siguen

inmediatamente a la Direccin. El equipo auditor describir brevemente las
funciones de cada uno de ellos.
Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El
equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas
previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn
empleado tiene dos jefes. Las de Jerarqua implican la correspondiente
subordinacin. Las funcionales por el contrario, indican relaciones no
estrictamente subordinables.
Flujos

de

Informacin:

Adems

de

las

corrientes

verticales

intradepartamentales, la estructura organizativa cualquiera que sea, produce

corrientes de informacin horizontales y oblicuas extradepartamentales.
Los flujos de informacin entre los grupos de una organizacin son necesarios
para su eficiente gestin, siempre y cuando tales corrientes no distorsionen el
propio organigrama. En ocasiones, las organizaciones crean espontneamente
canales alternativos de informacin, sin los cuales las funciones no podran
ejercerse con eficacia; estos canales alternativos se producen porque hay
pequeos o grandes fallos en la estructura y en el organigrama que los
representa. Otras veces, la aparicin de flujos de informacin no previstos
obedece a afinidades personales o simple comodidad. Estos flujos de
informacin son indeseables y producen graves perturbaciones en la
organizacin.
Nmero de Puestos de trabajo: El equipo auditor comprobar que los nombres
de los Puesto de los Puestos de Trabajo de la organizacin corresponden a las
funciones reales distintas.

Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo

cual indica la existencia de funciones operativas redundantes. Esta situacin
pone de manifiesto deficiencias estructurales; los auditores darn a conocer tal

circunstancia y expresarn el nmero de puestos de trabajo verdaderamente

diferentes.
Nmero de personas por Puesto de Trabajo: Es un parmetro que los
auditores informticos deben considerar. La inadecuacin del personal
determina que el nmero de personas que realizan las mismas funciones rara
vez coincida con la estructura oficial de la organizacin.

Entorno Operacional: El equipo de Auditoria informtica debe poseer una

adecuada referencia del entorno en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los
siguientes extremos:
Situacin geogrfica de los Sistemas:
Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de
Datos en la empresa. A continuacin, se verificar la existencia de responsables
en cada unos de ellos, as como el uso de los mismos estndares de trabajo.
Arquitectura y configuracin de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuracin elegida para cada
uno de ellos, ya que los mismos deben constituir un sistema compatible e
intercomunicado. La configuracin de los sistemas esta muy ligada a las polticas
de seguridad lgica de las compaas. Los auditores, en su estudio inicial, deben
tener en su poder la distribucin e interconexin de los equipos.
Inventario de Hardware y Software:
El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y
lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control
local y remotas, perifricos de todo tipo, etc.

El inventario de software debe contener todos los productos lgicos del Sistema,
desde el software bsico hasta los programas de utilidad adquiridos o

desarrollados internamente. Suele ser habitual clasificarlos en facturables y no

facturables.

Comunicacin y Redes de Comunicacin:

En el estudio inicial los auditores dispondrn del nmero, situacin y
caractersticas principales de las lneas, as como de los accesos a la red pblica
de comunicaciones. Igualmente, poseern informacin de las Redes Locales de la
Empresa.

Aplicaciones bases de datos y archivos:

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informticos realizados en la empresa auditada. Para ello
debern conocer lo siguiente:
Volumen, antigedad y complejidad de las Aplicaciones
Metodologa del Diseo: Se clasificar globalmente la existencia total o parcial
de metodologa en el desarrollo de las aplicaciones. Si se han utilizados varias
a lo largo del tiempo se pondr de manifiesto.
Documentacin: La existencia de una adecuada documentacin de las
aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
La documentacin de programas disminuye gravemente el mantenimiento de
los mismos.
Cantidad y complejidad de Bases de Datos y Archivos: El auditor recabar
informacin de tamao y caractersticas de las Bases de Datos, clasificndolas
en relacin y jerarquas. Hallar un promedio de nmero de accesos a ellas por
hora o das. Esta operacin se repetir con los archivos, as como la frecuencia
de actualizaciones de los mismos. Estos datos proporcionan una visin
aceptable de las caractersticas de la carga informtica.

Determinacin de los recursos necesarios para realizar la Auditoria:

Mediante los resultados del estudio inicial realizado se procede a determinar los
recursos humanos y materiales que han de emplearse en la Auditoria.
Recursos materiales: Es muy importante su determinacin, por cuanto la
mayora de ellos son proporcionados por el cliente. Las herramientas software
propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que
han de convenirse en lo posible las fechas y horas de uso entre el auditor y
cliente. Los recursos materiales del auditor son de dos tipos:

Recursos materiales Software:

Programas propios de la auditoria: Son muy potentes y Flexibles.
Habitualmente se aaden a las ejecuciones de los procesos del cliente para
verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la
actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de
los datos ya existentes.

Recursos materiales Hardware :

Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.
Para lo cul habr de convenir, tiempo de maquina, espacio de disco,
impresoras ocupadas, etc.

Recursos Humanos: La cantidad de recursos depende del volumen auditable.

Las caractersticas y perfiles del personal seleccionado depende de la materia
auditable.

Es igualmente reseable que la Auditoria en general suele ser ejercida por

profesionales universitarios y por otras personas de probada experiencia
multidisciplinaria.

Elaboracin del plan y de los Programas de Trabajo:

Una vez asignados los recursos, el responsable de la Auditoria y sus
colaboradores establecen un plan de trabajo. Decidido ste, se procede a la
programacin del mismo.

El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:

Si la Revisin debe realizarse por reas generales o reas especficas. En

el primer caso, la elaboracin es ms compleja y costosa.

Si la Auditoria es global, de toda la Informtica, o parcial. El volumen

determina no solamente el nmero de auditores necesarios, sino las
especialidades necesarias del personal.
o En el plan no se consideran calendarios, porque se manejan recursos
genricos y no especficos.
o En el Plan se establecen los recursos y esfuerzos globales que van a
ser necesarios.
o En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
o El Plan establece disponibilidad futura de los recursos durante la
revisin.
o El Plan estructura las tareas a realizar por cada integrante del grupo.
o En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado.

Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta

ha de ser lo suficientemente como para permitir modificaciones a lo largo del
proyecto.

Actividades propiamente dichas de la Auditoria:

Auditoria por temas generales o por reas especficas: La Auditoria Informtica
general se realiza por reas generales o por reas especficas. Si se examina por
grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total
y mayores recursos.
Cuando la Auditoria se realiza por reas especficas, se abarcan de una vez todas
las peculiaridades que afectan a la misma, de forma que el resultado se obtiene
ms rpidamente y con menor calidad.

Confeccin y redaccin del Informe Final.

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la
elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos
al informe final, los que son elementos de contraste entre opinin entre auditor y
auditado y que pueden descubrir fallos de apreciacin en el auditor.

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditora y la fecha de
redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de
todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y
puesto de trabajo que ostente.

Definicin de objetivos y alcance de la auditora.

Enumeracin de temas considerados:

Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente

posible todos los temas objeto de la auditora.
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a) Situacin actual. Cuando se trate de una revisin peridica, en la que se
analiza no solamente una situacin sino adems su evolucin en el tiempo, se
expondr la situacin prevista y la situacin real.
b) Tendencias. Se tratarn de hallar parmetros que permitan establecer
tendencias futuras.
c) Puntos dbiles y amenazas.
d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de
puntos dbiles, el verdadero objetivo de la auditora informtica.
Redaccin posterior de la Carta de Introduccin o Presentacin.
Redaccin de la Carta de Introduccin o Carta de Presentacin del
Informe final.
La carta de introduccin tiene especial importancia porque en ella ha de resumirse
la auditora realizada. Se destina exclusivamente al responsable mximo de la
empresa, o a la persona concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como solicite el cliente, la
auditora no har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios.

Incluir fecha, naturaleza, objetivos y alcance.

Cuantificar la importancia de las reas analizadas.

Proporcionar una conclusin general, concretando las reas de gran

debilidad.

Presentar las debilidades en orden de importancia y gravedad.

En la carta de Introduccin no se escribirn nunca recomendaciones.

Leccin 2: Tcnicas de auditoria

Las tcnicas, procedimientos herramientas de auditora son utilizadas por el
auditor para hacer una evaluacin correcta del funcionamiento del rea de
sistemas computacionales. El auditor las disea, utiliza y adecua a las
necesidades especficas requeridas en el ambiente de sistemas.

Tcnicas de auditoria
Las tcnicas son las herramientas de las que se vale el auditor para obtener la
evidencia del objeto auditado. Los tipos de tcnicas con

los cuales puede

fundamentar su opinin son: 24

Tcnicas oculares:
Observacin: consiste en cerciorarse en forma ocular como ciertos hechos o
procedimientos operativos y de control establecidos se llevan a cabo en la
empresa.
Comparacin: es el estudio de los casos o hechos para igualar, descubrir,
diferenciar, examinar con fines de descubrir diferencias o semejanzas.
Revisin: consiste en el examen ocular y rpido con fines de separar
mentalmente las transacciones que no son normales o que reviste un indicio
especial en cuanto a su originalidad o naturaleza.

Tcnicas verbales:
Indagacin: consiste en obtener informacin verbal de los empleados de la
entidad a travs de averiguaciones y conversaciones sobe diversos hechos,
datos y situaciones el proceso de la auditoria como por ejemplo polticas
generales de la empresa, procedimientos de control, contingencias entre

*-

.%% //000"

$'

$"

#$% $ /

$%

,".%

otras. Es una tcnica en la que hay que tener mucho cuidado cuando se
pregunta, hay que saber hacerla.

Tcnicas escritas:

Anlisis: permite examinar una cuenta en cuanto a su movimiento y saldo,

para establecer su razonabilidad conforme la teora contable y a los
aspectos jurdicos relacionados, en el caso de la auditoria financiera
consolidacin: consiste en hacer que concuerde dos cifras independientes.
ejemplo. conciliacin bancaria, etc.
confirmacin: permite comprobar por escrito, informacin proveniente de
terceros, en relacin con la informacin financiera de la empresa auditada.

Leccin 3. Procedimientos de auditoria

Los procedimientos de auditora:

25

son las actividades que deben realizarse

para obtener evidencias. Estos procedimientos se denominan normalmente

pruebas, las cuales pueden ser de cumplimiento, sustantivas y de doble finalidad.

Las pruebas de cumplimiento, tienen como objetivo, confirmar si los

procedimientos de control interno estn siendo operados adecuadamente y

adems, si garantizan la confiabilidad de los procesos.

Las pruebas sustantivas son las que se realizan con el objeto de establecer la

exactitud de los procesos.

*6

8 9"

#$% $ &1

:%$ " & &1 ;

$ & "

#$ $ & " 775

Las pruebas de doble finalidad, son las que se hacen con objetivos de

cumplimiento y sustantivo a la vez.

Evidencias: 26
La recopilacin de material que ayude en la generacin de una opinin lo ms
correcta posible es un paso clave en el proceso de la auditoria. El auditor debe
conocer las diversas formas de evidencias y de como estas pueden ser
recopiladas y examinadas para respaldar los hallazgos de la auditoria.

Una vez recopilada evidencia suficiente, subsecuentemente se evala la

informacin recopilada con la finalidad de emitir opiniones y recomendaciones
finales.
Evidencia ocular:
Comparacin; es observar la similitud o diferencia existente entre dos o
ms elementos.
Observacin; es el examen ocular para cerciorarse como se ejecutan las
operaciones.
Evidencia Oral: se obtiene de otras personas en forma de declaraciones
hechas en el curso de investigaciones o entrevistas. Las declaraciones que
sean importantes para la auditoria debern corroborarse siempre que sea
posible mediante evidencia adicional. Tambin ser necesario evaluar la
evidencia testimonial para cerciorarse que los informantes no hayan estado
influidos por prejuicios o tuvieran slo un conocimiento parcial del rea
auditada.

