Boletín Vol. 4 No. 4 ISSN: 2145-0927 ISSN digital: 2422-4537
FACULTAD DE CONTADURÍA PÚBLICA
Santa Marta
Bogotá Manizales
Quibdó Palmira
Cartagena
Duitama Tunja Villavicencio
Pasto
Neiva
CONTENIDO: EDITORIAL / REFLEXIONES ACADÉMICAS:El auditor investigador - Cambio integral del modelo contable - Principales problemáticas del sistema de control interno en las entidades distritales del estado colombiano / INVESTIGACIÓN: Consideraciones de técnicas para el tratamiento de la evidencia digital y la evidencia de auditoría - Rol del auditor de sistemas en la informática forense / EVENTOS ACADÉMICOS - Nuestra Facultad en imágenes
EDITORIAL Ing. MARIO F. MAYORGA G. - Ingeniero de Sistemas - Auditor de Sistemas Coordinador Académico de la Especialización en Auditoría de Sistemas Facultad de Contaduría Pública – UAN
Estimados lectores: En esta edición, la Facultad de Contaduría Pública presenta los trabajos realizados como parte del desarrollo profesional de sus estudiantes y sus docentes en temas de actualidad y de interés nacional. Esto se ha logrado con el apoyo, la experiencia y el conocimiento de los profesores tanto de pregrado como de las especializaciones, y decide compartir en sus páginas algunos artículos novedosos sobre temas como la Informática Forense; espero que generen en ustedes el interés por conocer y profundizar en ellos. En Colombia la Informática Forense nace como una especialidad que integra todos los componentes necesarios que se requieren para que, de una manera objetiva, se pueda identificar, levantar, custodiar y aportar evidencias necesarias para dilucidar casos que se presentan en cualquier rama del saber que se valga de las TICS 2 - para el desarrollo y cumplimiento de sus procesos administrativos y técnicos. Con el nacimiento de la Ingeniería Forense nace otra profesión, se trata dela Auditoría Forense, un tema de gran interés para los profesionales de la Auditoría, y por ende, de la Facultad de Contaduría Pública de la UAN. El vertiginoso avance de las TICS (Tecnologías de la Información y las comunicaciones) ha propiciado a su vez el uso, por parte de los delincuentes, de la tecnología para realizar actividades ilícitas y tratar de eludir a las autoridades. Esto ha obligado que las autoridades del Estado (Policía y Fiscalía) deban también especializarse y capacitarse en TICS, usándolas como heunI V
erS I dad antonI o
narI Ñ
o
rramientas para la investigación y persecución del delito y el delincuente. La obtención de información (evidencias digitales) es de gran importancia para el logro del éxito en una investigación criminal, aspecto que demanda de los investigadores encargados de la recolección, preservación, análisis y presentación de las evidencias digitales, una eficaz labor que garantice la autenticidad e integridad de dichas evidencias, a fin de ser utilizadas posteriormente ante las autoridades judiciales. A su vez, es necesario que existan profesionales que se especialicen en Auditoría Forense para que realicen labores de evaluación y análisis de validez en la forma de obtención, tratamiento y custodia de las evidencias digitales. Jairo Andrés Casanova Caicedo, Ingeniero de Sistemas, Auditor de Sistemas, Tutor Virtual de la Especialización Auditoría de Sistemas plantea un tema de interés: CONSIDERACIONES DE TÉCNICAS PARA EL TRATAMIENTO DE LA EVIDENCIA DIGITAL Y LA EVIDENCIA DE AUDITORÍA, en el que plantea algunas formas sobre cómo tratar la evidencia digital, tema que debemos conocer todos los ciudadanos que, de una u otra forma, tengamos que ver con el uso, operación y evaluación de las TICS. A su vez la Ingeniera Luz Edilsa Ortiz López, Especialista en Auditoría de Sistemas de la Especialización de Auditoría de Sistemas de la UAN, hace una reflexión del rol de los profesionales de la Auditoría en su desempeño como Auditores Forenses en su tema ROL DEL AUDITOR DE SISTEMAS EN LA INFORMÁTICA FORENSE, donde muestra la manera cómo debe afrontar un Auditor su labor, en lo relacionado con la Informática Forense donde uno de los roles del auditor es desempeñarse como Perito Forense, también llamado Auditor Forense. Reitero, son temas de actualidad y de importancia que nos llevan a pensar en estos nuevos roles y responsabilidades de los profesionales que estamos dedicados a los temas de la Contaduría Pública y la Auditaría. Espero que la lectura de este Boletín sea productiva y aporte otro grano de arena a sus valiosos conocimientos profesionales.
Boletín Balance - Vol. 4 No. 4 Enero - Diciembre de 2014 ISSN: 2145-0927 ISSN digital: 2422-4537 Rectora Marta Losada Vicerrector Académico Víctor Hugo Prieto Vicerrector de Ciencia Tecnología e Innovación Carlos Arroyave Posada Secretaria General Martha Carvalho Directora Fondo Editorial Lorena Ruiz Serna
TABLA DE CONTENIDO
EDITORIAL Mario F. Mayorga .
2
REFLEXIONES ACADÉMICAS
4
El auditor investigador C.P. Jenny Alexandra Fuentes Quintero
4
Cambio integral del modelo contable Mirey Yanira Garzón Pedraza
7
Principales problemáticas del sistema de control interno en las entidades distritales del estado colombiano C.P. Robert Fuentes Roa
11
Asistente Editorial Ana Palomino
INVESTIGACIÓN
18
Decano Facultad de Contaduría n e an no a a
Consideraciones de técnicas para el tratamiento de la evidencia digital y la evidencia de auditoría Jairo Andrés Casanova Caicedo
18
Rol del auditor de sistemas en la informática forense Luz Edilsa Ortiz López
22
EVENTOS ACADÉMICOS
30
NUESTRA FACULTAD EN IMÁGENES
35
Directora UDCII y Editora Edel Rocío Lasso Silva Corrector de Estilo César Buitrago Piñeros Diseñador Gráfico César Bran Impresión Disonex Diseño de Portada elly Johanna Narváez L.
Publicación de la Facultad Contaduría Universidad Antonio Nariño Calle 58A No. 37-94 Teléfono 221 2109 balance@uan.edu.co Bogotá D.C., Colombia
REFLEXIONES ACADÉMICAS EL AUDITOR INVESTIGADOR C.P. JENNY ALEXANDRA FUENTES QUINTERO Docente Facultad Contaduría Pública – Sede Bogotá
4-
La auditoría usualmente hace referencia al examen de información, sin embargo, con el tiempo pasó a ser un programa sistemático que permite la realización de investigación y evaluación de información, con el objetivo de emitir una opinión técnica responsable a un tercero que lo solicita. El objetivo de la auditoría es detectar fallas, donde el auditor realiza las recomendaciones pertinentes para corregir lo encontrado. Inicialmente la auditoría se realizaba a nivel financiero, pero con el tiempo se ha visto la necesidad de aplicarla a otras operaciones y actividades de la empresa, tales como: auditoría de gestión, auditoría de cumplimiento, auditoría de control interno, auditoría de sistemas, auditoría económico-social y auditoría ambiental. El auditor tiene que ser una persona preparada para la labor a la cual se va a enfrentar, porque su misión es no solo informar los resultados obtenidos, sino proponer soluciones cuando lo considere necesario. De acuerdo con lo anterior, el trabajo del Auditor consiste en: “investigar, revisar, analizar, evaluar, informar, comunicar y recomendar las acciones principales que debe tener en cuenta todo profesional al trabajar en cualquier campo de auditoría”. (Puerres I, 2010)
Para empezar la labor, el Auditor debe tener en cuenta que es necesario una adecuada planeación y supervisión, por eso debe contar con una metodología adecuada para aplicar. El enfoque usual era la utilización de los papeles de trabajo, que constaba de documentos y cédulas elaboradas por el mismo auditor, sin embargo, los tiempos exigen el cambio de metodologías, y teniendo en cuenta que el auditor debe ser un investigador, existe la propuesta de aplicar el método científico. Al comienzo, parecía una locura la aplicación de un método científico en una auditoría, sin embargo, ha de tenerse en cuenta que esta se va haciendo particular porque todas las organizaciones son diferentes y “el conocimiento se perfecciona a medida que se avanza en una investigación y se trata de alcanzar su máximo desarrollo”. (Puerres I, 2010) De acuerdo con el método científico Mautz y Sharaf sugirieron como metodología de auditoría los siguientes ocho pasos:
-5
Tomado: Naturaleza de la auditoría, Iván Puerres, Universidad Javeriana Cali. http://drupal.puj.edu. co/files/OI023_Ivan%20Puerres_0.pdf
Boletín Balance - Facultad contaduría
Teniendo en cuenta el anterior enfoque del Auditor Investigativo, es preciso anotar que en muchas ocasiones se aplica sin tener consciencia de su existencia, puesto que cuando se inicia la labor como Contador Público en cualquier empresa, lo primero que se hace es: • Conocer la actividad económica a la que pertenece la empresa. • Verificar que el RUT concuerde con el registro mercantil expedido por la Cámara de Comercio. • Revisar que existan los libros de contabilidad registrados ante la Cámara de Comercio. De esta manera, empezamos a realizar una auditoría de cumplimiento y a reconocer qué problemas se pueden tener en esta etapa inicial cuando se es contratado como contador en una empresa. A medida que se va adquiriendo experiencia en dicha labor, se realizan otras auditorías donde inconscientemente vamos aplicando estos conceptos. Las tareas diarias nos permiten ejecutar acciones como: 6-
un informe, la presentación de estados financieros o para terceros (solicitudes de crédito, emisión de información a terceros como DIAN y Supersociedades). Aunque el Contador Público no sea un investigador puro, lo es en su área de conocimiento, pues identifica los problemas, muchas veces no tiene que emitir su opinión a la solución, sino tiene que corregir los problemas encontrados, detectando dónde fue el error para no volver a incurrir en este a futuro.
