Académique Documents
Professionnel Documents
Culture Documents
Resumen
Todo descontrol interno es una invitación a la perdida de activos, los cuales
pueden ser efectuados a través de los fraudes, en especial fraudes informatizadas. Las
empresas pueden sufrir perdidas todos los años por no seguir las normas y
recomendaciones de los Auditores. Se puede mensurar esa pérdida de varias formas:
La dispensa de un funcionario que ya conoce las rutinas internas, softwares piratas que
generan fallas en los aparatos, robo o pérdida de informaciones confidenciales que
aumentan hasta una parada parcial o total de la empresa por periodos de tiempo
variables. A través de la revisión teórica, el presente trabajo tiene por objetivos
contribuir con la importancia de la auditoria de sistemas en empresas, y también
proponer una metodología para esta auditoria, a la vista que los activos intangibles de
las empresas, tales como: Softwares, banco de datos de informaciones de clientes o
invenciones (patentes), entre otros, pueden a cualquier momento estar en la mira de
fraudes, de robo por hackers, crakers, packers y funcionarios de la propia empresa.
Introducción
La evolución de la tecnología de la información ha sido muy rápida. El tiempo y
los medios disponibles se desarrollan día a día. Con esta evolución, las experiencias y
procesos de negocios están siendo acumulados y guardados en softwares y hardwares,
los cuales pueden poseer gran capacidad de almacenamiento de datos e
informaciones.
1
Jair Antonio Fagundes: Maestro en Contabilidad. Profesor em FEMA, IESA y UNIJUI.Brasil
Jair@fema.com.br
2
Fauzi de Moraes Shubeita: Maestro en Computación y profesor de SETREM. Brasil
shubeita@terra.com.br
3
Adolfo Alberto Vanti: Doctor en Empresariales Universidad de Deusto. Profesor Titular en los
programas de maestría en Administración y Contabilidad de UNISINOS. Brasil
avanti@mercado.unisinos.br
4
Dr. Carlos Hideo Arima: Doctor.en Controladoria. Profesor en Fundación Visconde de Cairu.
charima@uol.com.br
1
Informaciones estas que pueden ser accesadas de forma irregular (fraude) por
personas de la propia organización y personas externas a la organización. Podiendo
generar así la perdida de activos intangibles. Los posibles fraudadores pueden ser
motivados de diversas formas a cometer el crimen, entre ellas, la satisfacción
financiera, satisfacción psicológica, entre otras.
De acuerdo con Arima (2001), para combatir este tipo de crimen la auditoria en
sistemas informatizados podrá tener un papel de suma importancia, utilizándose de
técnicas de auditoria y técnicas de desenvolvimiento de sistemas informatizados, para
el control y para la identificación
Con una investigación teórica en libros, artículos y periódicos, se tiene por
objetivo evidenciar la importancia de la auditoria en sistemas informatizados, para que
las empresas tengan herramientas para que se defiendan de fraudes o para que las
identifiquen.
4
Cahali, Yussef Said, “Fraude contra acreedores”. 2° edición. Editor revista de los Tribunales
São Paulo, 1999, p.50.
2
En el siguiente gráfico se demuestra que la principal víctima de los fraudadores
en Brasil son las industrias, totalizando 27,91 % de los casos, seguida por los servicios
con 18,60%.
3
Fuente: Gomes (2002)
5
Hackers: Individuos que hacen todo lo posible y lo imposible para entrar en un sistema de
informática ajeno, quebrando sistemas de seguridad, para de esta forma causar daños.
6
Crackers: Son aquellos que usan su conocimiento para hacer maldades, es el “Hacker del mal”,
que invade sistemas, roba datos y archivos, números de tarjetas de crédito, hace espionaje industrial y
provoca la destrucción de datos. Ellos son confundidos por la imprenta que les atribuye el nombre de
hackers.