*<

&

# "

&%

% #$ &% #

#$% $ " ( -7

Indagacin; es el acto de obtener informacin verbal sobre un asunto

mediante averiguaciones directas o conversaciones con los funcionarios
de la empresa.

Entrevistas; pueden ser efectuadas al personal de la empresa auditada

o personas beneficiarias de los programas o proyectos.

Encuestas; pueden ser tiles para recopilar informacin de un gran

universo de datos o grupos de personas.

Evidencia Escrita:

Analizar; consiste en la separacin y evaluacin crtica, objetiva y

minuciosa de los elementos o partes que conforman una operacin,
actividad, transaccin o proceso, con el fin de establecer su naturaleza,
su relacin y conformidad con los criterios normativos y tcnicos
existentes.

Confirmacin; es la tcnica que permite comprobar la autenticidad de los

registros y documentos analizados, a travs de informacin directa y por
escrito, otorgada por funcionarios que participan o realizan las
operaciones sujetas a examen.

Tabulacin; es la tcnica de auditoria que consiste en agrupar los

resultados obtenidos en reas, segmentos o elementos examinados, de
manera que se facilite la elaboracin de conclusiones.

Conciliacin; implica hacer que concuerden los conjuntos de datos

relacionados, separados e independientes.

Evidencia Documental: consiste en la informacin elaborada, como la

contenida en cartas, contratos, registros de contabilidad, facturas y
documentos de administracin relacionados con su desempeo.

Comprobacin; se aplica en el curso de un examen, con el objeto de

verificar la existencia, legalidad, autenticidad y legitimidad de las

operaciones efectuadas por una empresa, mediante la verificacin de

los documentos que las justifiquen.
Computacin; se utiliza para verificar la exactitud y correccin aritmtica

de una operacin o resultado.

Rastreo; es utilizada para dar seguimiento y controlar una operacin de

manera progresiva, de un punto a otro de un proceso interno

determinado o, de un proceso a otro realizado por una unidad operativa
dada.

Evidencia analtica: comprende clculos, comparaciones, razonamiento y

separacin de informacin en sus componentes.

Evidencia fsica: es el examen fsico y ocular de activos, obras, documentos

y valores, con el objeto de establecer su existencia y autenticidad. Esta
evidencia se obtiene mediante inspeccin u observacin directa de las
actividades, bienes y/o sucesos. La evidencia de esa naturaleza puede
presentarse en forma de memorando (donde se resuman los resultados de
la inspeccin o de otra observacin), fotografas, grficas, mapas o muestra
materiales.

Leccin 4. Herramientas de auditoria

Dentro de las Herramientas de auditora27, que puede utilizar el auditor se
encuentran:

Cuestionarios

Las

Auditorias

informticas

se

materializan

consiguiendo

informacin

documentacin de todo tipo. Los informes finales de los auditores dependen de

sus capacidades para analizar las situaciones de debilidad o fortaleza de los
*5

000"

&

1$ "

"

#$% $ $&1

:%$ "

&>$ #

& > F$&1 >$ "

"

diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la

informacin necesaria para la emisin de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados tambin evidencias.

Para esto, suele ser lo habitual comenzar solicitando el diligenciamiento de

cuestionarios preimpresos que se envan a las personas concretas que el auditor
cree adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas reas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas,

sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo
y su forma. Sobre esta base, se estudia y analiza la documentacin recibida, de
modo que tal anlisis determine a su vez la informacin que deber elaborar el
propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases
fundamentales de la Auditoria.

Entrevistas

El auditor comienza a continuacin las relaciones personales con el auditado. Lo

hace de tres formas:
Mediante la peticin de documentacin concreta sobre alguna materia de
su responsabilidad.
Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
Por medio de entrevistas en las que el auditor sigue un mtodo
preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms importante del auditor; en

ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por
medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.

La entrevista entre auditor y auditado se basa fundamentalmente en el concepto

de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El
auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema
previamente establecido, consistente en que bajo la forma de una conversacin
correcta y lo menos tensa posible, el auditado conteste sencillamente y con
pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta
sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y
sistematizada, y que es diferente para cada caso particular.

Checklist

El auditor profesional y experto es aqul que reelabora muchas veces sus

cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita
saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis,
cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversar y har preguntas "normales", que en realidad
servirn para el cumplimiento sistemtica de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que
leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica
al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de
profesionalismo. El profesionalismo pasa por un procesamiento interno de
informacin a fin de obtener respuestas coherentes que permitan una correcta
descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer
preguntas muy estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones,

las Checklists deben ser contestadas oralmente, ya que superan en riqueza y
generalizacin a cualquier otra forma.

Segn la claridad de las preguntas y el talante del auditor, el auditado responder

desde posiciones muy distintas y con disposicin muy variable. El auditado,
habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico
y los conocimientos del auditor, precisamente a travs de las preguntas que ste
le formula. Esta percepcin configura el principio de autoridad y prestigio que el
auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo
y el orden de su formulacin. Las empresas externas de Auditoria Informtica
guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y
oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases
de autoridad, prestigio y tica.

El auditor deber aplicar el Checklist de modo que el auditado responda clara y

escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los
casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor
amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la
presin sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas

equivalentes a las mismas o a distintas personas, en las mismas fechas, o en

fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los
puntos contradictorios; el auditor deber analizar los matices de las respuestas y
reelaborar preguntas complementarias cuando hayan existido contradicciones,
hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo
formalismo en las preguntas. El auditor, por su parte, tomar las notas
imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar
cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de

"filosofa" de calificacin o evaluacin:

o Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango
preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y
el 5 el valor ms positivo). Los Checklists de rango son adecuados si el
equipo auditor no es muy grande y mantiene criterios uniformes y
equivalentes en las valoraciones. Permiten una mayor precisin en la
evaluacin que en los checklist binarios. Sin embargo, la bondad del
mtodo depende excesivamente de la formacin y competencia del equipo
auditor.

o Checklist Binaria
Es la constituida por preguntas con respuesta nica y excluyente: Si o No.
Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente. Los
Checklists Binarios siguen una elaboracin inicial mucho ms ardua y
compleja. Deben ser de gran precisin, como corresponde a la suma
precisin de la respuesta. Una vez construidas, tienen la ventaja de exigir

menos uniformidad del equipo auditor y el inconveniente genrico del <si o

no> frente a la mayor riqueza del intervalo.

No existen Checklists estndar para todas y cada una de las instalaciones

informticas a auditar. Cada una de ellas posee peculiaridades que hacen
necesarios los retoques de adaptacin correspondientes en las preguntas a realizar.

Trazas y/o Huellas

Con frecuencia, el auditor informtico debe verificar que los programas, tanto de
los Sistemas como de usuario, realizan exactamente las funciones previstas, y no
otras. Para ello se apoya en productos Software muy potentes y modulares que,
entre otras funciones, rastrean los caminos que siguen los datos a travs del
programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las

validaciones de datos previstas. Las mencionadas trazas no deben modificar en
absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables
de carga, se convendr de antemano las fechas y horas ms adecuadas para su
empleo.

Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean
productos que comprueban los valores asignados por Tcnica de Sistemas a cada
uno de los parmetros variables de las Libreras ms importantes del mismo.
Estos parmetros variables deben estar dentro de un intervalo marcado por el
fabricante. A modo de ejemplo, algunas instalaciones descompensan el nmero
de iniciadores de trabajos de determinados entornos o toman criterios

especialmente restrictivos o permisivos en la asignacin de unidades de servicio

segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar
contraproducentes si se traspasan los lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin
de la Auditoria informtica de Sistemas: el auditor informtico emplea
preferentemente la amplia informacin que proporciona el propio Sistema: As, los
ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la
produccin completa de aqul, y los <Log*> de dicho Sistema, en donde se
recogen las modificaciones de datos y se pormenoriza la actividad general. Del
mismo modo, el Sistema genera automticamente exacta informacin sobre el
tratamiento de errores de maquina central, perifricos, etc.
Log
El log vendra a ser un historial que informa que fue cambiando y cmo fue
cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para
asegurar lo que se llaman las transacciones. Las transacciones son unidades
atmicas de cambios dentro de una base de datos; toda esa serie de cambios se
encuadra dentro de una transaccin, y todo lo que va haciendo la Aplicacin
(grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La
transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se
vuelca todo a la base de datos. Si en el medio de la transaccin se cort por x
razn, lo que se hace es volver para atrs. El log te permite analizar
cronolgicamente que es lo que sucedi con la informacin que est en el Sistema
o que existe dentro de la base de datos.

Software de Interrogacin
Hasta hace ya algunos aos se han utilizado productos software llamados
genricamente <paquetes de Auditoria>, capaces de generar programas para
auditores escasamente cualificados desde el punto de vista informtico.

Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos

estadsticos que permitieran la obtencin de consecuencias e hiptesis de la
situacin real de una instalacin.
En la actualidad, los productos Software especiales para la Auditoria informtica
se orientan principalmente hacia lenguajes que permiten la interrogacin de
ficheros y bases de datos de la empresa auditada. Estos productos son utilizados
solamente por los auditores externos, por cuanto los internos disponen del
software nativo propio de la instalacin.

Del mismo modo, la proliferacin de las redes locales y de la filosofa "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de
transporte de datos entre computadoras personales y mainframe, de modo que el
auditor informtico copia en su propia PC la informacin ms relevante para su
trabajo.

Efectivamente, conectados como terminales al "Host", almacenan los datos

proporcionados por este, que son tratados posteriormente en modo PC. El auditor
se ve obligado (naturalmente, dependiendo del alcance de la Auditoria) a recabar
informacin de los mencionados usuarios finales, lo cual puede realizar con suma
facilidad con los polivalentes productos descritos. Con todo, las opiniones ms
autorizadas indican que el trabajo de campo del auditor informtico debe
realizarse principalmente con los productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione

personalmente determinadas partes del Informe. Para ello, resulta casi
imprescindible una cierta soltura en el manejo de Procesadores de Texto,
paquetes de Grficos

Leccin 5. Elaboracin y redaccin del Informe Final

Los papeles de trabajo

El registro eficiente de la informacin que el auditor va recolectando en su
evaluacin, es uno de los aspectos fundamentales de la auditoria, esta
informacin le sirve al auditor para respaldar las opiniones que expresa en el
informe de auditoria y puede ser recolectada en documentos manuscritos,
manuales, instructivos, graficas, resultados de procesamiento o en medios
electromagnticos (discos duros, discos flexibles, cintas, cartuchos, CD-ROM,
DVD) , en los cuales recopilara hechos pruebas, tabulaciones interpretaciones, as
como el anlisis de los datos obtenidos.

En estos papeles de trabajo bien sean documentos o electromagnticos, el auditor

seala y destaca las observaciones que son de inters para l, con el fin de
fundamentar el resultado de su evaluacin, tambin le sirven para mantener el
sentido e importancia de las desviaciones que encontr durante la revisin, as
como tambin para establecer las posibles causas de las desviaciones y para
proponer las probables soluciones que reporta como parte de su trabajo.