REFERENCIAS • La verificación de fechas y preparación Ivan Puerres . (2010). NATURALEZA DE LA AUDITORÍA. 17 de Septiembre de para la presentación de impuestos. • La revisión previa de la información 2015, de Universidad Javeriana, Calí Sitio web: http://drupal.puj.edu.co/files/ OI023_Ivan%20Puerres_0.pdf antes de emitir estados financieros. • La recolección de información para solicitar créditos bancario y certificaciones como contador donde consta que la información es fidedigna. • La creación de procesos y tareas cuando la empresa desea certificarse en calidad. Por tanto, siempre en la labor del Contador Público se realiza auditoría cuando se hace un examen de la información que se está elaborando antes de emitir, no una opinión sino
CAMBIO INTEGRAL DEL MODELO CONTABLE MIREY YANIRA GARZÓN PEDRAZA Estudiante de décimo semestre de Contaduría Pública - Sede Duitama
RESUMEN Este trabajo tiene como objetivo realizar una síntesis de los principales cambios que se han presentado a partir del proceso de adopción de las Normas Internacionales de Información Financiera (NIIF) que actualmente Colombia está adoptando, efectuando un paralelo entre el contenido de la información a revelar, los criterios de reconocimiento, medición, valuación y presentación de las partidas en los Estados Financieros de la contabilidad local y la norma internacional, y así determinar qué cambios son relevantes para la adecuada comprensión y posterior aplicación, ya que las NIIF constituyen una normativa sólida, compleja y de alta calidad, que a diferencia de la actual es mucho más financiera que contable. Palabras clave: Normas Internacionales de Información Financiera, estandarización, adopción, reconocimiento, valuación. INTRODUCCIÓN Colombia ha empezado poco a poco a incursionar en el proceso de estandarización contable debido al crecimiento de la economía; a raíz de este proceso de globalización, cambia la forma de practicar los negocios a nivel mundial y se crea la necesidad de aplicar normas internacionales lo cual requiere que todas las operaciones realizadas por las empresas sean contabilizadas y presentadas de forma similar. El principal motivo para que se implantara este proceso fue la necesidad de manejar un conjunto único e integral de normas de contabilidad y de información financiera que pueda ser comparable así como la integración de informes estandarizados para su presentación en distintos escenarios. La presentación de estados financieros significa un cambio integral del modelo contable que se venía manejando en el país ya que, la norma contable local está provista como un conjunto de reglas de uso legal y de carácter obligatorio, y las normas internacionales resultan ser normas flexibles y permisivas que se acomodan a las necesidades de cada empresa, se les da un manejo según criterios particulares son permeables a la información manipulada. EL PAPEL DE LA CONTABILIDAD DENTRO DE LA GLOBALIZACIÓN La Norma Internacional de Información Financiera (NIIF) como su nombre lo indica; es una norma contable cuyo objetivo es estan-
darizar a nivel mundial los criterios con los que cada una de las empresas debe llevar y presentar la contabilidad. En 1973 algunos profesionales de contabilidad crearon un organismo llamado International Accounting Standards Committee (IASC), que realizó la emisión de estas normas contables las cuales se designaron con el nombre de Normas Internacionales de Contabilidad (NIC). Posteriormente en el año 2001 el IASC se fue reestructurado y se convirtió en International Accounting Standards Board (IASB), donde se decidió que las normas emitidas hasta la fecha serían revisadas y actualizadas por el IASB, conservando el nombre de NIC y las normas emitidas a partir de esa fecha se designarían por el nombre de NIIF (IFRS) y es así como hoy en día el IASB es el único organismo profesional que se encarga de emitir las (NIIF). (Méndez, 2011, p.13) La gran mayoría de los países ha adoptado estándares internacionales de contabilidad frente a lo cual Colombia no podía ser in- - 7 diferente. Por esta razón, en 2009 se promulgó la Ley 1314, por la cual se regulan los principios y normas de contabilidad e información financiera y de aseguramiento de información aceptados en Colombia, los cuales establecieron los lineamientos para la implementación de estándares internacionales de contabilidad en el país. Con la adopción de estas normas, las empresas entran a un proceso de mayor transparencia en sus operaciones facilitando su comparación global. Los empresarios deben tener en cuenta que al realizar la aplicación de las Normas Internaciones de Información Financiera (NIIF) en sus empresas pueden tener una mayor oporBoletín Balance - Facultad contaduría
tunidad para fortalecer sus economías, el beneficio de aumentar la competitividad en sus mercados y posibilitar el incremento de inversión extranjera. Esta adopción trae una serie de cambios y modificaciones en los procedimientos establecidos en la contabilidad, ya que varios conceptos que se utilizan en la normatividad colombiana cambiaran y se deben ajustar a las necesidades de la empresa. Los parámetros que se van a tener en cuenta para el manejo de algunas partidas son: 1. Reconocimiento de ingresos: según la norma local, los ingresos se reconocen cuando se expide la factura de venta, pero bajo las normas internacionales cualquier cambio incremental en el patrimonio se reconoce y se registra cuando se entrega el bien, es decir, en el momento en que se transfiere el riesgo a un tercero. 2. Descuentos en compras y ventas: actualmente, se registra por separado el costo de los descuentos ya que los descuentos condicionados son ingresos financieros, y los descuentos en ventas se tratan como gastos financieros. Ahora bajo las normas internacionales, los descuentos se deben registrar como menor valor del costo o gasto. 3. Valores de me8 - dición: actualmente se registra la compra de los activos fijos por el valor histórico, es decir, por el precio en que los compramos, pero si este valor va cambiando en el mercado, tenemos que realizar un registro por una valorización o desvalorización del bien. Según la normatividad colombiana vigente es obligatorio que mínimo cada tres años se realice un avaluó técnico a los activos con el fin de valorizarlos e identificar el valor actual en el mercado. Con la aplicación de los nuevos estándares, se requerirá el uso de herramientas de medición financieras como: • Valor razonable: el cual hace referencia al precio recibido por vender un activo, unI V
erS I dad antonI o
narI Ñ
o
o precio pagado por transferir un pasivo acordado entre dos personas a libre competencia de acuerdo con los parámetros de mercado o a la necesidad de cada persona. • Valor presente neto: el cual nos sirve para la evaluación de proyectos de inversión, es decir, traer al presente lo que me costará invertir en periodos futuros. Estos dos tipos de medición permiten identificar el valor de un beneficio o de una obligación que se recibirá en una fecha determinada, mostrando la realidad de la información financiera presentada, que en últimas, es el objetivo de la implementación de las normas internacionales. Para el caso de los activos fijos, también cambia la medición puesto que actualmente se registra una vida útil estandarizada, que para el caso de edificios es 20 años, maquinaria y equipo 10 años, vehículos 5 años, equipo de cómputo y comunicación 3 años; pero con la aplicación de las normas internacionales, la vida útil de estos activos se determinará de acuerdo con el avaluó técnico entregado por un profesional, entonces la depreciación puede ser mayor o menor según sea el caso, lo que terminaría afectando la utilidad de la empresa. (Barbosa, 2010, p. 1) Actualmente, la depreciación de los activos se lleva como un gasto o costo deducible según sea el caso, para así disminuir la utilidad y la renta fiscal, originando que el valor a pagar por impuestos