7
Packers: Son hackers con altos conocimientos de telefonía que hacen llamadas internacionales
sin pagar, usando determinadas herramientas para eso, lo que les permite desenvolver sus ataques a
partir de un servidor de otro país, ampliando aún más sus formas de invasión, sus técnicas son una
constante preocupación para las empresas telefónicas internacionales.
4
Fuente: Gomes (2002)
Según Gil (1999) apud Fagundes et al (2003), entre los factores que propician
mayor ocurrencia de fraudes están: la intensa integración de las plataformas de
informática en el ámbito empresarial interno y en la conexión con otras organizaciones
a través de la Internet, Intranet y de la Extranet, quebrando y debilitando la aplicación
del concepto de segregación de funciones; el mayor nivel de polivalencia de los
profesionales actuantes en las diversas áreas organizacionales, con el consecuente
avanzo del conocimiento de la tecnología de la información y su uso más intenso y
generalizado; la fragilidad de los controladores lógicos por la necesidad organizacional
de menores costos y plazos para la realización de sus actividades operacionales.
5
efectuada por profesionales no empleados en la empresa o entidad que verifica”
(LOPES DE SÁ, 1995, p.40.
La auditoria de sistemas debe actuar en cualquier sistema de información de la
empresa, sea a escala estratégica, sea a escala gerencial u operacional (ARIMA),
2002. Para alcanzar los objetivos propuestos, los trabajos deben agrupar 4 líneas
maestras de actuación:
Auditoria de sistemas en producción: sistemas ya implantados y en
funcionamiento.
Auditoria durante el desenvolvimiento de sistemas: engloba la fase de
construcción de sistemas de información.
Auditoria de ambiente de tecnología de información: engloba las estructuras orgánicas,
contratos de hardware y software, normas técnicas y operacionales, costos, nivel de
utilización de los equipamientos, planos de seguridad y contingencia.
Auditoria de eventos específicos: engloba el análisis de causa, de consecuencia
y de la acción correctiva posible, de eventos localizados y que no se encuentran bajo
auditoria, detectados por otros órganos y llevados a su conocimiento (característica
correctiva.
Entre los 4 tópicos de arriba, podemos afirmar que la auditoria en ambientes de
tecnología de información ( c ) es el más crítico. Los argumentos que la justifican son
que las fallas encontradas en este punto son las que generan los problemas de (a), (b)
y (d). Si no existe un control de ambiente interno donde la tecnología es utilizada,
probablemente inexisten controles en los sistemas ya existentes, así como en los que
serán desenvueltos y también es prácticamente nula la posibilidad de detectar fallas en
eventos específicos.
En la figura a seguir se tiene una demostración de técnicas a ser utilizadas para
la auditoria en sistemas informatizados, las cuales pueden ser hechas alrededor de la
ordenadora, a través de la ordenadora y con la ordenadora.
Figura n°1: organización de las técnicas para la auditoria de sistemas de
información computadorizada.
6
TÉCNICAS DE
AUDITORIA DE
SISTEMAS
técnicas de verificación Técnicas de verificación
de las fases de de los resultados
procesamiento de procesamiento
a través de la
computadora
alrededor de la
computadora con
computadora
•test-deck
•facilidad de teste integrado
•tracing
•verificación y •mapeo del programa
confrontación de output •snapshot •programas
con relación al input •procesamiento simultaneo desenvolvidos por
•cuestionarios de •simulación paralela el usuário
control interno •analysis de job •software general
•check-list accounting/log de la auditoria
•analysis de instrucción de •gerenciador de
programa banco de datos
7
validados por la auditoria de sistemas. Estos puntos son determinados como puntos de
control, los cuales serán inventariados y elegidos conforme se presentan en la etapa
siguiente.
b) Normas y procedimientos
La avaluación de las normas y procedimientos consiste en asegurar la
divulgación y uso de informaciones referentes a la política, directrices, organización,
servicios etc. de forma sistematizada, crítica y segmentada (ARIMA, 1994). Esta es una
garantía de que la rotación del personal operacional en la empresa, así como aspectos
relevantes de la rutina diaria no estén siendo afectadas, garantizando el buen
funcionamiento de la empresa.