Concepto
Los papeles de trabajo hacen referencia al conjunto de documentos preparados
por el auditor, los cuales le permiten disponer de la informacin y de las pruebas
efectuadas durante su trabajo profesional en la empresa, as como tambin de las
decisiones tomadas para fundamentar su opinin, tambin permiten el registro
eficiente de la informacin que se recolecta en el proceso de evaluacin, la
planificacin, la ejecucin, supervisin y revisin de la auditoria as como tambin
suministrar la evidencia del trabajo llevado a cabo para respaldar la opinin del
auditor.

Los papeles de trabajo deben presentar la informacin requerida en forma clara y

plena de significado, deben ser detallados y completos. Se elaboran en el
momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar
las medidas oportunas para garantizar su proteccin sin peligro y su confidencialidad ya
que el auditor va integrando en los papeles de trabajo documentos reservados y de uso
exclusivo de la empresa.

Objetivos de los papeles de trabajo

En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes:
28

El objetivo general de los papeles de trabajo es ayudar al auditor a garantizar en

forma adecuada que una auditoria se hizo de acuerdo a las normas de auditoria
generalmente aceptadas.
Servir como evidencia del trabajo realizado y de soporte de las conclusiones del
mismo.
Presentar informes a las partes interesadas.
Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo
ejecutado en las oficinas del cliente.
Facilitar la continuidad del trabajo en el caso de que un rea deba ser terminada
por persona distinta de la que la inici.
Facilitar la labor de revisiones posteriores y servir para la informacin y evaluacin
personal.
Anotar los hechos, acontecimientos y fenmenos observados durante la revisin
Coordinar y organizar todas las fases del trabajo.
Servir de gua en revisiones subsecuentes.
Facilitar la preparacin del informe.
Comprobar y explicar en detalle las opiniones y conclusiones resumidas en el
informe.
Se utilizan para transcribir y concentrar los resultados de entrevistas,
cuestionarios, encuestas, investigaciones y observaciones del personal auditado.
Proveer un registro histrico permanente de la informacin examinada y los
procedimientos de auditoria aplicados.
Se utiliza como memoria puntualizada del registro de la evaluacin de los
documentos formales del rea, de los resultados de las pruebas que se aplican en
el sistema y de cualquier otra evidencia documental o sistematizada que se utilice
para concentrar la informacin relacionada con la administracin y seguridad del
rea de sistemas, la operacin del sistema, el comportamiento de las bases de
datos o cualquier otro aspecto que afecte la operacin normal del rea o de los
sistemas auditados.

*A

.%% /000"
#"& %/
% ) ! ) !

&/ $

C /

= &

#/$&# '".% "

&

$# #

&

#$% $ $&1

:%$ "

Tipos de papeles de trabajo

En funcin de la fuente de la que procedan los papeles de trabajo, stos se podrn

clasificar en tres grupos:
Preparados

por

29

la

entidad

auditada.

Se

trata

de

toda

aquella

documentacin que la empresa pone al servicio del auditor para que pueda
llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos,
acuerdos
Confirmaciones de terceros. Una parte del trabajo de auditoria consiste en
la verificacin de los saldos que aparecen en el balance de situacin a
auditar.
Preparados por el auditor. Este ltimo grupo estar formado por toda la
documentacin elaborada por el propio auditor a lo largo del trabajo a
desarrollar: cuestionarios y programas, descripciones, detalles de los
diferentes captulos de los estados financieros, cuentas, transacciones y
otros.

Contenido del legajo de los papeles de trabajo

Los siguientes enunciados dan una idea de la cantidad minina de documentos,
con los que el auditor puede integrar los papeles de trabajo, pero tambin el
auditor puede utilizar su criterio personal, experiencia y conocimiento para
determinar el contenido y orden de los mismos, lo importante es que dichos
papeles existan.
El contenido puede variar dependiendo del tipo de auditoria y del auditor, ya que
en cada trabajo existen procedimientos, tcnicas y mtodos de evaluacin

*7

.%% /000"
#"& %/
% ) ! ) !

&/ $

C /

= &

#/$&# '".% "

&

$# #

&

#$% $ $&1

:%$ "

especiales que forzosamente harn diferente la recoleccin de los documentos. Una

propuesta para integrar los papeles de trabajo puede ser: 30

Hoja de identificacin
ndice de contenido de los papeles de trabajo
Dictamen preliminar (borrador)
Resumen de desviaciones detectadas
Situaciones encontradas (situaciones, causas y soluciones)
Programa de trabajo de auditoria
Gua de auditoria
Inventario de software
Inventario de hardware
Inventario de consumibles
Manual de organizacin
Descripcin de puestos
Reportes de pruebas y resultados
Backups de de datos, disquetes y programas de aplicacin de auditoria
Backups de las bases de datos y de los sistemas
Guas de claves para el sealamiento de los papeles de trabajo
Cuaros y estadisticas concentradores de informacin
Anexos de recopilacin de informacin
Diagramas de flujo, de programacin y desarrollo de sistemas
Anlisis y estadsticas de resultados, datos y pruebas de comportamiento del
sistema
Testimoniales, actas y documentos legales de comprobacin y confirmacin31

Marcas de auditoria e indices de referencia

Las marcas son claves de carcter informal que utiliza exclusivamente el auditor,
con el fin de facilitar la uniformidad de los papeles de trabajo y para identificarlos
mejor.

Su utilidad esta en que tienen un dignificado preciso que todos los

auditores conocen y utilizan para destacar aspectos importantes de los

documentos que van revisando, y en que sirven como identificadores uniformes
de todas las actividades que se desarrollan durante la evaluacin; todos los
auditores deben utilizar los mismos smbolos

al hacer las anotaciones en los

documentos que evalen.

,+
,

B
B

!
!

"
"

#$% $
#$% $

& $ %
& $ %

% $ &
% $ &

"
"

9'$ " (
9'$ " (

& #
& #

$)&" *++*" " *-5

$)&" *++*" " *-5

Las marcas tambin ayudan al auditor a:

Realizar un resumen de observaciones para identificar de manera rpida y
sencilla las posibles desviaciones y estandarizar su trabajo

siempre y

cuando sean las mismas para toda la revisin

Evitar copias intiles de papeles de evaluacin y documentos oficiales, los
cuales sirven para identificar los aspectos revisados, como apoyo para la
evaluacin.
Facilitar la revisin de documentos impresos, de disquetes, bases de datos
y todo lo relacionado con los sistemas evaluados.

No existe un convenio formal respecto al tipo de marcas utilizadas entre un

auditor y otro, su diseo es producto de las experiencias de auditora anteriores
compartidas entre los auditores. Sin embargo por sentido comn se unifican las
marcas o smbolos que se utilizan en los papeles de trabajo; algunos ejemplos
de marcas son:

CUES
EP
EU
EF
OBS
ENT
VIR
!!
?

Cuestionario
Entrevista al personal
Entrevista usuario
Entrevista funcionario
Observacin
Comentario especial
Entrevista
Virus
informtico,
contaminado
Observacin importante
Confirmar preguntas

disco

El Informe final
El informe de auditoria debe estar basado en la documentacin o papeles de
trabajo. La funcin de la Auditoria se materializa exclusivamente por escrito. Por lo
tanto la elaboracin final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos

al informe final, los que son elementos de contraste entre opinin entre auditor y
auditado y que pueden descubrir fallos de apreciacin en el auditor.
Estructura del informe final
El informe comienza con la fecha de comienzo de la Auditoria y la fecha de
redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de
todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y
puesto de trabajo que ostente.
Definicin de objetivos y alcance de la Auditoria
Declaracin de los objetivos de la auditoria para identificar su propsito sealando
los objetivos incumplidos
Enumeracin de temas considerados
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente
posible todos los temas objeto de la Auditoria.
Cuerpo expositivo
Para cada tema, se seguir el siguiente orden a saber:
Situacin actual. Cuando se trate de una revisin peridica, en la que se
analiza no solamente una situacin sino adems su evolucin en el tiempo,
se expondr la situacin prevista y la situacin real.
Tendencias: Se tratarn de hallar parmetros que permitan establecer
tendencias futuras. Puntos dbiles y amenazas.
Recomendaciones y planes de accin: Constituyen junto con la exposicin
de puntos dbiles, el verdadero objetivo de la Auditoria informtica.
Redaccin posterior de la Carta de Introduccin o Presentacin.
Modelo conceptual de la exposicin del informe final

El informe debe incluir solamente hechos importantes. La inclusin de

hechos poco relevantes o accesorios desva la atencin del lector.

El Informe debe consolidar los hechos que se describen en el mismo. El

trmino de "hechos consolidados" adquiere un especial significado de
verificacin objetiva y de estar documentalmente probados y soportados. La

consolidacin de los hechos debe satisfacer, al menos los siguientes

criterios:
o El hecho debe poder ser sometido a cambios.
o Las ventajas del cambio deben superar los inconvenientes derivados
de mantener la situacin.
o No deben existir alternativas viables que superen al cambio
propuesto.
o La recomendacin del auditor sobre el hecho debe mantener o
mejorar las normas y estndares existentes en la instalacin.

La aparicin de un hecho en un informe de Auditora implica

necesariamente la existencia de una debilidad que ha de ser corregida.
Flujo del hecho o debilidad
Hecho encontrado.

Ha de ser relevante para el auditor y pera el cliente.

Ha de ser exacto, y adems convincente.

No deben existir hechos repetidos.

Consecuencias del hecho

Las consecuencias deben redactarse de modo que sean directamente

deducibles del hecho.
Repercusin del hecho

Se redactar las influencias directas que el hecho pueda tener sobre

otros aspectos informticos u otros mbitos de la empresa.
Conclusin del hecho

No deben redactarse conclusiones ms que en los casos en que la

exposicin haya sido muy extensa o compleja.
Recomendacin del auditor informtico

Deber entenderse por s sola, por simple lectura.

Deber estar suficientemente soportada en el propio texto.

Deber ser concreta y exacta en el tiempo, para que pueda ser

verificada su implementacin.

La recomendacin se redactar de forma que vaya dirigida

expresamente a la persona o personas que puedan implementarla.

Redaccin de la carta de presentacin del Informe final:

La carta de introduccin tiene especial importancia porque en ella ha de resumirse
la Auditoria realizada. Se destina exclusivamente al responsable mximo de la
empresa, o a la persona concreta que encargo o contrato la Auditoria.

As como pueden existir tantas copias del informe Final como solicite el cliente, la
Auditoria no har copias de la citada carta de Introduccin.

La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios.

Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran
debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.
CRMR (Computer resource management review)

Capitulo 3.

El auditor

Leccin 1. Normas que regulan el comportamiento del auditor

Las normas que regulan el comportamiento del auditor se pueden clasificar de la
siguiente manera: 32
Normas permanentes de carcter profesional: son aquellas que debe cumplir
invariablemente el profesional dedicado a la actividad de la auditoria de sistemas
computacionales; el auditor no debe admitir bajo ninguna circunstancia variacin
alguna respecto a la aplicacin y cumplimiento de dichas normas. Esto se debe a
que es obligacin profesional (deber tico, moral y profesional) del propio auditor y
del personal que colabora con l, hacer una cabal observancia de dichas normas a
fin de mantener su prestigio y credibilidad en las empresas donde realice su
evaluacin. Entre los casos ms relevantes encontramos los siguientes:
Emitir una opinin responsable y profesional respaldada en evidencias
comprobadas: una auditora solamente es vlida cuando est debidamente
fundamentada por tcnicas, mtodos y procedimientos de carcter profesional
que han sido previamente aprobados y comprobados; estos mtodos son un
soporte para que el auditor, apoyado en su experiencia y conocimientos de la
materia, emita una opinin confiable y de tipo profesional.
La opinin fundamentada del auditor le hace confiable en los
juicios que emite

Mantener una disciplina profesional: al igual que en cualquier profesin e

incluso en algunas de las actividades laborales, sociales y cotidianas de la
vida, un profesional de la auditora tambin debe mantener una actuacin
permanentemente profesional por encima de cualquier cosa, tanto en el
aspecto laboral como el personal, lo cual slo se logra con constancia,
voluntad y una frrea disciplina.
Guardar el secreto profesional: debido a que el auditor est en contacto con
informacin confidencial de la empresa que audita, es su obligacin no slo
profesional sino tambin tica y moral, que en todos los casos mantenga el
secreto profesional, tanto de la informacin que le es confiada como de los
resultados de su evaluacin. Por ningn motivo debe dar a conocer la
informacin que le fue confiada.
Tener independencia mental: tambin se debe considerar que para ser
auditor no slo hay que trabajar en ello, sino tener una aptitud, competencia y
disposicin profesional de tipo muy especial, caracterizada por una actitud
,*

"

#$% $

& $ %

% $ &

"

9'$ " (

& #

$)&" *++*"

mental independiente que siempre debe estar libre de cualquier influencia.