sea menor. Es necesario realizar un avalúo profesional a los activos para poderlos ingresar a los estados financieros con el valor que se encuentran en el mercado. En los estados financieros se deben incluir las notas, las cuales son parte integral de los mismos, y su objetivo es presentar la información de una forma transparente para la comprensión de los usuarios, que reflejen las políticas contables significativas que fueron aplicadas, los cálculos de los valores de medición que se realizaron, además de proporcionar información adicional que no se hubiese presentado en ningún estado financiero y que pueda ser de carácter relevante. El papel de la contabilidad dentro de la globalización de la economía es presentar razonablemente el rendimiento financiero y los flujos de efectivo de las empresas, para lo cual se requiere de la presentación fiel de las transacciones, de acuerdo con los criterios de reconocimiento registrados en los estados financieros. Con la aplicación de estándares internacionales se busca que la información reflejada no sean solo cifras, sino que por el contrario, sea información útil y de fácil entendimiento que permita ser comparable puesto que la credibilidad de la información financiera podría cues-
tionarse si una empresa presenta diferencias en las transacciones. Debido a la expansión de los mercados internacionales, cambian las condiciones de negociación, al igual que la manera de registrar la contabilidad, pues se ven reflejados grandes cambios en diversos aspectos de la información financiera, los parámetros para el manejo de cada cuenta y las normas que se le aplican a cada una de ellas, en realidad la contabilidad como tal no cambia, lo que ha venido cambiando es la forma de presentación de la información financiera. A continuación se hará un breve análisis sobre las normas que se van a aplicar a algunas cuentas específicas: 1. Inventarios: contablemente para la valoración de inventarios entre los diferentes métodos de valuación existentes se utiliza el método de costeo UEPS y PEPS, pero con la norma internacional solamente está permitido usar el método PEPS porque con él se registra un deterioro, y con el UEPS se utilizan valores más altos. Para el caso del inventario de repuestos, se clasifica como inventario; normalmente a los inventarios de repuestos no se le hacen verificaciones de costo de mercado más bajo, por lo tanto ningún tipo de inventario se deprecia. A diferencia de las NIIF cuando se tenga la intención de mantener el inventario de repuestos más de un año se debe considerar como Propiedad, Planta y Equipo (activo), y esta clasificación hace que se deban depreciar y estar sujetos a prueba de deterioro, pero si se utiliza un repuesto ocasionalmente se tendrá que clasificar como inventario. (Webadmin, 2011)
terioro, Propiedad, Planta y Equipo, intangibles e inversiones permanentes que están sujetos a pruebas de deterioro las cuales se miden por el valor razonable, si se utiliza el deterioro como base de depreciación y amortización. 4. Propiedad, Planta y Equipo: bajo las NIIF se consideran como activos los recursos de Propiedad, Planta y Equipo adquiridos por la empresa, además de los recursos controlados por ella, donde el método de valor razonable tiene un papel importante pues es la medida requerida para determinar las valoraciones. Contrariamente, está la actual forma de valoración en norma local, debido a que se utiliza el concepto de costo histórico, excepto en los instrumentos financieros.
5. Intangibles: para la norma local los intangibles se valoran a costo histórico, no se permite una vida útil indefinida, y habitualmente no se capitalizan costos adicionales por colocar el intangible en condiciones de uso, sino que se llevan como cargos diferidos. En normas internacionales sí es per2. Medición de inventarios: los inventarios se medirán al costo o mitida la vida útil indefinida y se especifica al valor neto realizable, según cual sea menor, y se deben tener en con base en la estimación de uso, su vacuenta los siguientes costos: loración se realiza con base en su valor de - 9 mercado, y para su capitalización se hace • Costos de inventarios: la empresa como tal debe incluir en el necesario colocar el intangible en condiciocosto de los inventarios todos aquellos costos en los que incu- nes de uso. (Molina, 2013) rrió para darle al bien su condición y ubicación. • Costos de adquisición: abarcan el precio de la compra junto 6. Arrendamientos: la norma internaciocon todos los impuestos y demás gastos que no sean recupe- nal dice que en el caso de arrendamiento rables. Los descuentos y rebajas tienen que ir descontados en se debe hacer un análisis sobre la esencia el precio de adquisición. del contrato y no sobre la forma, recono• Costos de transformación: incluyen todos los costos relacio- ce un arrendamiento financiero como un nados directamente con la producción. (Sastoque, 2014) activo de Propiedad, Planta y Equipo, y la obligación financiera se reconoce según la 3. Deterioro del valor de los inventarios: la normatividad colom- tasa implícita, mientras que la norma local biana señala que se debe hacer avalúos cada 3 años, entonces el indica que para clasificar un arrendamiento deterioro de las inversiones permanentes se analiza con el valor prevalece la norma tributaria, el activo se intrínseco y este no es base de depreciación o amortización, ni presenta como un intangible y se reconoce tampoco son objeto de prueba de deterioro los intangibles. Bajo las la obligación según el costo histórico. (DeNIIF cada año se debe realizar un análisis de los indicadores de de- loitte, 2011) Boletín Balance - Facultad contaduría
CONCLUSIONES La conversión a las NIIF es un gran reto para las empresas pues deben estar a la vanguardia de este proceso, para lo cual deben contar con profesionales en el tema, otorgándoles la información necesaria para que, de esta manera, se realice un proceso de adopción exitoso. El profesional contable debe prepararse para los cambios que se presentan en el nuevo contexto internacional, pues es un tema cada vez más complejo y por lo tanto de su aplicación y desarrollo dependerá el grado de asertividad en el manejo y presentación de la información. En razón a que la mayoría de los países ya implementaron el proceso de estandarización contable-financiera, Colombia tiene la necesidad urgente de adoptar este proceso para lograr mayor competitividad y crecimiento económico. Los diferentes cambios que se presentan al aplicar las NIIF, abarcan diversos aspectos
www.pixabay.com geralt
10 -
significativos en el manejo de la información financiera y presentación en los estados financieros. Debido a que las NIIF están orientadas hacia el campo financiero, no van a afectar la parte tributaria, por lo menos dentro de los cuatro años siguientes a partir de la implementación de la norma. La DIAN debe realizar un análisis sobre el impacto que puede generar este proceso y debe señalar cuáles serían los posibles cambios a revelar en la información tributaria. REFERENCIAS Deloitte, T. (2011). La Introducción a las NIIF. En La Globalización Contable. Web: http://www.lamayorista.com.co/site/esp/archivos_subidos/introduccion_a_las_ ifrs.pdf Molina Llopis. (2013). NIIF para las PYMES: ¿la solución al problema para la aplicación de la normativa internacional? Revista Contabilidad y Negocios, 8, pp. 28-30. Sastoque, C. (2014). Análisis crítico de la sección 13 “Inventarios” de la NIIF para PYMES. En Actualicese.com. Web: http://actualicese.com/opinion/analisiscritico-de-la-seccion-13- inventarios-de-la-niif-para-pymes-carlos-humbertosastoque/. Webadmin. (2011) ¿Cómo va la convergencia hacia estándares internacionales de contabilidad (Ley 1314 de 2009)?. Junio 13, 2011, de Instituto Nacional de Contadores Públicos de Colombia Sitio web: http://www.incp.org.co/ como-va-la-convergencia-hacia-estandaresinternacionales-de-contabilidad-ley1314-de-2009/.
