Auditoría contra fraudes en Sistemas Informatizados

Jair Antonio Fagundes1

Fauzi de Moraes Shubeita2
Adolfo Alberto Vanti3
Carlos Hideo Arima4

Resumen
Todo descontrol interno es una invitación a la perdida de activos, los cuales
pueden ser efectuados a través de los fraudes, en especial fraudes informatizadas. Las
empresas pueden sufrir perdidas todos los años por no seguir las normas y
recomendaciones de los Auditores. Se puede mensurar esa pérdida de varias formas:
La dispensa de un funcionario que ya conoce las rutinas internas, softwares piratas que
generan fallas en los aparatos, robo o pérdida de informaciones confidenciales que
aumentan hasta una parada parcial o total de la empresa por periodos de tiempo
variables. A través de la revisión teórica, el presente trabajo tiene por objetivos
contribuir con la importancia de la auditoria de sistemas en empresas, y también
proponer una metodología para esta auditoria, a la vista que los activos intangibles de
las empresas, tales como: Softwares, banco de datos de informaciones de clientes o
invenciones (patentes), entre otros, pueden a cualquier momento estar en la mira de
fraudes, de robo por hackers, crakers, packers y funcionarios de la propia empresa.

Palabras Claves: auditoria, fraudes, informática

Área Temática: Evolución de las necesidades de información: oferta y demanda

de productos.

Introducción
La evolución de la tecnología de la información ha sido muy rápida. El tiempo y
los medios disponibles se desarrollan día a día. Con esta evolución, las experiencias y
procesos de negocios están siendo acumulados y guardados en softwares y hardwares,
los cuales pueden poseer gran capacidad de almacenamiento de datos e
informaciones.

1
Jair Antonio Fagundes: Maestro en Contabilidad. Profesor em FEMA, IESA y UNIJUI.Brasil
Jair@fema.com.br
2
Fauzi de Moraes Shubeita: Maestro en Computación y profesor de SETREM. Brasil
shubeita@terra.com.br
3
Adolfo Alberto Vanti: Doctor en Empresariales Universidad de Deusto. Profesor Titular en los
programas de maestría en Administración y Contabilidad de UNISINOS. Brasil
avanti@mercado.unisinos.br
4
Dr. Carlos Hideo Arima: Doctor.en Controladoria. Profesor en Fundación Visconde de Cairu.
charima@uol.com.br

1
 Informaciones estas que pueden ser accesadas de forma irregular (fraude) por
personas de la propia organización y personas externas a la organización. Podiendo
generar así la perdida de activos intangibles. Los posibles fraudadores pueden ser
motivados de diversas formas a cometer el crimen, entre ellas, la satisfacción
financiera, satisfacción psicológica, entre otras.
De acuerdo con Arima (2001), para combatir este tipo de crimen la auditoria en
sistemas informatizados podrá tener un papel de suma importancia, utilizándose de
técnicas de auditoria y técnicas de desenvolvimiento de sistemas informatizados, para
el control y para la identificación
Con una investigación teórica en libros, artículos y periódicos, se tiene por
objetivo evidenciar la importancia de la auditoria en sistemas informatizados, para que
las empresas tengan herramientas para que se defiendan de fraudes o para que las
identifiquen.

1 Fraudes en Sistemas Informatizados

Según Gil (1999), los fraudes informatizadas corresponden a la acción
intencional y perjudicial hacia un activo intangible, causada por procedimientos e
informaciones (softwares y banco de datos), de propiedad de personas físicas o
jurídicas, concretizadas por entidades físicas o jurídicas con la finalidad de alcanzar
algún beneficio o satisfacción psicológica, financiera e material.
En el área del Derecho Comercial Brasilero, citado por Cahali4 (1999, p.50) apud
Gomes (2000, p.19), está el concepto de fraude como siendo “...la negación del
principio de buena fe” .
Gomes (2002), demuestra el siguiente gráfico con las principales formas de
fraudes en empresas en Brasil. Se percibe que la corrupción de los funcionarios es una
de las principales formas detectadas por aquellas empresas que ya fueron víctimas de
este tipo de crimen con el 56,1 % de los casos.