Adems, el auditor debe tener los suficientes conocimientos, habilidades y
experiencia para saber evitar las influencia de cualquier gnero, as como las
amenazas y los aspectos sentimentales que encontrar en la realizacin de su
trabajo.
Para ser auditor hay que ser independiente de pensamiento, palabra y
actuacin.

Contar con responsabilidad profesional: si se considera que no es lo mismo

ser un profesional que trabaja en la auditora que ser un profesional de la
auditora, es evidente que no slo hay que laborar como auditor para
sobrevivir, sino que hay que actuar y pensar como verdadero profesional de la
auditora; lo anterior se refleja en la forma de aceptar la responsabilidad que se
tiene para cumplir con las actividades de una auditora; sta no slo es una
norma y obligacin profesional, sino que es un requisito tico, moral y personal
para actuar como auditor.
No slo hay que laborar como auditor, tambin hay que aceptar la
responsabilidad que esto implica.

Capacitacin y adiestramiento permanentes: como en toda actividad

profesional, el auditor tambin requiere de una constante capacitacin
profesional, laboral y tcnica, para que adquiera nuevos conocimientos de
mtodos, procedimientos y herramientas de evaluacin que le ayuden a
desempear mejor su trabajo. La capacitacin puede ser de carcter formal o
informal, de tipo acadmico, laboral o personal. Lo importante es que estos
profesionales se capaciten constantemente para realizar mejor su actividad
profesional.
Para el auditor, la capacitacin es la herramienta fundamental para el
buen desempeo de su actividad profesional.

Hacer una planeacin de la auditora y de los programas de evaluacin:

para realizar un buen trabajo de auditoria, es necesario que para cualquier tipo
de auditora que practique, el auditor se apoye en una previa planeacin de
todas las actividades, herramientas y recursos que deba utilizar, incluyendo los
planes, programas y presupuestos, no slo de los recursos a utilizar, sino
tambin de las tcnicas, mtodos y procedimientos de auditora. Es evidente
que esta actividad es producto de normas y obligaciones de tipo profesional y
permanente.

La planeacin de la auditora es la herramienta indispensable para un

buen desarrollo y cumplimiento profesional de la misma.

Hacer la presentacin del dictamen por escrito, as como la aclaracin

de diferencias: el informe que presente el auditor debe ser lo ms confiable
posible, con lenguaje claro, bien estructurado y debe contener todos los
aspectos fundamentales que apoyan su opinin como profesional, evitando
en todos los casos la subjetividad en lo evaluado; la mejor forma de lograrlo
es presentar este informe por escrito, a fin de no dejar dudas sobre lo que se
est informando. Adems, no basta con presentarlo por escrito, tambin es
un requisito normado y una obligacin profesional que el contenido del informe est comentado con los involucrados en la revisin y, si es el caso,
deben estar aclaradas las posibles divergencias y dudas que surjan entre el
auditor y el auditado. Esto le dar al auditor su carcter profesional.

El informe de auditora es un documento legal que no debe ser ocultado

a los auditados ni ser presentado a sus espaldas, sino que les debe ser
presentado con pleno conocimiento de su contenido.

Normas de carcter social: El auditor, como todo profesional y cualquier

ciudadano, vive en una sociedad en la cual desempea su actividad profesional y
a la cual sirve con su trabajo. Dicha sociedad se rige por una serie do normas y
obligaciones, muchas de ellas no escritas, pero s aceptadas por los integrantes
de esa comunidad. Entre las normas de carcter social que regulan la actuacin
del auditor estn:
Acatar las normas y obligaciones de carcter social: al convivir con un
grupo de personas dentro de un ncleo de la sociedad, el auditor debe

regir su conducta con las normas y lineamientos que regulan la actuacin de

cualquier profesional. Estas normas y obligaciones sociales, que por lo
general no estn establecidas por escrito, son las que determinan la
actuacin de este tipo de profesionales y en general de toda la sociedad.
Respetar a las autoridades, leyes, normas y reglamentos: dentro de las
enseanzas de carcter social que desde pequeos se nos inculcan en la
familia y en la sociedad, se encuentra el aprendizaje del civismo, por medio
del cual se nos ensea a respetar y acatar, entre otras cosas, lo
determinado por la normas, leyes y reglamentos que regulan el
comportamiento de las personas que cohabitan dentro de un conglomerado
social; tambin se nos inculca el respeto a las autoridades y disposiciones
sociales.
Es requisito de carcter social que el auditor sepa respetar y hacer cumplir
las disposiciones y normas emanadas de las autoridades que regulan su
actividad profesional, tanto en su actuacin con las empresas que audita
como con la personas que trata en la realizacin de una auditora.

Evitar y prevenir sobornos, componendas y ddivas: es requisito

indispensable, sin admitir ninguna variacin al respecto, que el auditor
prevenga y evite cualquier tipo de soborno, componenda o ddiva que
pudieran resultar de su actividad profesional.
Ser leal con los auditados: un requisito indispensable para el auditor,
tambin de comportamiento social, tico, profesional y moral, es que debe
ser leal con las empresas que audita y con el personal que labora dentro de
ellas. No es vlido ni profesional ser desleal con quienes se audita.
Adems, cumplir con esta obligacin, en mucho le ayuda a fundamentar
sus relaciones con las empresas, con sus colegas y con la sociedad en
general.
Contar con una opinin profesional y defenderla: al emitir el informe de
una auditoria y plasmar su opinin en un dictamen, el auditor demuestra a
la sociedad que tiene una opinin personal, la cual fundamenta en la
aplicacin de sus tcnicas, mtodos y procedimientos de auditora, misma
que defiende por medio de su opinin profesional, la cual est cimentada
por las evidencias que obtiene al realizar su trabajo; eso es lo que espera la
colectividad de este profesional. Por esta razn, la comunidad le confiere al

auditor una gran calidad moral, social y profesional, ya que da por hecho
que su actuacin est apegada a una estricta tica profesional y personal,
la cual demuestra con la opinin que emite y defiende.
Emitir un dictamen con firma profesional: La sociedad, las autoridades y
los responsables de las empresas auditadas reclaman que el informe que
emite el auditor est respaldado por una firma profesional, ya sea la de una
empresa que avale su actuacin o la del propio auditor. Este profesional
debe estar avalado y certificado por las autoridades y asociaciones de
profesionales del ramo para ejercer esta actividad.
Contar con apoyo didctico y normativo vigente: Para ejercer la
profesin de auditor, tambin es requisito contar con el apoyo didctico y
normativo que est vigente en esta actividad, ya que la sociedad, las
empresas y sus ejecutivos y empleados reclaman que al realizar esta
actividad, el auditor cuente con la capacitacin y conocimientos ms
adelantados y vigentes de su profesin.
Normas de comportamiento tico-moral: las normas de conducta que como
profesional debe acatar el auditor, dentro de un estricto sentido tico y moral son
las siguientes.
Ser incorruptible e insobornable: en las normas de carcter social, se
sealo, que es requisito indispensable, sin admitir ninguna variacin al
respecto, que el auditor sea insobornable e incorruptible y que no haya
ninguna duda respecto a su actuacin en la evaluacin que est realizando.
Esta cualidad moral, ms que norma y obligacin, es la que da la confianza
en la actuacin de un profesional de la auditora.
Alterar en algo el informe de la auditora para minimizar, no informar o
modificar lo encontrado en una evaluacin no es una actitud tica del auditor,
mucho menos moral ni profesional. Si esta actitud se deriva de sobornos,
corruptelas y componendas para alterar su opinin, este pseudoauditor
carece de calidad profesional. Igual si obedece a otro tipo de intereses
ajenos a los fines de la auditora.

Ser imparcial en los juicios que emite como auditor: se debe ser
imparcial, esto con el propsito de poder emitir un juicio acertado y
ecunime respecto a lo que se est evaluando. El cumplimiento de esta
cualidad o norma tico-moral es lo que le da validez y vigencia a la

profesin de auditor, debido a que, al emitir un dictamen, ste se hace libre

de cualquier presin e influencia y sin ningn sesgo ni parcialidad; el auditor
slo debe informar de lo que realmente observ. Adems, debe
fundamentar su opinin en las evidencas y pruebas que obtuvo con los
mtodos, tcnicas y herramientas de auditora que utiliz. Esto no slo es
una norma tico-moral, sino profesional y laboral.
Contar con un juicio sereno, tico y moral: tambin fue sealado en los
elementos de juicio que el objetivo final de una evaluacin es emitir un
dictamen sobre los aspectos quo se estn evaluando a la luz de las tcnicas
que utilice el auditor. Por esta razn, es importante identificar los elementos
sealados en ese punto y los criterios y obligaciones de carcter tico y
moral que adquiere este profesional al emitir un dictamen, mismo que
fundamenta en un juicio sereno, el cual apoya con las evidencias de que
dispone y con las pruebas obtenidas con sus herramientas de evaluacin.
Acatar y hacer cumplir las normas morales y ticas: Parece reiterativo decir
que el auditor debe acatar y hacer cumplir las normas tico-morales que regulan
su actuacin como profesional, lo cual se aplica invariablemente a su actuacin
tanto en el mbito profesional, como en el mbito personal y social. Esto es lo que
esperan de su actuacin los funcionarios y empleados de las empresas que
audita, sus colegas, las asociaciones a las que pertenezca y la comunidad en
general. Todos esperan que su actuacin como auditor se apegue invariablemente
a un estricto cumplimiento de las normas morales y ticas que regulan a la
sociedad.

Leccin 2. Fraude informtico

Fraude informtico 33
A nadie escapa la enorme influencia que ha alcanzado la informtica en la vida
diaria de las personas y organizaciones, y la importancia que tiene su progreso
,,

000"

&

1$ "

"

$%

$&1

:%$

"

>$&

; $& ?

para el desarrollo de un pas. Las transacciones comerciales, la comunicacin, los

procesos industriales, las investigaciones, la seguridad, la sanidad, etc. son todos
aspectos que dependen cada da ms de un adecuado desarrollo de la tecnologa
informtica.
Junto al avance de la tecnologa informtica y su influencia en casi todas las reas
de la vida social, ha surgido una serie de comportamientos ilcitos denominados,
de manera genrica, delitos informticos.