PRINCIPALES PROBLEMÁTICAS DEL SISTEMA DE CONTROL INTERNO EN LAS ENTIDADES DISTRITALES DEL ESTADO COLOMBIANO C.P. ROBERT FUENTES ROA Candidato a Especialista en Auditoría y Control Fiscal - Universidad Antonio Nariño
RESUMEN Con el siguiente artículo se pretende establecer de manera clara, la distinción entre los fines y alcances del control interno de las entidades públicas y el control fiscal ejercido por las contralorías de Colombia; por otro lado, la responsabilidad que se debe tener sobre los actos de corrupción e irregularidades que encuentren en el ejercicio de sus funciones, el estado del control interno, así como el valor probatorio que adquieren los informes emitidos por los profesionales de la oficina de control interno en los procesos administrativos, judiciales y fiscales, además del fortalecimiento del Sistema de Control Interno (SCI) bajo un enfoque preventivo en el que muchas veces se asume su evaluación como un control fiscal. Palabras clave: Eficiencia, eficacia, economía, equidad, valoración de costos ambientales INTRODUCCIÓN El propósito fundamental del presente documento consiste en dar una mirada al control interno y al fortalecimiento del SCI bajo un enfoque preventivo y determinar la manera cómo contribuye al control fiscal en Colombia a través del desempeño de la Contraloría General de la República, entidad que se encarga de vigilar la gestión fiscal de la administración, de los particulares y de las entidades que manejan recursos públicos y evitar actos de corrupción e irregularidades. Para tal fin, se presentan los elementos conceptuales y las herramientas que contribuyen al fortalecimiento del trabajo en desarrollo del proceso auditor. La elaboración del presente documento surge del estudio de los diferentes informes que se vienen presentando por parte de las contralorías en diferentes tipos de auditoría que se desarrollan cada año y de aquellos hallazgos que siguen abiertos por la falta de gestión y compromiso de las entidades, desde la alta dirección como responsable de subsanar en forma eficaz y eficiente las diversas observaciones emitidas por las autoridades de control. Este artículo se ha dividido en siete partes, la primera corresponde al planteamiento del problema sobre los diferentes hallazgos de
las entidades del Estado, en la segunda se hace una descripción de la Auditoría General de la Republica, la tercera corresponde al desempeño de la Contraloría General de la República, la cuarta sobre el Control fiscal en Colombia, la quinta, el Control Interno, la sexta describe las herramientas para el fortalecimiento del Sistema de Control Interno (SCI) y la séptima contiene las conclusiones finales sobre los aspectos indicado PLANTEAMIENTO DEL PROBLEMA Bajo los fundamentos constitucionales y legales que demanda a las oficinas de Control Interno y a las Contralorías en la práctica de auditorías orientadas por los principios de economía, eficiencia, eficacia, equidad y la valoración de los costos ambientales, se adquiere la responsabilidad de emitir informes integrales que contengan la gestión - 11 adelantada por la administración a los diferentes procesos de las entidades, desde el punto de vista administrativo, financiero y legal. Una vez se detecten sus deficiencias, deberán ser corregidas por la administración, lo que en cierta forma, contribuye al mejoramiento continuo de la organización, y conlleva a la eficiencia y efectiva prestación de los servicios en beneficio de la ciudadanía. Es evidente encontrar, por parte de la contraloría, informes donde se muestra que las entidades presentan deficiencia en sus manuales de procesos y procedimientos, o muchas veces no se cuenta con dichos Boletín Balance - Facultad contaduría
documentos, e incluso, que lo que se realiza en la práctica no corresponde a lo que indican los documentos mencionados. Las deficiencias en las evaluaciones al Control Interno, lleva a que muchas veces la información registrada no sea confiable por la falta de un adecuado seguimiento. Desde el punto de vista contractual, se observan deficiencias en el control que se debe aplicar a los procedimientos e incumplimientos de las normas correspondientes a los requisitos para el perfeccionamiento y ejecución de contratos, que posteriormente se traduce en pagos, sin la observancia de dichas obligaciones. Otra de las deficiencias que se presenta, se debe a la falta de seguimiento a las cifras que se encuentran registradas en los estados financieros de considerable valor, las cuales han permanecido por muchos años sin movimiento alguno, los que lleva a que se muestre información desactualizada. También se presentan deficiencias en la aplicación de la normatividad para el manejo y control de los bienes de las entidades que, en algunas ocasiones, se encuentran en estado de inservibles, no útiles u obso12 - letos y que al no estar en condiciones de uso, aún permanecen en los estados financieros de las entidades, lo que conlleva a que se incurra en gastos como seguros o bodegajes, sobre bienes que en algún momento ya debía haberse realizado su destinación final. Para el caso de las obligaciones que tienen las entidades con terceros, es evidente que no se cuenta con una adecuada planeación, ya que los saldos de lo no ejecutado y lo no girado pasan para el año siguiente, lo que lleva a que las entidades cuenten con obligaciones por más de cinco años, sin que se tome decisión alguna sobre dichos valores.
La ausencia de procedimientos para el manejo de los documentos, el registro de la información, la desorganización que no permite clasificarlos en los diferentes tipos como audios, fotos, etc., no determina los controles necesarios para la identificación, almacenamiento, protección y recuperación del tiempo de retención ni la disposición de los registros y documentos. Por otra parte, no se cuenta con políticas claras de operación para las entidades debidamente actualizadas, los controles establecidos en los diferentes procedimientos con los que cuentan, no corresponden con la realidad. Falta de implementación de indicadores de gestión para los diferentes procesos de las entidades, de forma que le permita medir el comportamiento de la misionalidad de las instituciones y en consecuencia, los fines del Estado. Las deficiencias en el seguimiento de acciones de mejora presentadas ante la Contraloría, son el resultado de los informes de Auditoría gubernamental de las diferentes modalidades practicadas por el ente de control, cuyas consecuencias lleva a que se presenten planes de mejoramiento con hallazgos vencidos y que, posteriormente se traducen en posibles sanciones administrativas, disciplinarias, e incluso, fiscales. Se identifica, además, que muchas veces las evidencias presentadas por las áreas responsables de subsanar los hallazgos, no son suficientes contra las acciones de mejora y actividades previstas en los planes de mejora que se suscriben y que se comprometen a dar cumplimiento. Otras debilidades se manifiestan en la construcción de planes de mejoramiento, ya que no se hace de manera colectiva, muchas veces las acciones que se plantean corresponde al alcance del área y no se involucra a las demás dependencias, de acuerdo con las responsabilidades que les asiste en la formulación y ejecución de las acciones de mejora para que estas se generen de manera completa y efectiva, por otra parte, no se realizan los seguimientos a los mapas de riesgos, ni se cuenta con el personal que tenga la experticia. Finalmente, el perfil de los servidores públicos que desempeñan funciones dentro de las oficinas de Control Interno, muchas veces no es el idóneo, no han tenido formación de auditor, llegan a las oficinas trasladados de otras dependencias donde realizaban labores diferentes a las que van a ejecutar; esto permite que se presente dificultad para ejercer las labores en trabajo de campo y por consiguiente, que se pierda la credibilidad de las oficinas y el apoyo que realmente necesitan como asesores para entidades del Estado.
AUDITORÍA GENERAL DE LA REPÚBLICA Con el Decreto 272 de 2000, se determina la organización y funcionamiento de la Auditoría General de la República, este es un organismo de vigilancia y control de la gestión fiscal que está dotada de autonomía jurídica, administrativa, contractual y presupuestal. Conforme lo establece la Constitución Política de Colombia, le corresponde a la Auditoría General de la República, ejercer la vigilancia de la gestión fiscal de la Contraloría General de la República y de las contralorías departamentales, distritales y municipales. La Auditoría General de la República coadyuva a la transformación, depuración y modernización de los órganos institucionales para el control de la gestión fiscal, el fomento de la cultura del autocontrol y el estímulo de la participación ciudadana en la lucha para erradicar la corrupción, es por eso que una de sus funciones es la vigilancia de las 64 contralorías, incluida la Contraloría General de la Republica, las Departamentales, Distritales y Municipales. DESEMPEÑO DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA La Contraloría General de la República de Colombia (CGR) es el máximo organismo de control fiscal del Estado. Su misión es la de garantizar el buen uso de los bienes públicos y contribuir a la modernización del Estado, mediante acciones de mejoramiento continuo en las distintas entidades públicas. Como entidad de Control Fiscal se encuentra organizada en dos niveles: La Contraloría General de la República y las Contralorías Territoriales. Como se había indicado anteriormente, la vigilancia de la gestión de las contralorías está a cargo de la Auditoría General de la República. Las Funciones de la Contraloría están encaminadas a: Los artículos 119 y 267 de la Constitución Política de Colombia señalan las funciones de la CGR, dentro de las cuales tiene a su cargo la vigilancia de la gestión fiscal y el control de resultado de la administración, así como de los particulares o entidades que manejen fondos o bienes de la Nación. El control será ejercido de forma posterior y de manera selectiva de acuerdo con los procedimientos, sistemas y principios establecidos por la ley. Ejerce control financiero, de gestión y de resultados, del Patrimonio Público, fundado en la eficiencia, la economía, la equidad y la valoración de los costos ambientales.