c) Cargos y funciones
La avaluación de los cargos y funciones consiste en asegurar la adecuada
cualidad y productividad de trabajo de las áreas de influencia de la informática [Arima,
1994]. Otro aspecto favorable a esta practica es que ella evita la elección de personal
por indicación “intuitiva” o “amigable”, lo que muchas veces termina comprometiendo la
calidad operacional del sector.
e) Ambiente de computación
La avaluación del ambiente de computación consiste en garantizar la seguridad
ambiental para el procesamiento de datos en termos de estructura, acceso,
comunicación de datos, recursos humanos, recursos materiales, planos de seguridad y
planos de contingencia.
8
f) Costos
La auditoria de costos tiene por objetivo asegurar la distribución de costos de
procesamiento de datos a los diversos departamentos y productos de la empresa,
según criterios que mejor representen la realidad de utilización de recursos para fines
de control y tomada de decisiones (ARIMA, 1994). Se sabe que el sector de tecnología
es uno de los que más absorbe recursos para su manutención y su funcionamiento
adecuado. Sin un correcto control en los costos, el puede tornarse inviable para las
empresas.
Conclusión
Con la intensa integración de los sistemas de informaciones en las empresas y
entre ellas, se dio también la apertura para el fraude interna (funcionario) y externa (a
través de Internet, Intranet y Extranet)
Para prevenirse de este tipo de fraude se hace necesario una actuación eficiente
y eficaz de la auditoria interna y externa en las empresas; colocando normas y
escogiendo puntos de control de posibles fraudes, verificando la consistencia y la
periodicidad de estos puntos de control.
Con esto se sugiere que estos profesionales tengan conocimiento del negocio de
la empresa, bien como conocimiento técnico en auditoria y desenvolvimiento de
sistemas informatizados. Como es difícil la ocurrencia de profesionales que domina
todas las técnicas se sugiere también una parceria entre los diferentes profesionales de
la auditoria y de la tecnología de la información.
Esto sería un nuevo nicho de mercado para estos profesionales que procuran
mecanismos de alcanzar sus objetivos, que son de minimizar las deficiencias de control
interno y combatir los posibles fraudes en las empresas.
BIBLIOGRAFIA
9
ARIMA, Carlos Hideo. Implantação de controle e segurança para auditoria durante
o desenvolvimento de sistemas. In: VANTI, Adolfo Alberto (org). Gestão da
Tecnologia empresarial e da informação: conceitos e estudos de casos. São
Paulo: Internet, Brasil 2001. 194p., p. 67-75.
CAHALI, Yussef Said, Fraude contra credores. 2o edição, Editora Revista dos
Tribunais, São Paulo, Brasil 1999, p.50.
FAGUNDES, Jair A., MENDINA, Silnei D., PIACENTINI, Neusa., VANTI, Adolfo A.
Perspectiva da Investigação contábil perante sistemas web services. Revista
Contabilidade e Informação – Unijui. Ijui. P.51-60. Brasil 2003.
GIL, Antonio Loureiro, Fraudes Informatizadas. Brasil 1999.
GOMES, Marcelo Alcides Carvalho: Uma Contribuição a Prevenção de Fraudes
Contra as Empresas, Tese de Doutorado apresentada a FEA/SP, Brasil 2000.
GOMES, Marcelo Alcides Carvalho: 2º Relatório sobre fraudes e abusos
ocupacionais nas empresas no Brasil - 2002, disponível em
http://www.gbe.com.br/relatório%202002.html, acesso em 10/02/04.
http://www.solar.com.br/glossario/html.html acesso em 09/08/02.
http://www.tche.br/glossar.html acesso em 09/08/02.
PHILIPS, Joseph. Gerência de projetos de tecnologia da informação. Ed. Campus.
Rio de Janeiro. Brasil 2003.
SÁ, Antonio Lopes de: Dicionário de Contabilidade, Editora Atlas, 9o edição, Brasil
1995.
10