Conceptualizacin
Fraude puede ser definido como engao, accin contraria a la verdad o a la
rectitud. La definicin de Delito puede ser ms compleja.
Muchos estudiosos del Derecho Penal han intentado formular una nocin de delito
que sirviese para todos los tiempos y en todos los pases. Esto no ha sido posible
dada la ntima conexin que existe entre la vida social y la jurdica de cada pueblo
y cada siglo, aquella condiciona a sta.
Segn el ilustre penalista CUELLO CALON, los elementos integrantes del delito
son:

El delito es un acto humano, es una accin (accin u omisin)

Dicho acto humano ha de ser antijurdico, debe lesionar o poner en peligro un
inters jurdicamente protegido.
Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de
ser un acto tpico.
El acto ha de ser culpable, imputable a dolo (intencin) o a culpa (negligencia),
y una accin es imputable cuando puede ponerse a cargo de una determinada
persona
La ejecucin u omisin del acto debe estar sancionada por una pena.

Por tanto, un delito es: una accin antijurdica realizada por un ser humano,
tipificado, culpable y sancionado por una pena.
Se podra definir el delito informtico como toda accin (accin u omisin) culpable
realizada por un ser humano, que cause un perjuicio a personas sin que
necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio
ilcito a su autor aunque no perjudique de forma directa o indirecta a la vctima,
tipificado por La Ley, que se realiza en el entorno informtico y est sancionado
con una pena.
De esta manera, el autor mexicano Julio TELLEZ VALDEZ seala que los delitos
informticos son "actitudes ilcitas en que se tienen a las computadoras como
instrumento o fin (concepto atpico) o las conductas tpicas, antijurdicas y
culpables en que se tienen a las computadoras como instrumento o fin (concepto
tpico)". Por su parte, el tratadista penal italiano Carlos SARZANA, sostiene que
los delitos informticos son "cualquier comportamiento criminal en que la
computadora est involucrada como material, objeto o mero smbolo".

Antecedentes
En la actualidad los computadores se utilizan no solo como herramientas
auxiliares de apoyo a diferentes actividades humanas, sino como medio eficaz
para obtener y conseguir informacin, lo que las ubica tambin como un nuevo
medio de comunicacin, y condiciona su desarrollo de la informtica; tecnologa
cuya esencia se resume en la creacin, procesamiento, almacenamiento y
transmisin de datos.
La informtica esta hoy presente en casi todos los campos de la vida moderna.
Con mayor o menor rapidez todas las ramas del saber humano se rinden ante los
progresos tecnolgicos, y comienzan a utilizar los sistemas de Informacin para
ejecutar tareas que en otros tiempos realizaban manualmente.

El progreso cada da ms importante y sostenido de los sistemas computacionales

permite hoy procesar y poner a disposicin de la sociedad una cantidad creciente
de informacin de toda naturaleza, al alcance concreto de millones de interesados
y de usuarios. Las ms diversas esferas del conocimiento humano, en lo cientfico,
en lo tcnico, en lo profesional y en lo personal estn siendo incorporadas a
sistemas informticos que, en la prctica

cotidiana, de hecho sin limitaciones, entrega

con facilidad a quien lo desee un conjunto de datos que hasta hace

unos aos slo

podan ubicarse luego de largas bsquedas y selecciones en que el hombre jugaba un

papel determinante y las mquinas existentes tenan el rango de equipos auxiliares para
imprimir los resultados. En la actualidad, en cambio, ese enorme caudal de conocimiento
puede obtenerse, adems, en segundos o minutos, transmitirse incluso documentalmente
y llegar al receptor mediante sistemas sencillos de operar, confiables y capaces de

responder casi toda la gama de interrogantes que se planteen a los archivos

informticos.
Puede sostenerse que hoy las perspectivas de la informtica no tienen lmites
previsibles y que aumentan en

forma que an puede impresionar a muchos

actores del proceso. Este es el panorama de este nuevo fenmeno cientfico

tecnolgico en las sociedades modernas. Por ello ha llegado a sostenerse que la
Informtica es hoy una forma de Poder Social. Las facultades que el fenmeno
pone a disposicin de Gobiernos y de particulares, con rapidez y ahorro
consiguiente de tiempo y energa, configuran un cuadro de realidades de
aplicacin y de posibilidades de juegos lcito e ilcito, en donde

es necesario el

derecho para regular los mltiples efectos de una situacin, nueva y de tantas
potencialidades en el medio social.
Los progresos mundiales de las computadoras, el creciente aumento de las
capacidades de almacenamiento y procesamiento, la miniaturizacin de los chips
de las computadoras instalados en productos industriales, la fusin del proceso
de la informacin con las nuevas tecnologas de comunicacin, as como la
investigacin en

el campo de la inteligencia artificial, ejemplifican el desarrollo

actual definido a menudo como la "era de la informacin".

Esta marcha de las aplicaciones de la informtica no slo tiene un lado ventajoso

sino que plantea tambin problemas de significativa importancia para el
funcionamiento y la seguridad de los sistemas informticos en los negocios, la
administracin, la defensa y la sociedad.
Debido a esta vinculacin, el aumento del nivel de los delitos relacionados con los
sistemas informticos registrados en la ltima dcada en los Estados Unidos,
Europa Occidental, Australia y Japn, representa una amenaza para la economa
de un pas y tambin para la sociedad en su conjunto.
De acuerdo con la definicin elaborada por un grupo de expertos, invitados por la
OCDE

34

a Pars en mayo de 1983, el

trmino delitos relacionados con las

computadoras se define como cualquier comportamiento antijurdico, no tico o no

autorizado, relacionado con el procesado automtico de datos y/o transmisiones
de datos. La amplitud de este concepto es ventajosa, puesto que permite el uso de
las mismas hiptesis de trabajo para toda clase de estudios penales, criminlogos,
econmicos, preventivos o legales.
En la actualidad la informatizacin se ha implantado en casi todos los pases.
Tanto en la organizacin y administracin de empresas y administraciones
pblicas como en la investigacin cientfica, en la produccin industrial o en el
estudio e incluso en el ocio, el uso de la informtica es en ocasiones indispensable
y hasta conveniente. Sin embargo, junto a las incuestionables ventajas que
presenta comienzan a surgir algunas facetas

negativas, como por ejemplo, lo

que ya se conoce como "criminalidad informtica".

El espectacular desarrollo de la tecnologa informtica ha abierto las puertas a
nuevas posibilidades de delincuencia antes impensables. La manipulacin
fraudulenta de los ordenadores con nimo de lucro, la destruccin de programas o
datos y el acceso y la utilizacin indebida de la informacin que puede afectar la
esfera de la privacidad, son algunos de los procedimientos relacionados con el
procesamiento electrnico de datos mediante los cuales es posible obtener
,-

&$! $)& #

$)& ?

&) $ "

grandes beneficios econmicos o causar importantes daos materiales o morales.

Pero no slo la cuanta de los perjuicios as ocasionados es a menudo
infinitamente superior a la que es usual en la delincuencia tradicional, sino que
tambin son mucho ms elevadas las posibilidades de que no lleguen a
descubrirse. Se trata de una delincuencia de especialistas capaces muchas
veces de borrar toda huella de los hechos.
En este sentido, la informtica puede ser el objeto del ataque o el medio para
cometer otros delitos. La informtica rene unas caractersticas que la convierten
en un medio idneo para la comisin de muy distintas modalidades delictivas, en
especial de carcter patrimonial (estafas, apropiaciones indebidas, etc.). La
idoneidad proviene, bsicamente, de la gran cantidad de datos que se acumulan,
con la consiguiente facilidad de acceso a ellos y la relativamente fcil
manipulacin de esos datos.
La importancia reciente de los sistemas de datos, por su gran incidencia en la
marcha de las empresas, tanto pblicas como privadas, los ha transformado en un
objeto cuyo ataque provoca un perjuicio enorme, que va mucho ms all del valor
material de los objetos destruidos. A ello se une que estos ataques son
relativamente fciles de realizar, con resultados altamente satisfactorios y al
mismo tiempo procuran a los autores una probabilidad bastante alta de alcanzar
los objetivos sin ser descubiertos.

Leccin 3. Caractersticas de los delitos informticos

Segn el mexicano Julio Tellez Valdez, los delitos informticos presentan las
siguientes caractersticas principales:
Son conductas criminales de cuello blanco (white collar crime), en tanto que
slo un determinado nmero de personas con ciertos conocimientos (en este
caso tcnicos) puede llegar a cometerlas.

Son acciones ocupacionales, en cuanto a que muchas veces se realizan

cuando el sujeto se halla trabajando.
Son acciones de oportunidad, ya que se aprovecha una ocasin creada o
altamente intensificada en el mundo de funciones y organizaciones del sistema
tecnolgico y econmico.
Provocan serias prdidas econmicas, ya que casi siempre producen
"beneficios" de ms de cinco cifras a aquellos que las realizan.
Ofrecen posibilidades de tiempo y espacio, ya que en milsimas de segundo y
sin una necesaria presencia fsica pueden llegar a consumarse.
Son muchos los casos y pocas las denuncias, y todo ello debido a la misma
falta de regulacin por parte del Derecho.
Son muy sofisticados y relativamente frecuentes en el mbito militar.
Presentan grandes dificultades para su comprobacin, esto por su mismo
carcter tcnico.
Tienden a proliferar cada vez ms, por lo que requieren una urgente
regulacin. Por el momento siguen siendo ilcitos impunes de manera
manifiesta ante la ley.

Sistemas y empresas con mayor riesgo.

Evidentemente el artculo que resulta ms atractivo robar es el dinero o algo de
valor. Por lo tanto, los sistemas que pueden estar ms expuestos a fraude son los
que tratan pagos, como los de nmina, ventas, o compras. En ellos es donde es
ms fcil convertir transacciones fraudulentas en dinero y sacarlo de la empresa.
Por razones similares, las empresas constructoras, bancos y compaas de
seguros, estn ms expuestas a fraudes que las dems.
Los sistemas mecanizados son susceptibles de prdidas o fraudes debido a que:
Tratan grandes volmenes de datos e interviene poco personal, lo que impide
verificar todas las partidas.

Se sobrecargan los registros magnticos, perdindose la evidencia auditable o

la secuencia de acontecimientos.
A veces los registros magnticos son transitorios y a menos que se realicen
pruebas dentro de un perodo de tiempo corto, podran perderse los detalles
de lo que sucedi, quedando slo los efectos.
Los sistemas son impersonales, aparecen en un formato ilegible y estn
controlados parcialmente por personas cuya principal preocupacin son los
aspectos tcnicos del equipo y del sistema y que no comprenden, o no les
afecta, el significado de los datos que manipulan.
En el diseo de un sistema importante es difcil asegurar que se han previsto
todas las situaciones posibles y es probable que en las previsiones que se
hayan hecho queden huecos sin cubrir. Los sistemas tienden a ser algo
rgidos y no siempre se disean o modifican al ritmo con que se producen los
acontecimientos; esto puede llegar a ser otra fuente de "agujeros".
Slo parte del personal de proceso de datos conoce todas las implicaciones
del sistema y el centro de clculo puede llegar a ser un centro de informacin.
Al mismo tiempo, el centro de clculo procesar muchos aspectos similares
de las transacciones.
En el centro de clculo hay un personal muy inteligente, que trabaja por
iniciativa propia la mayora del tiempo y podra resultar difcil implantar unos
niveles normales de control y supervisin.
El error y el fraude son difciles de equiparar. A menudo, los errores no son
iguales al fraude. Cuando surgen discrepancias, no se imagina que se ha
producido un fraude, y la investigacin puede abandonarse antes de llegar a
esa conclusin. Se tiende a empezar buscando errores de programacin y del
sistema. Si falla esta operacin, se buscan fallos tcnicos y operativos. Slo
cuando todas estas averiguaciones han dado resultados negativos, acaba
pensndose en que la causa podra ser un fraude.