Ejerce la representación de la comunidad, la vigilancia de la gestión fiscal y la evaluación de los resultados obtenidos por las diferentes entidades del Estado. Con la Resolución Orgánica No. 5775 de 2006, proferida por el Contralor General de la República, se establece la sectorización de los sujetos de control fiscal, acorde para adelantar el programa de renovación de la administración pública. Las Contralorías territoriales son aquellos entes institucionales que ejercen Control Fiscal a los fondos y bienes de origen local, como el Departamento, el Distrito o el Municipio. La Constitución Política de 1991, en el artículo 272 consagra que, “La vigilancia de la gestión fiscal de los departamentos, distritos y municipios donde haya Contralorías, corresponde a éstas y se ejercerá en forma posterior y selectiva. La de los municipios incumbe a las Contralorías Departamentales, salvo lo que la ley determine respecto de Contralorías Municipales.” Así mismo a través de la ley 330 de 1996, se asignan las competencias de las Contralorías Departamentales del ejercicio de - 13 la función pública del control fiscal en las respectivas jurisdicciones, estas Contralorías son de carácter técnico, dotadas de autonomía administrativa, presupuestal y contractual, adicionalmente al artículo 272 de la Constitución Política, establece que las Contralorías Departamentales deben ejercer entre otras funciones: • Exigir informes sobre su gestión fiscal a los servidores públicos del orden departamental, municipal. • Establecer las responsabilidades que deriven de la gestión fiscal. • Promover ante las autoridades competentes las investigaciones penales o
Boletín Balance - Facultad contaduría
disciplinarias contra quienes hayan causado perjuicio a los intereses patrimoniales departamentales y municipales. • Participación ciudadana, como parte del control social.
y comunitarias pueden constituir veedurías o juntas con el fin de vigilar la gestión pública, los resultados de la misma y la prestación de los servicios públicos.
Es importante mencionar que la Constitución y la ley facultan a los órganos de control para que vinculen a la comunidad en cuanto a la participación ciudadana que permita vigilar la gestión en los diversos niveles administrativos de las entidades y la generación de información, es por eso que la Contraloría ha implementado una nueva concepción del control ciudadano a lo público, en la cual el ciudadano es actor y partícipe directo en la vigilancia de los recursos públicos y de la gestión pública.
Es una función pública, que ejercen las Contralorías tanto la General de la República, desde el ámbito nacional, como desde lo local por las contralorías distritales, municipales y departamentales para vigilar la gestión fiscal de la administración y de los particulares que manejen fondos y bienes del Estado.
CONTROL FISCAL EN COLOMBIA
Este control se realiza de manera posterior y selectiva, implica no solo un control numérico legal, sino también económico, contable, financiero, físico y jurídico. Dicho control es ejercido por la Contraloría General de la República, las contralorías territoriales y la Auditoría General de la República. Características del control fiscal:
Con el control social se contribuye a la debida gestión de los recursos públicos y es una herramienta de lucha contra la corrupción. Los ciudadanos tiene la posibilidad de fiscalizar los recursos públicos a través del conocimiento, la discusión, el análisis y la verificación de la información, deben tener acceso a la información para ejercer el control social, pueden conocer sobre los presupuestos, el avance en políticas públicas 14 - y contratos, entre otros, lo cual les permite hacer seguimiento y, en el caso de encontrar inconsistencias, tienen la posibilidad de adelantar denuncias sobre lo que se encontró. Los ciudadanos cuentan con tres instrumentos para solicitar y obtener información oficial por parte de las entidades, que son: el Derecho de petición, el Derecho de petición de información y el Derecho de petición de acceso a los documentos públicos. Ahora bien, si el ciudadano encuentra que un servidor o un particular que presta un servicio público no procedieron adecuadamente, cuenta con las herramientas de Queja, Reclamo o Denuncia. En conclusión, la Constitución y la ley establecieron que las organizaciones civiles
• Es una función pública. • Es autónomo e independiente: el control es ejercido de una forma independiente de inspección y de vigilancia administrativa. • Se ejerce en forma posterior: una vez iniciada la actividad en la ejecución de los procesos y procedimientos realizados por los sujetos que van a ser objeto de control. • Se ejerce de forma selectiva: se realiza sobre una muestra representativa correspondiente a los recursos, cuentas y operaciones o a las actividades ejercidas por el sujeto objeto del control. SISTEMAS PARA EL EJERCICIO DEL CONTROL FISCAL Conforme lo establece el Artículo 9 de la Ley 42 de 1993, para el ejercicio del control fiscal, se pueden aplicar los principios de: Legalidad Gestión Resultados Finanzas Revisión de cuentas Rendición de cuentas Control Ambiental Evaluación del Sistema de Control Interno Con respecto a lo anterior se puede mencionar que los sistemas de control están basados en los principios de eficiencia, economía, equidad y la valoración de los costos ambientales, esto con el fin
de que todos los sujetos de control cumplan con su gestión en beneficio de la sociedad. ROL DE LA OFICINA DE CONTROL INTERNO La Constitución de 1991, en su Artículo 209, menciona la importancia que en la administración pública tendrá un Control Interno, el cual será ejercido de acuerdo a la ley, por otra parte, en el Artículo 269, establece que al interior de todas las entidades públicas debe existir un control de primer grado, pues debe propender por asegurar que la gestión institucional de los órganos del Estado, se orienten hacia el adecuado cumplimiento de los fines del mismo, es por ello que: “En las entidades públicas, las autoridades correspondientes están obligadas a diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de control interno, de conformidad con lo que disponga la ley….” (Artículo 269). Conforme a lo anterior, debemos tener claro qué es el Control Interno; según el Artículo 1°, de la Ley 87 de 1993, “Se entiende por Control Interno el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales, vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos.” Los principios del control interno están enfocados en: La igualdad La moralidad La eficiencia La economía La celeridad La imparcialidad La publicidad La valoración de costos ambientales Ahora bien, teniendo claro los que es el Control Interno y sus principios, podemos identificar la naturaleza y el rol de las oficinas de Control Interno, de acuerdo con el artículo 9° de la Ley 87 de 1993, donde se definió la naturaleza de la Oficina de Control Interno, para todas la entidades y organismos de las ramas del poder público en sus diferente niveles, y conforme al artículo 5° de dicha ley en el que: “es uno de los componentes del Sistema de Control Interno, de nivel gerencial o directivo, encargada de evaluar la efi-
ciencia, eficacia y economía de los demás controles y de asesorar a la dirección en la continuidad del proceso administrativo, la revaluación de los planes establecidos y en la introducción de los correctivos necesarios para el cumplimiento de las metas u objetivos previstos…” Es importante establecer que el rol de la Oficina de Control Interno para los diferentes procesos de una entidad, debe ser considerado como un proceso retroalimentador que debe contribuir al mejoramiento continuo en la Administración Pública. Por eso, es necesario que quienes hacen parte del proceso evaluador puedan precisar cuáles son los roles generales que enmarcan la función de dichas oficinas, y en los cuales debe enfocar sus esfuerzos para desarrollar una actividad independiente y objetiva de evaluación y asesoría, que contribuya de manera efectiva al mejoramiento continuo de los procesos de la Administración del Riesgo, Control y Gestión de la Entidad; si tenemos en cuenta que dentro del planteamiento del problema se tiene deficiencia en quienes evalúan los diferentes procesos de las entidades, por desconocimiento e inexperiencia, es por eso, que presentamos las cinco funciones esenciales a car- - 15 go de las Oficinas de Control Interno así: Valoración del riesgo Acompañamiento y asesoría Evaluación y seguimiento Fomento a la cultura de control Relación con entes externos Así mismo, con la Ley 489 de 1998, el artículo 28, busca profundizar en el Sistema Nacional de Control Interno con el objeto de “integrar en forma armónica, dinámica, efectiva, flexible y suficiente, el funcionamiento del control interno de las instituciones públicas, para que, mediante la aplicación de instrumentos idóneos de gerencia,
Boletín Balance - Facultad contaduría
fortalezcan el cumplimiento cabal y oportuno de las funciones del Estado.” En conclusión, lo que se pretende, es que quien haga parte del Sistema de Control Interno, cumpla con los objetivos de la Ley 87 de 1993, que entre otros, es el compromiso de proteger los recursos de la administración, cumplir con los objetivos de la institución, que se realicen y se garanticen las evaluaciones y seguimientos de los diferentes procesos de la entidad, debe definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos de la entidad.