Fuente: Gomes (2002)

4
Cahali, Yussef Said, “Fraude contra acreedores”. 2° edición. Editor revista de los Tribunales
São Paulo, 1999, p.50.

2
 En el siguiente gráfico se demuestra que la principal víctima de los fraudadores
en Brasil son las industrias, totalizando 27,91 % de los casos, seguida por los servicios
con 18,60%.

Fuente: Gomes (2002)

Gomes (2000) apud Fagundes et al (2003) comenta que un criminoso puede

causar más daños con un clic de mouse, una línea telefónica ADSL, cable, fibra, óptica
o antena de radio, que con un arma, mostrando que los fraudes muchas veces son
superiores a asaltos con armas. Como ejemplo se puede citar el caso estudiado por el
investigador de fraudes, Doctor Marcelo Gomes (2000, p.2), al citar que un director del
Banco Nordeste, responsable por la administración de la agencia en las islas Caimán,
utilizó una sucesión de lanzamientos contables en cuentas de Banco, en moneda
extranjera, para pasar la falsa impresión de transferencias de recursos entre la matriz y
la subsidiaria, para desviar más de US$ 240 millones.
En Brasil, según un levantamiento de datos efectuado se concluyó que en los 41
casos donde se comprobaron los fraudes el montante llegó a R$ 222,5 millones, o sea,
una media de R$ 1.473.510,00 por funcionario fraudulento. El mayor valor apropiado
indebidamente por un fraudulento fue de R$ 56 millones y el menor fue de R$ 60 mil.
El grafico de abajo demuestra la incidencia de fraude en la faja de valores la
cual es liderada por la faja que varia entre US$ 100.001 a US$ 500.000, con 29,27% de
los casos estudiados y que en 75,61% de los eventos superaron el valor de US$
100.000.

3
 Fuente: Gomes (2002)

Cualquier sistema computadorizado que gerencia informaciones privilegiadas o

provoque acciones que puedan perjudicar personas o instituciones están en la mira de
acceso impropio o ilegal de fraudadores.
Pueden ser clasificados en tres tipos: Hackers5, Crackers6 y Packers7. Después
que consiguen acceso, existe una amplia variedad de actividades que pueden ocurrir.
Los fraudes informatizadas también pueden ser realizadas por funcionarios de la
propia entidad empresarial, en este caso son de más fácilmente identificables, poseen
una mayor cantidad de ocurrencias y menor impacto para la continuidad operacional de
las organizaciones; al contrario de los fraudes realizadas por agentes externos a la
entidad, pues, estas son de difícil identificación, ocurren más raramente y causan un
fuerte impacto en la empresa. También puede haber un tercer grupo de posibles
fraudadores, el de las jefaturas que ocupan cargos luego debajo de la gerencia, los
cuales tienen incidencia en 86,9% de los casos estudiados, seguidos por los gerentes
11,3% y directores 1,8%, demostrando así la ineficiencia del sistema de control interno
de las entidades.

5
Hackers: Individuos que hacen todo lo posible y lo imposible para entrar en un sistema de
informática ajeno, quebrando sistemas de seguridad, para de esta forma causar daños.
6
Crackers: Son aquellos que usan su conocimiento para hacer maldades, es el “Hacker del mal”,
que invade sistemas, roba datos y archivos, números de tarjetas de crédito, hace espionaje industrial y
provoca la destrucción de datos. Ellos son confundidos por la imprenta que les atribuye el nombre de
hackers.
7
Packers: Son hackers con altos conocimientos de telefonía que hacen llamadas internacionales
sin pagar, usando determinadas herramientas para eso, lo que les permite desenvolver sus ataques a
partir de un servidor de otro país, ampliando aún más sus formas de invasión, sus técnicas son una
constante preocupación para las empresas telefónicas internacionales.