Leccin 4. Tipificacin de los delitos informticos

Clasificacin Segn la Actividad Informtica

Sabotaje informtico
El trmino sabotaje informtico comprende todas aquellas conductas dirigidas a
causar daos en el hardware o en el software de un sistema. Los mtodos
utilizados para causar destrozos en los sistemas informticos son de ndole muy
variada y han ido evolucionando hacia tcnicas cada vez ms sofisticadas y de
difcil deteccin. Bsicamente, se puede diferenciar dos grupos de casos: por un
lado, las conductas dirigidas a causar destrozos fsicos y, por el otro, los mtodos
dirigidos a causar daos lgicos.
Conductas dirigidas a causar daos fsicos
El primer grupo comprende todo tipo de conductas destinadas a la destruccin
fsica del hardware y el software de un sistema (por ejemplo: causar incendios o
explosiones, introducir piezas de aluminio dentro de la computadora para producir
cortocircuitos, echar caf o agentes custicos en los equipos, etc. En general,
estas conductas pueden ser analizadas, desde el punto de vista jurdico, en forma
similar a los comportamientos anlogos de destruccin fsica de otra clase de
objetos previstos tpicamente en el delito de dao.
Conductas dirigidas a causar daos lgicos
El segundo grupo, ms especficamente relacionado con la tcnica informtica,
se refiere a las conductas que causan destrozos lgicos, o sea, todas
aquellas conductas que producen, como resultado, la destruccin, ocultacin, o
alteracin de datos contenidos en un sistema informtico.
Este tipo de dao a un sistema se puede alcanzar de diversas formas. Desde
la ms simple que podemos imaginar, como desenchufar el ordenador de la
electricidad mientras se esta trabajando con l o el borrado de documentos o

datos de un archivo, hasta la utilizacin de los ms complejos programas

lgicos destructivos (crash programs), sumamente riesgosos para los sistemas,
por su posibilidad de destruir gran cantidad de datos en un tiempo mnimo.
Estos programas destructivos, utilizan distintas tcnicas de sabotaje, muchas
veces, en forma combinada. Sin pretender realizar una clasificacin rigurosa de
estos mtodos de destruccin lgica, podemos distinguir:
o Bombas lgicas (time bombs): En esta modalidad, la actividad
destructiva del programa comienza tras un plazo, sea por el mero
transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a
una hora determinada), o por la aparicin de determinada seal (que
puede aparecer o puede no aparecer), como la presencia de un dato, de
un cdigo, o cualquier mandato que, de acuerdo a lo determinado por el
programador, es identificado por el programa como la seal para
empezar a actuar.
o La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un
empleado program el sistema de tal forma que los ficheros de la
empresa se destruiran automticamente si su nombre era borrado de la
lista de empleados de la empresa.
o Otra modalidad que acta sobre los programas de aplicacin es el
llamado cncer de rutinas (cancer routine). En esta tcnica los
programas destructivos tienen la particularidad de que se reproducen,
por s mismos, en otros programas, arbitrariamente escogidos.
o Una variante perfeccionada de la anterior modalidad es el virus
informtico que es un programa capaz de multiplicarse por s mismo y
contaminar los otros programas que se hallan en el mismo disco rgido
donde fue instalado y en los datos y programas contenidos en los
distintos discos con los que toma contacto a travs de una conexin.
Fraude a travs de computadores
Estas conductas consisten en la manipulacin ilcita, a travs de la creacin de
datos falsos o la alteracin de datos o procesos contenidos en sistemas
informticos, realizada con el objeto de obtener ganancias indebidas.
Los distintos mtodos para realizar estas conductas se deducen, fcilmente, de la
forma de trabajo de un sistema informtico: en primer lugar, es posible alterar
datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador.
Esta forma de realizacin se conoce como manipulacin del input.

Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la
jurisprudencia alemana:
Una empleada de un banco del sur de Alemania transfiri, en febrero de 1983, un
milln trescientos mil marcos alemanes a la cuenta de una amiga - cmplice en la
maniobra - mediante el simple mecanismo de imputar el crdito en una terminal de
computadora del banco. La operacin fue realizada a primera hora de la maana y
su falsedad podra haber sido detectada por el sistema de seguridad del banco al
medioda. Sin embargo, la rpida transmisin del crdito a travs de sistemas
informticos conectados en lnea (on line), hizo posible que la amiga de la
empleada retirara, en otra sucursal del banco, un milln doscientos ochenta mil
marcos unos minutos despus de realizada la operacin informtica.
En segundo lugar, es posible interferir en el correcto procesamiento de la
informacin, alterando el programa o secuencia lgica con el que trabaja el
ordenador. Esta modalidad puede ser cometida tanto al modificar los programas
originales, como al adicionar al sistema programas especiales que introduce el
autor.
A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas
por personas sin conocimientos especiales de informtica, esta modalidad es ms
especficamente informtica y requiere conocimientos tcnicos especiales.
Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana:
El autor, empleado de una importante empresa, ingres al sistema informtico un
programa que le permiti incluir en los archivos de pagos de salarios de la
compaa a personas ficticias e imputar los pagos correspondientes a sus
sueldos a una cuenta personal del autor.
Esta maniobra hubiera sido descubierta fcilmente por los mecanismos de
seguridad del banco (listas de control, sumarios de cuentas, etc.) que eran
revisados y evaluados peridicamente por la compaa. Por este motivo, para
evitar ser descubierto, el autor produjo cambios en el programa de pago de

salarios para que los empleados ficticios y los pagos realizados, no aparecieran
en los listados de control.
Por ltimo, es posible falsear el resultado, inicialmente correcto, obtenido por un
ordenador: a esta modalidad se la conoce como manipulacin del output.
Una caracterstica general de este tipo de fraudes, interesante para el anlisis
jurdico, es que, en la mayora de los casos detectados, la conducta delictiva es
repetida varias veces en el tiempo. Lo que sucede es que, una vez que el autor
descubre o genera una laguna o falla en el sistema, tiene la posibilidad de repetir,
cuantas veces quiera, la comisin del hecho. Incluso, en los casos de
manipulacin del programa, la reiteracin puede ser automtica, realizada por el
mismo sistema sin ninguna participacin del autor y cada vez que el programa se
active. En el ejemplo jurisprudencial citado al hacer referencia a las
manipulaciones en el programa, el autor podra irse de vacaciones, ser despedido
de la empresa o incluso morir y el sistema seguira imputando el pago de sueldos
a los empleados ficticios en su cuenta personal.
Una problemtica especial plantea la posibilidad de realizar estas conductas a
travs de los sistemas de teleproceso. Si el sistema informtico est conectado a
una red de comunicacin entre ordenadores, a travs de las lneas telefnicas o
de cualquiera de los medios de comunicacin remota de amplio desarrollo en los
ltimos aos, el autor podra realizar estas conductas sin ni siquiera tener que
ingresar a las oficinas donde funciona el sistema, incluso desde su propia casa y
con una computadora personal. An ms, los sistemas de comunicacin
internacional, permiten que una conducta de este tipo sea realizada en un pas y
tenga efectos en otro.
Respecto a los objetos sobre los que recae la accin del fraude informtico, estos
son, generalmente, los datos informticos relativos a activos o valores. En la
mayora de los casos estos datos representan valores intangibles (ej.: depsitos
monetarios, crditos, etc.), en otros casos, los datos que son objeto del fraude,
representan objetos corporales (mercadera, dinero en efectivo, etc.) que obtiene

el autor mediante la manipulacin del sistema. En las manipulaciones referidas a

datos que representan objetos corporales, las prdidas para la vctima son,
generalmente, menores ya que estn limitadas por la cantidad de objetos
disponibles. En cambio, en la manipulacin de datos referida a bienes intangibles,
el monto del perjuicio no se limita a la cantidad existente sino que, por el contrario,
puede ser creado por el autor.

Estafas electrnicas: La proliferacin de las compras telemticas permite que

aumenten tambin los casos de estafa. Se tratara en este caso de una dinmica
comisiva que cumplira todos los requisitos del delito de estafa, ya que adems del
engao y el "animus defraudandi" existira un engao a la persona que compra.
No obstante seguira existiendo una laguna

legal en aquellos pases cuya

legislacin no prevea los casos en los que la operacin se hace engaando al

ordenador.
Blanqueo de dinero: Se espera que el comercio electrnico sea el nuevo lugar
de transferencia electrnica de mercancas o dinero para lavar las ganancias
que deja el delito, sobre todo si se pueden ocultar transacciones.
Copia ilegal de software y espionaje informtico.
Se engloban las conductas dirigidas a obtener datos, en forma ilegtima, de un
sistema de informacin. Es comn el apoderamiento de datos de investigaciones,
listas de clientes, balances, etc. En muchos casos el objeto del apoderamiento es
el mismo programa de computacin (software) que suele tener un importante valor
econmico.
Infraccin de los derechos de autor: La interpretacin de los conceptos de copia,
distribucin, cesin y comunicacin pblica de los programas de ordenador
utilizando la red provoca diferencias de criterio a nivel jurisprudencial.
Infraccin del Copyright de bases de datos: No existe una proteccin uniforme de
las bases de datos en los pases que tienen acceso a Internet. El sistema de

proteccin ms habitual es el contractual: el propietario del sistema permite que

los usuarios hagan "downloads" de los ficheros contenidos en el sistema, pero
prohibe el replicado de la base de datos o la copia masiva de informacin.

Uso ilegtimo de sistemas informticos ajenos.

Esta modalidad consiste en la utilizacin sin autorizacin de los ordenadores y los
programas de un sistema informtico ajeno. Este tipo de conductas es
comnmente cometida por empleados de los sistemas de procesamiento de datos
que utilizan los sistemas de las empresas para fines privados y actividades
complementarias a su trabajo. En estos supuestos, slo se produce un perjuicio
econmico importante para las empresas en los casos de abuso en el mbito del
teleproceso o en los casos en que las empresas deben pagar alquiler por el
tiempo de uso del sistema.
Acceso no autorizado: La corriente reguladora sostiene que el uso ilegtimo de
passwords y la entrada en un sistema informtico sin la autorizacin del
propietario debe quedar tipificado como un delito, puesto que el bien jurdico que
acostumbra a protegerse con la contrasea es lo suficientemente importante para
que el dao producido sea grave.

Delitos informticos contra la privacidad.

Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad
del ciudadano mediante la acumulacin, archivo y divulgacin indebida de datos
contenidos en sistemas informticos
Esta tipificacin se refiere a quin, sin estar autorizado, se apodere, utilice o
modifique, en perjuicio de tercero, datos reservados de carcter personal o familiar
de otro que se hallen registrados en ficheros o soportes informticos, electrnicos
o telemticos, o cualquier otro tipo de archivo o registro pblico o privado.

Existen circunstancias agravantes de la divulgacin de ficheros, los cuales se dan

en funcin de:
1. El carcter de los datos: ideologa, religin, creencias, salud, origen racial y
vida sexual.
2. Las circunstancias de la vctima: menor de edad o incapaz.
Tambin se comprende la interceptacin de las comunicaciones, la utilizacin de
artificios tcnicos de escucha, transmisin, grabacin o reproduccin del sonido o
de la imagen o de cualquier otra seal de comunicacin, se piensa que entre lo
anterior se encuentra el pinchado de redes informticas.
Interceptacin de e-mail: En este caso se propone una ampliacin de los
preceptos que castigan la violacin de correspondencia, y la interceptacin de
telecomunicaciones, de forma que la lectura de un mensaje electrnico ajeno
revista la misma gravedad.