16 -
Igualmente, debe existir permanente interacción y compromiso por parte del máximo directivo o representante legal del nivel central o descentralizado, en los ámbitos nacional y territorial, junto con el jefe de la oficina asesora de control interno para que se pueda asegurar el cumplimiento de la misión de la institución; pero esto, no solo es responsabilidad del representante legal y la alta dirección, también será de los jefes de cada una de las distintas dependencias de las entidades y organismos del Estado. HERRAMIENTAS PARA EL FORTALECI IEN EL I E A E N R L IN ERN I ¿Qué es el Sistema de Control Interno? Conforme lo define la Administración Pública, el Sistema de Control Interno “tiene como propósito fundamental lograr la eficiencia, eficacia y transparencia en el ejercicio de las funciones de las entidades que conforman el Estado colombiano y cualificar a los servidores públicos desarrollando sus competencias con el fin de acercarse al ciudadano y cumplir con los fines constitucionales para los que fueron creadas”. Es así, como el Modelo Estándar de Control Interno – MECI, es una herramienta que tiene
como propósito fundamental servir de instrumento gerencial para el control de la gestión pública, la cual está fundamentada en la cultura del control, y bajo la responsabilidad y compromiso de la alta dirección de las entidades del Estado, para su implementación y fortalecimiento. De un adecuado funcionamiento, se pueden identificar los posibles actos de corrupción en una entidad, pero este no es el objetivo, ya que lo que se propone son elementos de control para todas las entidades del Estado. Para una adecuada implementación de la herramienta, se debe contar con los elementos básicos, como los tres pilares sobre los que se apoya el MECI: autocontrol, autogestión y autorregulación, los cuales siguen siendo las bases para una adecuada aplicación de las herramientas de control. El sistema de Control interno se conforma de dos módulos, seis componentes, trece elementos y un eje que es transversal así: 1. Módulo de control de planeación y gestión Talento humano Acuerdos, compromisos o protocolos éticos Desarrollo del talento humano Direccionamiento estratégico Planes y programas Modelo de operación por procesos Estructura organizacional Indicadores de gestión Políticas de operación Administración del riesgo de los procesos Políticas de administración del riesgo Identificación del riesgo Análisis y valoración del riesgo 2. Módulo de evaluación y seguimiento Autoevaluación institucional Autoevaluación del control y gestión Auditoría interna Planes de mejoramiento 3. Eje transversal: información y comunicación El Sistema de Control Interno y el Control Fiscal Es importante mencionar que de acuerdo a la expedición de la ley para la lucha contra la corrupción, se puede decir que existe una clara distinción entre el Control Interno y el Control Fiscal.
La Ley 1474 de 2012, dictó normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública, donde menciona que los directores de control interno están en la obligación de reportar al Director del Departamento Administrativo de la Presidencia de la República, así como a los Organismos de Control, los posibles actos de corrupción e irregularidades que haya encontrado en el ejercicio de sus funciones. El jefe de la Oficina de Control Interno deberá publicar cada cuatro (4) meses en la página web de la entidad, un informe pormenorizado del estado del Control Interno de la entidad. Los informes de los funcionarios tendrán valor probatorio en los procesos disciplinarios, administrativos, judiciales y fiscales cuando las autoridades pertinentes así lo soliciten. CONCLUSIONES Insistir en dar la importancia del Control Interno, ya que se debe considerar como un tipo de instrumento gerencial, que busca mejorar el desempeño institucional en términos de calidad y eficiencia de la gestión, y que se complementa con el Control Fiscal que ejerce la Contraloría a nivel nacional, departamental y municipal. Es importante que las oficinas de control interno, en la realización de auditorías de su Plan de Auditorías Internas, den prioridad a los procesos a evaluar correspondiente a los procesos de contratación, conforme lo establece el Artículo 65 de la ley 80 de 1993: “…El control previo administrativo de la actividad contractual corresponde a las oficinas de Control Interno.” Por otra parte, el Sistema de Control Interno se debe fortalecer bajo un esquema preventivo y no debe tomarse como evaluación de control fiscal, ya que, lo que se busca es minimizar el riesgo en los diferentes procesos que van a ser evaluados por los entes de control. Que el perfil de los funcionarios de las oficinas de Control Interno, estén acorde a los manuales de funciones de las entidades para dichos cargos, asimismo se debe propender por su desarrollo profesional continuado, con el fin de mantener actualizados los conocimientos, las aptitudes y las competencias necesarias para cumplir con sus responsabilidades, lo cual puede contribuir eficazmente al cumplimiento de las responsabilidades colectivas de las oficinas. Debe existir una articulación entre el control interno y el control fiscal, con ella se logra que exista credibilidad de los informes tanto
internos como externos que presentan las oficinas de control interno y los entes de control. REFERENCIAS Artículo 65, Ley 80 de 1993. Por la cual se expide el Estatuto General de Contratación de la Administración Pública. Cartilla de Administración Pública. (2009). Departamento Administrativo de la función pública. Constitucion Politica de Colombia 1991. Articulos, 209, 267 a 274. Decreto 267 de 2000. Por el cual se dictan normas sobre organzación y funcionamiento de la Contraloria General de la República. Decreto 1537 de 2001. Artículo 4º. Rol de las Oficinas de Control Interno frente a la Administración del Riesgo. Ley 87 de 1993. Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del estado y se dictan otras disposiciones. Ley 42 de 1993. Sobre la organización del sistema de control fiscal financiero y los organismos que lo ejercen. Ley 106 de 1993. Por la cual se dictan normas sobre organización y funcionamiento de la Contraloría General de la República, se establece su estructura orgánica, se determina la organización y funcionamiento de la Auditoría Externa. Ley 134 de 1993. Por la cual se dictan normas cobre mecanismos de participación. Ley 489 de 1998. Sistema nacional de control interno. Artículos 27 a 29. Ley 272 de 2000. Por el cual se determina la organización y funcionamiento de la Auditoría General de la República. Resolución Orgánica No. 5775 del 31 de agosto de 2006. Por la cual se sectorizan los sujetos de control fiscal y se asigna la competencia para la vigilancia de su gestión fiscal a las Contralorías Delegadas Sectoriales.
Boletín Balance - Facultad contaduría
- 17
INVESTIGACIÓN CONSIDERACIONES DE TÉCNICAS PARA EL TRATAMIENTO DE LA EVIDENCIA DIGITAL Y LA EVIDENCIA DE AUDITORÍA MSC. JAIRO ANDRÉS CASANOVA CAICEDO Docente Especialización Auditoría de Sistemas. Universidad Antonio Nariño – Sede Virtual
RESUMEN La legislación colombiana ha venido madurando respecto a la admisibilidad legal de la evidencia digital frente a situaciones de fraude informático. En Colombia el Código Penal expedido en la Ley 599 de 2000 hace referencia a los delitos informáticos; sin embargo, el concepto de delito informático o crimen informático (cyber crimen o cyber terrorismo) puede tener connotaciones muy diferentes dependiendo de la interpretación a la ley de cada país, lo que a su vez puede convertirse en una paradoja materia de seguridad informática.
18 -
En un proceso penal, la validez jurídica de una prueba se constituye en un elemento de juicio como parte del acervo probatorio ante un jurado o ante un juez, sin embargo, la connotación de prueba válida debe cumplir con unos requerimientos mínimos tales como: autenticidad, precisión y suficiencia. Además, las pruebas deben cumplir con un procedimiento válido de levantamiento y/o tratamiento, lo que se conoce como cadena de custodia segura. La cadena de custodia debe garantiza que la prueba no ha violado los principios de autenticidad, precisión y suficiencia mencionados anteriormente. No existe un procedimiento estándar, ni técnicas para el tratamiento de la evidencia digital (procedimiento forense), que soporten las investigaciones legales. Dado que no existen investigaciones iguales, no es posible definir un procedimiento único para adelantar un análisis en Informática forense. La evidencia de auditoría tiene connotaciones de evidencia digital. Como se verá en este artículo, el tratamiento de la evidencia digital está alineado al tratamiento de la evidencia de auditoría. Palabras clave: Evidencia digital, evidencia de auditoría, IT Security, computo forense.