4
 Fuente: Gomes (2002)

Según Gil (1999) apud Fagundes et al (2003), entre los factores que propician
mayor ocurrencia de fraudes están: la intensa integración de las plataformas de
informática en el ámbito empresarial interno y en la conexión con otras organizaciones
a través de la Internet, Intranet y de la Extranet, quebrando y debilitando la aplicación
del concepto de segregación de funciones; el mayor nivel de polivalencia de los
profesionales actuantes en las diversas áreas organizacionales, con el consecuente
avanzo del conocimiento de la tecnología de la información y su uso más intenso y
generalizado; la fragilidad de los controladores lógicos por la necesidad organizacional
de menores costos y plazos para la realización de sus actividades operacionales.

2 Auditoria en Sistemas Informatizados

Conceptualmente Auditoria es un “proceso sistemático para obtener y evaluar
evidencias que permitan generar una opinión sobre actos económicos y eficacia de
empresas” (LOPES DE SÁ, 1995, p.38.
De acuerdo con el autor la Auditoria puede ser dividida en varias ramificaciones,
entre ellas la auditoria de sistemas, interna, externa, entre otras, las cuales serán
conceptuadas a seguir.
Arima (2002, p.15) “afirma que la función de la auditoria de sistemas es promover
la adecuación, revisión, evaluación y recomendaciones para el mejoramiento de los
controladores internos en los sistemas de información de la empresa, así como evaluar
la utilización de los recursos humanos, materiales y tecnológicos envueltos en el
procesamiento de los mismos”.
La auditoria interna es conceptuada como siendo la “verificación de los actos
realizados por los propios funcionarios de la empresa”. Y la auditoria externa “es

5
efectuada por profesionales no empleados en la empresa o entidad que verifica”
(LOPES DE SÁ, 1995, p.40.
La auditoria de sistemas debe actuar en cualquier sistema de información de la
empresa, sea a escala estratégica, sea a escala gerencial u operacional (ARIMA),
2002. Para alcanzar los objetivos propuestos, los trabajos deben agrupar 4 líneas
maestras de actuación:
Auditoria de sistemas en producción: sistemas ya implantados y en
funcionamiento.
Auditoria durante el desenvolvimiento de sistemas: engloba la fase de
construcción de sistemas de información.
Auditoria de ambiente de tecnología de información: engloba las estructuras orgánicas,
contratos de hardware y software, normas técnicas y operacionales, costos, nivel de
utilización de los equipamientos, planos de seguridad y contingencia.
Auditoria de eventos específicos: engloba el análisis de causa, de consecuencia
y de la acción correctiva posible, de eventos localizados y que no se encuentran bajo
auditoria, detectados por otros órganos y llevados a su conocimiento (característica
correctiva.
Entre los 4 tópicos de arriba, podemos afirmar que la auditoria en ambientes de
tecnología de información ( c ) es el más crítico. Los argumentos que la justifican son
que las fallas encontradas en este punto son las que generan los problemas de (a), (b)
y (d). Si no existe un control de ambiente interno donde la tecnología es utilizada,
probablemente inexisten controles en los sistemas ya existentes, así como en los que
serán desenvueltos y también es prácticamente nula la posibilidad de detectar fallas en
eventos específicos.
En la figura a seguir se tiene una demostración de técnicas a ser utilizadas para
la auditoria en sistemas informatizados, las cuales pueden ser hechas alrededor de la
ordenadora, a través de la ordenadora y con la ordenadora.
Figura n°1: organización de las técnicas para la auditoria de sistemas de
información computadorizada.

6
 TÉCNICAS DE
AUDITORIA DE
SISTEMAS
técnicas de verificación Técnicas de verificación
de las fases de de los resultados
procesamiento de procesamiento
a través de la
computadora

alrededor de la
computadora con
computadora
•test-deck
•facilidad de teste integrado
•tracing
•verificación y •mapeo del programa
confrontación de output •snapshot •programas
con relación al input •procesamiento simultaneo desenvolvidos por
•cuestionarios de •simulación paralela el usuário
control interno •analysis de job •software general
•check-list accounting/log de la auditoria
•analysis de instrucción de •gerenciador de
programa banco de datos