Pornografa infantil
La distribucin de pornografa infantil por todo el mundo a travs de la Internet
est en aumento. Durante los pasados cinco aos, el nmero de condenas por
transmisin o posesin de pornografa infantil ha aumentado de 100 a 400 al
ao en un pas norteamericano. El problema se agrava al aparecer nuevas
tecnologas, como la criptografa, que sirve para esconder pornografa y dems
material "ofensivo" que se transmita o archive.

Clasificacin Segn el Instrumento, Medio o Fin u Objetivo

Asimismo, TELLEZ VALDEZ clasifica a estos delitos, de acuerdo a dos criterios:
Como instrumento o medio.
En esta categora se encuentran las conductas criminales que se valen de las
computadoras como mtodo, medio o smbolo en la comisin del ilcito, por
ejemplo:

a. Falsificacin de documentos va computarizada (tarjetas de crdito, cheques,

etc.)
b. Variacin de los activos y pasivos en la situacin contable de las empresas.
c. Planeamiento y simulacin de delitos convencionales (robo, homicidio, fraude,
etc.)
d. Lectura, sustraccin o copiado de informacin confidencial.
e. Modificacin de datos tanto en la entrada como en la salida.
f. Aprovechamiento indebido o violacin de un cdigo para penetrar a un sistema
introduciendo instrucciones inapropiadas.
g. Variacin en cuanto al destino de pequeas cantidades de dinero hacia una
cuenta bancaria apcrifa.
h. Uso no autorizado de programas de computo.
i. Introduccin de instrucciones que provocan "interrupciones" en la lgica interna
de los programas.
j. Alteracin en el funcionamiento de los sistemas, a travs de los virus
informticos.
k. Obtencin de informacin residual impresa en papel luego de la ejecucin de
trabajos.
l. Acceso a reas informatizadas en forma no autorizada.
m. Intervencin en las lneas de comunicacin de datos o teleproceso.
Como fin u objetivo.
En esta categora, se enmarcan las conductas criminales que van dirigidas contra
las computadoras, accesorios o programas como entidad fsica, como por ejemplo:
a.
b.
c.
d.
e.

Programacin de instrucciones que producen un bloqueo total al sistema.

Destruccin de programas por cualquier mtodo.
Dao a la memoria.
Atentado fsico contra la mquina o sus accesorios.
Sabotaje poltico o terrorismo en que se destruya o surja un apoderamiento de
los centros neurlgicos computarizados.
f. Secuestro de soportes magnticos entre los que figure informacin valiosa con
fines de chantaje (pago de rescate, etc.).
Clasificacin segn Actividades Delictivas Graves
Por otro lado, la red Internet permite dar soporte para la comisin de otro tipo de
delitos:
Terrorismo: Mensajes annimos aprovechados por grupos terroristas para
remitirse consignas y planes de actuacin a nivel internacional.

La existencia de hosts que ocultan la identidad del remitente, convirtiendo el

mensaje en annimo ha podido ser aprovechado por grupos terroristas para
remitirse consignas y planes de actuacin a nivel internacional. De hecho, se han
detectado mensajes con instrucciones para la fabricacin de material explosivo.
Narcotrfico: Transmisin de frmulas para la fabricacin de estupefacientes, para
el blanqueo de dinero y para la coordinacin de entregas y recogidas.
Tanto el FBI como el Fiscal General de los Estados Unidos han alertado sobre la
necesidad de medidas que permitan interceptar y descifrar los mensajes
encriptados que utilizan los narcotraficantes para ponerse en contacto con los
crteles.
Espionaje: Se ha dado casos de acceso no autorizado a sistemas informticos
gubernamentales e interceptacin de correo electrnico del servicio secreto de los
Estados Unidos, entre otros actos que podran ser calificados de espionaje si el
destinatario final de esa informacin fuese un gobierno u organizacin extranjera.
Entre los casos ms famosos podemos citar el acceso al sistema informtico del
Pentgono y la divulgacin a travs de Internet de los mensajes remitidos por el
servicio secreto norteamericano durante la crisis nuclear en Corea del Norte en
1994, respecto a campos de pruebas de misiles. Aunque no parece que en este
caso haya existido en realidad un acto de espionaje, se ha evidenciado una vez
ms la vulnerabilidad de los sistemas de seguridad gubernamentales.
Espionaje industrial: Tambin se han dado casos de accesos no autorizados a
sistemas informticos de grandes compaas, usurpando diseos industriales,
frmulas, sistemas de fabricacin y know how estratgico que posteriormente ha
sido aprovechado en empresas competidoras o ha sido objeto de una divulgacin
no autorizada.
Otros delitos: Las mismas ventajas que encuentran en la Internet los
narcotraficantes pueden ser aprovechadas para la planificacin de otros delitos
como el trfico de armas, proselitismo de sectas, propaganda de grupos

extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al
ciberespacio o al revs.
Infracciones que no Constituyen Delitos Informticos
Usos comerciales no ticos: Algunas empresas no han podido escapar a la
tentacin de aprovechar la red para hacer una

oferta a gran escala de sus

productos, llevando a cabo "mailings electrnicos" al colectivo de usuarios de un

gateway, un nodo o un territorio determinado. Ello, aunque no constituye una
infraccin, es mal recibido por los usuarios de Internet, poco

acostumbrados,

hasta fechas recientes, a un uso comercial de la red.

Actos parasitarios: Algunos usuarios incapaces de integrarse en grupos de
discusin o foros de debate online, se dedican a obstaculizar las comunicaciones
ajenas, interrumpiendo conversaciones de forma repetida, enviando mensajes con
insultos personales, etc.
Tambin se deben tomar en cuenta las obscenidades que se realizan a travs de
la Internet.

Impacto de los delitos informticos

Impacto a Nivel General
En los aos recientes las redes de computadoras han crecido de manera
asombrosa. Hoy en da, el nmero de usuarios que se comunican, hacen sus
compras, pagan sus cuentas, realizan negocios y hasta consultan con sus
mdicos online supera los 200 millones, comparado con 26 millones en 1995.
A medida que se va ampliando la Internet, asimismo va aumentando el uso
indebido de la misma. Los denominados delincuentes cibernticos se pasean a su
aire por el mundo virtual, incurriendo en delitos tales como el acceso sin
autorizacin o "piratera informtica", el fraude, el sabotaje informtico, la trata de
nios con fines pornogrficos y el acecho.

Los delincuentes de la informtica son tan diversos como sus delitos; puede
tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos
delincuentes pueden pasar desapercibidos a travs de las fronteras, ocultarse tras
incontables "enlaces" o simplemente desvanecerse sin dejar ningn documento de
rastro. Pueden despachar directamente las comunicaciones o esconder pruebas
delictivas en "parasos informticos" - o sea, en pases que carecen de leyes o
experiencia para seguirles la pista -.
Segn datos recientes del Servicio Secreto de los Estados Unidos, se calcula que
los consumidores pierden unos 500 millones de dlares al ao debido a los piratas
que les roban de las cuentas online sus nmeros de tarjeta de crdito y de
llamadas. Dichos nmeros se pueden vender por jugosas sumas de dinero a
falsificadores que utilizan programas especiales para codificarlos en bandas
magnticas de tarjetas bancarias y de crdito, seala el Manual de la ONU.
Otros delincuentes de la informtica pueden sabotear las computadoras para
ganarle ventaja econmica a sus competidores o amenazar con daos a los
sistemas con el fin de cometer extorsin. Los malhechores manipulan los datos o
las operaciones, ya sea directamente o mediante los llamados "gusanos" o "virus",
que pueden paralizar completamente los sistemas o borrar todos los datos del
disco duro. Algunos virus dirigidos contra computadoras elegidas al azar; que
originalmente pasaron de una computadora a otra por medio de disquetes
"infectados"; tambin se estn propagando ltimamente por las redes, con
frecuencia camuflados en mensajes electrnicos o en programas "descargados"
de la red.
En 1990, se supo por primera vez en Europa de un caso en que se us a un virus
para sonsacar dinero, cuando la comunidad de investigacin mdica se vio
amenazada con un virus que ira destruyendo datos paulatinamente si no se
pagaba un rescate por la "cura".
Los delincuentes cibernticos al acecho tambin usan el correo electrnico para
enviar mensajes amenazantes especialmente a las mujeres. De acuerdo al libro

de Barbara Jenson "Acecho ciberntico: delito, represin y responsabilidad

personal en el mundo online", publicado en 1996, se calcula que unas 200.000
personas acechan a alguien cada ao.
Adems de las incursiones por las pginas particulares de la Red, los delincuentes
pueden abrir sus propios sitios para estafar a los clientes o vender mercancas y
servicios prohibidos, como armas, drogas, medicamentos sin receta ni regulacin
y pornografa.
La CyberCop Holding Cell, un servicio de quejas online, hace poco emiti una
advertencia sobre un anuncio clasificado de servicio de automviles que apareci
en la Internet. Por un precio fijo de $399, el servicio publicara una descripcin del
auto del cliente en una pgina de la Red y garantizaban que les devolveran el
dinero si el vehculo no se venda en un plazo de 90 das.
Informa CyberCop que varios autos que se haban anunciado en la pgina
electrnica no se vendieron en ese plazo, pero los dueos no pudieron encontrar a
ninguno de los autores del servicio clasificado para que les reembolsaran el
dinero. Desde entonces, el sitio en la Red de este "servicio" ha sido clausurado.

Impacto a Nivel Social

La proliferacin de los delitos informticos a hecho que nuestra sociedad sea cada
vez ms escptica a la utilizacin de tecnologas de la informacin, las cuales
pueden ser de mucho beneficio para la sociedad en general. Este hecho puede
obstaculizar el desarrollo de nuevas formas de hacer negocios, por ejemplo el
comercio electrnico puede verse afectado por la falta de apoyo de la sociedad en
general.
Tambin se observa el grado de especializacin tcnica que adquieren los
delincuentes para cometer ste tipo de delitos, por lo que personas con conductas
maliciosas cada vez ms estn ideando planes y proyectos para la realizacin de
actos delictivos, tanto a nivel empresarial como a nivel global.

Tambin se observa que las empresas que poseen activos informticos

importantes, son cada vez ms celosas y exigentes en la contratacin de personal
para trabajar en stas reas, pudiendo afectar en forma positiva o negativa a la
sociedad laboral de nuestros tiempos.
Aquellas personas que no poseen los conocimientos informticos bsicos, son
ms vulnerables a ser vctimas de un delito, que aquellos que si los poseen. En
vista de lo anterior aquel porcentaje de personas que no conocen nada de
informtica (por lo general personas de escasos recursos econmicos) pueden ser
engaadas si en un momento dado poseen acceso a recursos tecnolgicos y no
han sido asesoradas adecuadamente para la utilizacin de tecnologas como la
Internet, correo electrnico, etc.
La falta de cultura informtica puede impedir de parte de la sociedad la lucha
contra los delitos informticos, por lo que el componente educacional es un factor
clave en la minimizacin de esta problemtica.

Impacto en la Esfera Judicial

Captura de delincuentes cibernticos
A medida que aumenta la delincuencia electrnica, numerosos pases han
promulgado leyes declarando ilegales nuevas prcticas como la piratera
informtica, o han actualizado leyes obsoletas para que delitos tradicionales,
incluidos el fraude, el vandalismo o el sabotaje, se consideren ilegales en el
mundo virtual.
Singapur, por ejemplo, enmend recientemente su Ley sobre el Uso Indebido de
las Computadoras. Ahora son ms severos los castigos impuestos a todo el que
interfiera con las "computadoras protegidas" --es decir, las que estn conectadas
con la seguridad nacional, la banca, las finanzas y los servicios pblicos y de
urgencia-- as como a los transgresores por entrada, modificacin, uso o
intercepcin de material computadorizado sin autorizacin.