INTRODUCCIÓN La legislación colombiana cuenta con la Ley 527 de 1999, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación entre otras disposiciones. La ley 527 tiene equivalentes en otras legislaciones internacionales tales como en España el Real Decreto 14 de 1999, en Perú con la ley 27269 de 2000, por mencionar algunos casos en países hispanoamericanos. Esta leyes se basan en la “ley de comercio electrónico” y la “ley modelo de firma electrónica” de la comisión de la Naciones Unidas para el derecho mercantil internacional (CNUDMI) promulgadas en 1996 y 2001 respectivamente, las cuales tienen el fin de garantizar uniformidad en los conceptos y un desarrollo homogéneo de la normatividad a nivel global. La evolución de la “www” llevó consigo el amplio despliegue de tecnologías en materia de seguridad informática con el fin de garantizar transacciones seguras en la web. Estas leyes en realidad no están atadas a una tecnología en particular, simplemente se apoyan en conceptos y estándares existentes y maduros, como administración de claves públicas o asimétricas (PKI) y la administración de llaves simétricas para definir una estructura general de cómo la norma se debe aplicar. Mensajes de datos definición de la CNUDMI: “Información generada, enviada, recibida, archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser entre otros, el intercambio electrónico de datos EDI, el correo electrónico, el telegrama, el télex y el telefax”. El mensaje de datos implica elementos físicos o inmateriales que llevan información, que se puede interpretar entre un origen y un destino. Esta definición aplicó a los canales tradicionales de comunicación como la radio, la TV, la voz, el teléfono, el telegrama, las cartas, los documentos en papel, etc.,, sin embargo, con el advenimiento del comercio electrónico, los registros electrónicos toman fuerza por cuanto se constituyen en los soportes de una transacción comercial. Por tanto, el registro electrónico se constituye como una evidencia que tiene equivalencia a los medios tradicionales, tales como las facturas, los pagarés, las promesas de compra, etc. Requerimientos legales de la evidencia digital En el caso Colombiano, la Ley 527 de 1999, reglamenta la admisibilidad y fuerza probatoria de los mensajes de datos, e indica los criterios para valorar probatoriamente un mensaje de datos.
Ley 527. ART. 10. Admisibilidad y fuerza probatoria de los mensajes de datos. “Los mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección tercera, Libro segundo del Código de Procedimiento Civil. En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original”. Ley 527. ART. 11. Criterio para valorar probatoriamente un mensaje de datos. “Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente, habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor - 19 pertinente”. Es decir, para que en Colombia un mensaje de datos tenga valor probatorio debe asegurarse: la confiabilidad en la forma en la que se generó; la confiabilidad en la forma en la que se conservó; y, la confiabilidad en la forma en la que se identifica al autor. Además, la Corte Constitucional en la Sentencia No. C-662 de junio 8 de 2000, consideró: “El proyecto de ley establece que los mensajes de datos se deben considerar como medios de prueba, equiparando los mensajes de datos a los otros medios de prueba originalmente escritos en papel. Al hacer referencia a la definición de docuBoletín Balance - Facultad contaduría
mentos del Código de Procedimiento Civil, le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el sistema telemático con el sistema manual o documentario, encontrándose en igualdad de condiciones en un litigio o discusión jurídica, teniendo en cuenta para su valoración algunos criterios como: confiabilidad, integridad de la información e identificación del autor”. DEFINICIÓN DEL PROBLEMA Es necesario definir una metodología lo suficientemente robusta para el tratamiento de la evidencia digital, que esté respaldada por el apoyo científico e investigativo. De esta manera, la academia aportaría a la rama judicial los mecanismos necesarios y suficientes para el tratamiento del acervo probatorio. La metodología propuesta, debe cumplir con todos los protocolos que permitan homologar el análisis y tratamiento de la evidencia digital con su interpretación en el lenguaje jurídico. Como primera medida, la evidencia digital requiere un riguroso proceso de levantamiento o captura, identificación, extracción, 20 - análisis, documentación y preparación de la evidencia relacionada con el caso. Capturar es el primer paso y este se constituye en una parte clave del proceso. Si se comente un error en este punto es posible no obtener un resultado exitoso. Una vez la evidencia se captura, la preservación de la misma es igualmente elemento vital dentro de un proceso, puesto que la cadena de custodia debe garantizar la veracidad de la evidencia. Caracterización de la solución Una investigación cyberforensics exitosa requiere el apoyo de tecnologías adecuadas, ya sea en hardware y software y el conocimiento del marco legal que involucra la investigación del caso. Además, la acade-
mia investigativa se constituye en una fuente confiable como perito experto por su estatus y naturaleza imparcial e investigativa. Es de aclarar, que esta ciencia, es más que la investigación de fraudes, ya que la metodología requiere de conocimientos y fuerte experiencia en asuntos como: - Adquisición de la evidencia digital sin alterarla o dañar el original. - Preservación y aseguramiento de la evidencia. - Análisis de la evidencia digital tomando una copia del original – imagen. - Análisis de la evidencia digital sin modificarla. - Preparación de resultados. - Conclusiones del perito experto. La evidencia de la auditoría La información que soporta la evidencia del auditor, tiene características de evidencia digital por tener consistencia de prueba ante una corte o en un proceso civil. Las características de la evidencia de auditoría están fundamentadas en la suficiencia, relevancia y competencia de los papeles de trabajo del auditor, que hoy en su mayoría son documentos electrónicos. La confiabilidad de la evidencia del auditor estará enmarcada en los siguientes principios: - Independencia = acceso a la fuente que provee la evidencia. - Objetividad de la evidencia = interpretación de la evidencia. - Tiempo de disponibilidad de la evidencia = cuánto tiempo hay que mantenerla y para quién debe estar disponible. - Integridad de la data. - No debe ser contaminada. - Exactitud de la información. Todas la evidencias del auditor están soportadas en papeles de trabajo que han venido evolucionando de papeles físicos a papeles electrónicos, y es así como la evidencia de auditoría cada vez toma más fuerza como evidencia electrónica, con total validez de acervo probatorio ante una corte; sin embargo, para que la evidencia electrónica de auditoría tenga el mismo valor probatorio que la evidencia física, debe tener en cuenta los siguientes elementos: No repudio = el papel de trabajo debe ser preparado y revisado por que dice ser. No debe ser suplantado de manera electrónica. El papel de trabajo de auditoría no debe ser modificable ni modificado una vez esté cerrado.
Los papeles de trabajo electrónico requieren una traza (log) para casos de modificación, cuando están en proceso de elaboración de los mismos y para consulta, cuando están cerrados. El papel de trabajo electrónico de auditoría, debe ser confidencial y debe estar protegido de manera segura en el sitio donde se custodie. El papel de trabajo debe permitir amarrarse con otros papeles y marcas o referencias cruzadas. Los papeles de trabajo electrónicos deben permitir adjuntar soportes y evidencias, que permitan determinar la fuente de donde fue recibida la información. Todos los papales de trabajo deben ser plenamente auditables, por parte de un perito experto, como parte de un proceso de cómputo forense, si se llegase a requerir, ya sea por parte de una corte o estamento judicial. Todas las condiciones de la evidencia electrónica de los papeles de auditoría, se deben fortalecer con la combinación de las siguientes herramientas: - Herramientas de cifrado de datos con algoritmos seguros, que garanticen que los papales sean cifrados y mantengan las condiciones de información confidencial de los mismos. - Certificados digitales, que garanticen que los documentos no han sido modificados y que eviten el riesgo de no repudio. - Configuración y custodia segura de los logs o trazas, todos los logs se constituyen en evidencia que los documentos han sido debidamente tratados y custodiados. Los logs deben ser inalterables, almacenados y sincronizados con la hora legal, que para el caso particular corresponde a la hora legal de la Superintendencia de Industria y Comercio.