Fuente: Arima (2002, p.70)

La falta de normatización y planeamiento interno puede afectar directamente los

principales parámetros de control interno que son considerados para efecto de auditoria
de ambiente de informática, que son la eficacia, la eficiencia y la seguridad.
La auditoria de ambiente de tecnología de información tiene por objetivo avaluar
los recursos comunes utilizados en el procesamiento de los diversos sistemas de
información de la empresa. Esto torna el ambiente menos vulnerable a cualquier tipo de
fraude, sea interna o externa.
Como metodología a ser aplicada en este entorno, se inicia primeramente con el
diagnostico y análisis de la situación actual del entorno de tecnología de información,
existencias y elección de puntos de control, evaluación de puntos de control elegidos
con el acompañamiento de las recomendaciones apuntadas en el relato de evaluación
de control interno.

3. Diagnóstico y análisis de la situación actual del entorno

El diagnóstico consiste en caracterizar de manera macro todo el entorno
operacional y gerencial en términos de infla estructura organizativa considerando la
estructura orgánica, recursos humanos, materiales y tecnológicos aplicados, como
hardware, software, bien como normas y procedimientos de la organización. Una vez
conseguido el conocimiento del entorno, se identifica los posibles puntos que pueden
ser vulnerables o sujetos a amenazas en potencial, que merezcan ser evaluados y

7
validados por la auditoria de sistemas. Estos puntos son determinados como puntos de
control, los cuales serán inventariados y elegidos conforme se presentan en la etapa
siguiente.

4 Existencias o stocks y elección de los puntos de control

Las existencias o stocks consisten en la identificación y en la caracterización de
puntos de control anteriormente mencionados y que deberán ser sometidos a la
selección junto a expertos en el área de auditoria, analistas y auditores de sistemas y
personas de la alta administración involucradas en el entorno estudiado.
Para la auditoria del entorno de informática usualmente engloba los siguientes
puntos de control:

a) Contratos de hardware y software

El objetivo de la auditoria de los contratos de hardware y software de control es
asegurar que las negociaciones de compra, alquiler, leasing, seguro y mantenimiento
del hardware y del software disponibles en la instalación, estén debidamente
respaldadas por los respectivos contratos (ARIMA, 2002) Además, puede ser la
garantía de que la empresa está trabajando con software legalizado y licenciado,
además de poseer proveedores de hardware confiables.

b) Normas y procedimientos
La avaluación de las normas y procedimientos consiste en asegurar la
divulgación y uso de informaciones referentes a la política, directrices, organización,
servicios etc. de forma sistematizada, crítica y segmentada (ARIMA, 1994). Esta es una
garantía de que la rotación del personal operacional en la empresa, así como aspectos
relevantes de la rutina diaria no estén siendo afectadas, garantizando el buen
funcionamiento de la empresa.

c) Cargos y funciones
La avaluación de los cargos y funciones consiste en asegurar la adecuada
cualidad y productividad de trabajo de las áreas de influencia de la informática [Arima,
1994]. Otro aspecto favorable a esta practica es que ella evita la elección de personal
por indicación “intuitiva” o “amigable”, lo que muchas veces termina comprometiendo la
calidad operacional del sector.

d) Utilización de hardware y software

La auditoria de la utilización de hardware y software tiene por objetivo asegurar la
utilización eficiente y eficaz de los equipamientos de computación y respectivos
softwares (ARIMA, 1994). Esta práctica también evita el constante cambio de
equipamientos y softwares en upgrades desnecesarios o sin respaldo técnico.

e) Ambiente de computación
La avaluación del ambiente de computación consiste en garantizar la seguridad
ambiental para el procesamiento de datos en termos de estructura, acceso,
comunicación de datos, recursos humanos, recursos materiales, planos de seguridad y
planos de contingencia.

8
 f) Costos
La auditoria de costos tiene por objetivo asegurar la distribución de costos de
procesamiento de datos a los diversos departamentos y productos de la empresa,
según criterios que mejor representen la realidad de utilización de recursos para fines
de control y tomada de decisiones (ARIMA, 1994). Se sabe que el sector de tecnología
es uno de los que más absorbe recursos para su manutención y su funcionamiento
adecuado. Sin un correcto control en los costos, el puede tornarse inviable para las
empresas.