Hay pases que cuentan con grupos especializados en seguir la pista a los
delincuentes cibernticos. Uno de los ms antiguos es la Oficina de
Investigaciones Especiales de la Fuerza Area de los Estados Unidos, creada en
1978. Otro es el de Investigadores de la Internet, de Australia, integrado por
oficiales de la ley y peritos con avanzados conocimientos de informtica. El grupo
australiano recoge pruebas y las pasa a las agencias gubernamentales de
represin pertinentes en el estado donde se origin el delito.
Pese a estos y otros esfuerzos, las autoridades an afrentan graves problemas en
materia de informtica. El principal de ellos es la facilidad con que se traspasan las
fronteras, por lo que la investigacin, enjuiciamiento y condena de los
transgresores se convierte en un dolor de cabeza jurisdiccional y jurdico. Adems,
una vez capturados, los oficiales tienen que escoger entre extraditarlos para que
se les siga juicio en otro lugar o transferir las pruebas --y a veces los testigos-- al
lugar donde se cometieron los delitos.
En 1992, los piratas de un pas europeo atacaron un centro de computadoras de
California. La investigacin policial se vio obstaculizada por la doble tipificacin
penal --la carencia de leyes similares en los dos pases que prohiban ese
comportamiento-- y esto impidi la cooperacin oficial, segn informa el
Departamento de Justicia de los Estados Unidos. Con el tiempo, la polica del pas
de los piratas se ofreci a ayudar, pero poco despus la piratera termin, se
perdi el rastro y se cerr el caso.
Asimismo, en 1996 el Servicio de Investigacin Penal y la Agencia Federal de
Investigacin (FBI) de los Estados Unidos le sigui la pista a otro pirata hasta un
pas sudamericano. El pirata informtico estaba robando archivos de claves y
alterando los registros en computadoras militares, universitarias y otros sistemas
privados, muchos de los cuales contenan investigacin sobre satlites, radiacin
e ingeniera energtica.
Los oficiales del pas sudamericano requisaron el apartamento del pirata e
incautaron su equipo de computadora, aduciendo posibles violaciones de las leyes

nacionales. Sin embargo, los dos pases no haban firmado acuerdos de

extradicin por delitos de informtica sino por delitos de carcter ms tradicional.
Finalmente se resolvi la situacin slo porque el pirata accedi a negociar su
caso, lo que condujo a que se declarara culpable en los Estados Unidos.
Destruccin u ocultacin de pruebas
Otro grave obstculo al enjuiciamiento por delitos cibernticos es el hecho de que
los

delincuentes

pueden

destruir

fcilmente

las

pruebas

cambindolas,

borrndolas o trasladndolas. Si los agentes del orden operan con ms lentitud

que los delincuentes, se pierde gran parte de las pruebas; o puede ser que los
datos estn cifrados, una forma cada vez ms popular de proteger tanto a los
particulares como a las empresas en las redes de computadoras.
Tal vez la criptografa estorbe en las investigaciones penales, pero los derechos
humanos podran ser vulnerados si los encargados de hacer cumplir la ley
adquieren demasiado poder tcnico. Las empresas electrnicas sostienen que el
derecho a la intimidad es esencial para fomentar la confianza del consumidor en el
mercado de la Internet, y los grupos defensores de los derechos humanos desean
que se proteja el cmulo de datos personales archivados actualmente en ficheros
electrnicos.
Las empresas tambin recalcan que la informacin podra caer en malas manos,
especialmente en pases con problemas de corrupcin, si los gobiernos tienen
acceso a los mensajes en cdigo. "Si los gobiernos tienen la clave para descifrar
los mensajes en cdigo, esto significa que personas no autorizadas --que no son
del gobierno-- pueden obtenerlas y utilizarlas", dice el gerente general de una
importante compaa norteamericana de ingeniera de seguridad.

Impacto en la Identificacin de Delitos a Nivel Mundial.

Las dificultades que enfrentan las autoridades en todo el mundo ponen de
manifiesto la necesidad apremiante de una cooperacin mundial para modernizar

las leyes nacionales, las tcnicas de investigacin, la asesora jurdica y las leyes
de extradicin para poder alcanzar a los delincuentes. Ya se han iniciado algunos
esfuerzos al respecto.
En el Manual de las Naciones Unidas de 1977 se insta a los Estados a que
coordinen sus leyes y cooperen en la solucin de ese problema. El Grupo de
Trabajo Europeo sobre delitos en la tecnologa de la informtica ha publicado un
Manual sobre el delito por computadora, en el que se enumeran las leyes
pertinentes en los diversos pases y se exponen tcnicas de investigacin, al igual
que las formas de buscar y guardar el material electrnico en condiciones de
seguridad.
El Instituto Europeo de Investigacin Antivirus colabora con las universidades, la
industria y los medios de comunicacin y con expertos tcnicos en seguridad y
asesores jurdicos de los gobiernos, agentes del orden y organizaciones
encargadas de proteger la intimidad a fin de combatir los virus de las
computadoras o "caballos de Troya". Tambin se ocupa de luchar contra el fraude
electrnico y la explotacin de datos personales.
En 1997, los pases del Grupo de los Ocho aprobaron una estrategia innovadora
en la guerra contra el delito de "tecnologa de punta". El Grupo acord que
establecera modos de determinar rpidamente la proveniencia de los ataques por
computadora e identificar a los piratas, usar enlaces por vdeo para entrevistar a
los testigos a travs de las fronteras y ayudarse mutuamente con capacitacin y
equipo. Tambin decidi que se unira a las fuerzas de la industria con miras a
crear instituciones para resguardar las tecnologas de computadoras, desarrollar
sistemas de informacin para identificar casos de uso indebido de las redes,
perseguir a los infractores y recabar pruebas.
El Grupo de los Ocho ha dispuesto ahora centros de coordinacin abiertos 24
horas al da, siete das a la semana para los encargados de hacer cumplir la ley.
Estos centros apoyan las investigaciones de otros Estados mediante el suministro

de informacin vital o ayuda en asuntos jurdicos, tales como entrevistas a testigos

o recoleccin de pruebas consistentes en datos electrnicos.
Un obstculo mayor opuesto a la adopcin de una estrategia del tipo Grupo de los
Ocho a nivel internacional es que algunos pases no tienen la experiencia tcnica
ni las leyes que permitiran a los agentes actuar con rapidez en la bsqueda de
pruebas en sitios electrnicos --antes de que se pierdan-- o transferirlas al lugar
donde se est enjuiciando a los infractores.

Leccin 5. Auditor versus delitos informticos

Es importante establecer claramente cual es el papel que juega el auditor

informtico en relacin con la deteccin y minimizacin de la ocurrencia de delitos
informticos dentro de la organizacin a que presta sus servicios. Para lograr
establecer dicho rol se debe examinar la actuacin del auditor frente a la
ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas,
conocimientos requeridos, en fin una serie de elementos que definen de manera
inequvoca el aporte que ste brinda en el manejo de los casos de delitos
informticos.

Rol del Auditor Informtico

El rol del auditor informtico solamente est basado en la verificacin de controles,
evaluacin del riesgo de fraudes y el diseo y desarrollo de exmenes que sean
apropiados a la naturaleza de la auditoria asignada, y que deben razonablemente
detectar:
Irregularidades que puedan tener un impacto sobre el rea auditada o sobre
toda la organizacin.
Debilidades en los controles internos que podran resultar en la falta de
prevencin o deteccin de irregularidades.

Deteccin de delitos
Puesto que la auditoria es una verificacin de que las cosas se estn realizando
de la manera planificada, que todas las actividades se realicen adecuadamente,
que los controles sean cumplidos, etc.; entonces el auditor informtico al detectar
irregularidades en el transcurso de la auditoria informtica que le indiquen la
ocurrencia de un delito informtico, deber realizar los siguiente:
Determinar si se considera la situacin un delito realmente;
Establecer pruebas claras y precisas;
Determinar los vacos de la seguridad existentes y que permitieron el delito;
Informar a la autoridad correspondiente dentro de la organizacin;
Informar a autoridades regulatorias cuando es un requerimiento legal.
Es importante mencionar que el auditor deber manejar con discrecin tal
situacin y con el mayor profesionalismo posible; evitando su divulgacin al
pblico o a empleados que no tienen nada que ver. Puesto que de no manejarse
adecuadamente el delito, podra tener efectos negativos en la organizacin, como
los siguientes:
Se puede generar una desconfianza de los empleados hacia el sistema;
Se pueden generar ms delitos al mostrar las debilidades encontradas;
Se puede perder la confianza de los clientes, proveedores e inversionistas
hacia la empresa;
Se pueden perder empleados clave de la administracin, an cuando no estn
involucrados en la irregularidad debido a que la confianza en la administracin
y el futuro de la organizacin puede estar en riesgo.

Resultados de la auditoria
Si por medio de la auditoria informtica realizada se han detectado la ocurrencia
de delitos, el auditor deber sugerir acciones especificas a seguir para resolver el
vaco de seguridad, para que el grupo de la unidad informtica pueda actuar.
Dichas acciones, expresadas en forma de recomendacin pueden ser como las
siguientes:

Recomendaciones referentes a la revisin total del proceso involucrado;

Inclusin de controles adicionales;
Establecimiento de planes de contingencia efectivos;
Adquisicin de herramientas de control, etc.
Adems de brindar recomendaciones, el auditor informtico deber ayudar a la
empresa en el establecimiento de estrategias contra la ocurrencia de delitos, entre
las que pueden destacarse:
Adquisicin de herramientas computacionales de alto desempeo;
Controles sofisticados;
Procedimientos estndares bien establecidos y probados.
Revisiones continuas; cuya frecuencia depender del grado de importancia
para la empresa de las TI35; as como de las herramientas y controles
existentes.
Si bien es cierto las recomendaciones dadas por el auditor, las estrategias
implementadas por la organizacin minimizan el grado de amenaza que
representa los delitos informticos, es importante tomar en cuenta que an cuando
todos los procesos de auditora estn debidamente diseados y se cuente con las
herramientas adecuadas, no se puede garantizar que las irregularidades puedan
ser detectadas. Por lo que la verificaciones la informacin y de la TI juegan un
papel importante en la deteccin de los delitos informticos.

Auditor Externo Versus Auditor Interno

La responsabilidad del auditor externo para detectar irregularidades o fraude se
establece en el prefacio de las normas y estndares de auditora. En este prefacio
se indica que aunque el cometido de los auditores externos no exige normalmente
la bsqueda especfica de fraudes, la auditora deber planificarse de forma que
existan unas expectativas razonables de detectar irregularidades materiales o
fraude.

,6

&

# &1

$)&

Si el auditor externo detecta algn tipo de delito deber presentar un informe

detallado sobre la situacin y aportar elementos de juicio adicionales durante las
investigaciones criminales posteriores. El auditor externo solamente puede emitir
opiniones basado en la informacin recabada y normalmente no estar
involucrado directamente en la bsqueda de pruebas; a menos que su contrato
sea extendido a otro tipo de actividades normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vienen definidos por la
direccin de la empresa a la que pertenecen. En la mayora de ellas, se considera
que la deteccin de delitos informticos forma parte del cometido de los auditores
internos.