5. Avaluación de los puntos de control elegidos

La avaluación consiste en elaborar y aplicar los programas de auditoria para
cada punto de control elegido. En este programa deberán constar los procedimientos
que serán aplicados, tales como, entrevistas, cuestionarios, verificación ‘in-loco’ etc.,
para la validación de los respectivos puntos de control.
Después de detectada la debilidad del control interno, se elabora los relatórios
parciales de la auditoria, por punto de control, para debida apreciación y tomada de
medidas preventivas por parte de los responsables del área de informática.
Finalizando con el acompañamiento de las recomendaciones propuestas en los
relatórios, que puede consistir en documentar la situación actual y las evidencias de la
revisión y avaluación de los puntos de control auditados así como la verificación
periódica a la ejecución de medidas preventivas y correctivas recomendadas por la
auditoria.

Conclusión
Con la intensa integración de los sistemas de informaciones en las empresas y
entre ellas, se dio también la apertura para el fraude interna (funcionario) y externa (a
través de Internet, Intranet y Extranet)
Para prevenirse de este tipo de fraude se hace necesario una actuación eficiente
y eficaz de la auditoria interna y externa en las empresas; colocando normas y
escogiendo puntos de control de posibles fraudes, verificando la consistencia y la
periodicidad de estos puntos de control.
Con esto se sugiere que estos profesionales tengan conocimiento del negocio de
la empresa, bien como conocimiento técnico en auditoria y desenvolvimiento de
sistemas informatizados. Como es difícil la ocurrencia de profesionales que domina
todas las técnicas se sugiere también una parceria entre los diferentes profesionales de
la auditoria y de la tecnología de la información.
Esto sería un nuevo nicho de mercado para estos profesionales que procuran
mecanismos de alcanzar sus objetivos, que son de minimizar las deficiencias de control
interno y combatir los posibles fraudes en las empresas.

BIBLIOGRAFIA

ARIMA, Carlos Hideo. Auditoria de Sistemas, apostila do curso de mestrado em

ciências contábeis – Unisinos. São Leopoldo. Brasil 2002.

9
ARIMA, Carlos Hideo. Implantação de controle e segurança para auditoria durante
o desenvolvimento de sistemas. In: VANTI, Adolfo Alberto (org). Gestão da
Tecnologia empresarial e da informação: conceitos e estudos de casos. São
Paulo: Internet, Brasil 2001. 194p., p. 67-75.
CAHALI, Yussef Said, Fraude contra credores. 2o edição, Editora Revista dos
Tribunais, São Paulo, Brasil 1999, p.50.
FAGUNDES, Jair A., MENDINA, Silnei D., PIACENTINI, Neusa., VANTI, Adolfo A.
Perspectiva da Investigação contábil perante sistemas web services. Revista
Contabilidade e Informação – Unijui. Ijui. P.51-60. Brasil 2003.
GIL, Antonio Loureiro, Fraudes Informatizadas. Brasil 1999.
GOMES, Marcelo Alcides Carvalho: Uma Contribuição a Prevenção de Fraudes
Contra as Empresas, Tese de Doutorado apresentada a FEA/SP, Brasil 2000.
GOMES, Marcelo Alcides Carvalho: 2º Relatório sobre fraudes e abusos
ocupacionais nas empresas no Brasil - 2002, disponível em
http://www.gbe.com.br/relatório%202002.html, acesso em 10/02/04.
http://www.solar.com.br/glossario/html.html acesso em 09/08/02.
http://www.tche.br/glossar.html acesso em 09/08/02.
PHILIPS, Joseph. Gerência de projetos de tecnologia da informação. Ed. Campus.
Rio de Janeiro. Brasil 2003.
SÁ, Antonio Lopes de: Dicionário de Contabilidade, Editora Atlas, 9o edição, Brasil
1995.

10