Cada elemento de seguridad permitirá salvaguardar la evidencia digital y permitirá darle la validez por parte de un perito, al momento de presentarla ante un juez. De lo contrario, si se demuestra que la evidencia pudo ser contaminada, modificada o alterada, el juez dará por desechada la prueba y la evidencia de auditoría puede no tener ningún efecto probatorio, implicando responsabilidad civil y consecuencias legales para el auditor. REFERENCIAS Cano J. (2009), Computación Forensics. Ed Alfaomega. ISBN 978-958-682767-6 Cano J. (2010), Peritaje informático y la evidencia digital en Colombia. Editorial Universidad de los Andes. ISBN 978-958-695-492-1 Herrerías J, Gómez R, (2010), Log Analysis towards an Automated Forensic. Diagnosis System. 978-07695-3965-2/10 © INSTITUTO DE AUDITORES INTERNOS. Marco internacional para la práctica profesional de la auditoría Interna. ISBN 978-958-99195-2-1 Lin, Zhitang, Cuixia, (2009), Automated Analysis of Multi-source Logs for Network Forensics. 978-07695-3557-9/09 © Nisimblat N. (2010), El manejo de la prueba electrónica en el proceso civil colombiano. Universidad de los Andes. ISS 1909-7786
CONCLUSIONES La información que soporta la evidencia de auditoría cada vez más tiende a convertirse en evidencia digital, es así como el archivo de auditoría se ha convertido en un repositorio electrónico, donde reposan papeles de trabajo electrónicos, soportes y desarrollo de planes de auditoría, entre otros. En razón, a que la evidencia del auditor tiene validez de acervo probatorio ante una corte, es necesario, que las prácticas de elaboración, protección y custodia de dichos repositorios, cumpla con condiciones técnicas de seguridad apropiadas, como por ejemplo; ciframiento, logs de acceso, firmados digitales o certificados digitales, etc. Boletín Balance - Facultad contaduría
- 21
ROL DEL AUDITOR DE SISTEMAS EN LA INFORMÁTICA FORENSE ING. LUZ EDILSA ORTIZ LÓPEZ Candidata a Especialista en Auditoría de Sistemas. Universidad Antonio Nariño
RESUMEN La tecnología de la información ha cambiado la manera en la que actualmente las empresas operan, debido a las ventajas que proporciona para compartir y procesar información y difundir con rapidez su imagen corporativa. Sin embargo, las empresas se hacen vulnerables a innumerables delitos informáticos; es por ello, que es necesario reconocer al auditor de sistemas no solo como perito informático, en su papel de profesional experto para intervenir en un proceso judicial, sino que también debe ser reconocido en las organizaciones como un experto en informática forense que reúna pruebas, las analice y emita un juicio, para prevenir, detectar y determinar complejos esquemas de delito y acciones premeditadas que puedan afectarlas. Palabras clave: Derecho informático, audi22 - toría forense, delito informático, tecnología de la información. INTRODUCCIÓN En la actualidad conocemos la auditoría de sistemas como el análisis y evaluación de normas, procedimientos, procesos para determinar las vulnerabilidades, debilidades y fortalezas con que cuenta el aspecto o área informática a auditar, esta con el paso del tiempo y los avances tecnológicos ha ido cobrando valor y ampliando su campo de acción. Alonso Tamayo Álzate en su libro Auditoría de sistemas. Una visión práctica, menciona “La auditoría informática debería comprender no solo la evaluación de los equipos de cómputo o de un sistema o procedimiento específico, sino que además
habrá que evaluar los sistemas de información, en general, desde sus entradas, procedimientos, controles, archivos, seguridad, y obtención de información. Ello debe incluir los equipos de cómputo como la herramienta que permite obtener la información adecuada y la organización específica que hará posible el uso de los equipos de cómputo”. (Alzate, 2001) De acuerdo con lo anterior, el propósito de este artículo es reflexionar sobre el papel del Auditor de Sistemas contemporáneo en casos procesales de justicia y como agente que previene a las organizaciones de posibles delitos informáticos. Por ello, se abordarán los conceptos más relevantes sobre derecho informático, informática forense, el rol del auditor de sistemas en la informática forense y la nuevas Normas Internacionales de Auditoría, junto con algunos eventos que han sucedido, en los que intervienen los temas relacionados anteriormente. PROBLEMA DE INVESTIGACIÓN Y MÉTODO Planteamiento del problema En 1950 aún no se hablaba de auditoría de sistemas, puesto que la informática era una herramienta para otros tipos de auditoría como por ejemplo la financiera, y esta se llamó auditoría con el computador. Años más tarde entre 1970 y 1980 pasa de ser la auditoría alrededor del computador a ser la auditoría del computador; se comienza a mencionar la necesidad de auditar las actividades formales de la información, debido a que los procesos se hacían dependientes de los sistemas de información, y porque se descubren intentos de fraude cometidos desde un computador. A partir de 1990, la información pasa a ser uno de los activos principales de la empresa y también representa una ventajosa estrategia de productividad y calidad, es allí donde cobra mayor importancia la Auditoría de sistemas y se empieza a adoptar e implementar en grandes organizaciones que buscan conocer y controlar los recursos informáticos. (Piattini, 2001) Es importante destacar también, los acontecimientos en la línea del tiempo en el que el Derecho y la informática, siendo dos materias distintas, han ido unificándose para ofrecer al mundo contemporáneo mejoras en su calidad de vida. Por una parte, el derecho
estudia las normas que rigen la conducta humana, mientras que la informática, estudia sistemas, procesos, técnicas y herramientas para procesar, almacenar y transmitir información. En la historia, el cruce de estas dos se realiza entre los años 1960 y 1970, cuando la informática era una herramienta que permitía desarrollar aplicaciones para el registro de la información jurídica de la administración pública. Entre los años 1980 y 1990, se utilizó la informática para la recolección y redacción de textos jurídicos. A partir de 1990, hasta la actualidad, la informática hace parte importante de
la justicia, con la utilización del comercio electrónico, firmas digitales y, en general, el uso de las tecnologías de la información, debido al surgimiento de los delitos informáticos. (Higueras, 2002) Hoy en día, en cuanto a estas dos disciplinas, se conoce el término de informática forense, que es la encargada de estudiar evidencias digitales en un proceso judicial.
Evolución de la auditoría forense, diseñada por la autora del artículo
Entonces, ¿Qué función cumple el auditor de sistemas en la cambiante pero transformadora ciencia de la informática forense? METODOLOGÍA Y TIPO DE INVESTIGACIÓN En este artículo se aplicó la investigación documental, en la que se llevó a cabo la selección y recopilación de documentación y revisión bibliográfica para ahondar en el tema de investigación, conocer el estado actual y los aspectos a investigar; dentro de esta revisión se incluyeron libros, artículos, tesis y leyes, que luego fueron unificados de acuerdo con el tema; se evaluó la información recopilada para verificar la pertinencia con respecto a la finalidad del artículo. RESULTADOS DE LA INVESTIGACIÓN Para comprender mejor el tema, es necesario empezar por conocer los conceptos básicos a tratar. El derecho informático es un conjunto de normas, aplicaciones, procesos y relaciones jurídicas resultantes de la utilización de la tecnología y la informática, en cualquier actividad realizada por el hombre. De tal manera que, el derecho informático viene a ser la base legislativa en la que el Auditor de sistemas se debe mover en cuanto a la realización de buenas prácticas con respecto a temas como firmas y comercio electró-
nico, gobierno electrónico y transparencia, delitos informáticos y la e-justicia o aplicación de las TICS a los sistemas judiciales. Es por ello, que las Naciones Unidas, junto con la United Nations Conference on Trade and Development (UNCTAD) (Naciones - 23 Unidas, 2010), implantaron algunas Model Laws o temáticas para que todos los países tengan una referencia o analogía a normativas estándar. La informática forense es la ciencia que se encargada de recopilar, preservar y analizar la información digital contenida en dispositivos digitales, servidores, bases de datos, y en general, en sistemas de información (Cano, 2011), y presentar un informe sobre los resultados de dicho estudio. De acuerdo con lo anterior, hay una relación estrecha entre derecho informático e informática forense, puesto que se complementan y con la implementación de Boletín Balance - Facultad contaduría
tecnologías de la información, se vuelven dependientes uno del otro, convirtiéndose casi que en una sola disciplina. Los objetivos de la informática forense son: - La compensación de los daños causados por los criminales o intrusos. - La persecución y procesamiento judicial de los criminales. - La creación y aplicación de medidas para prevenir casos similares. Para lograr los anteriores objetivos se debe contar con una excelente recolección de evidencia digital. La ciencia forense facilita las herramientas, técnicas y métodos sistemáticos que pueden ser usados para analizar una evidencia digital y usar dicha evidencia para reconstruir lo ocurrido en la realización del crimen con el último propósito de relacionar al autor, a la víctima y la escena del crimen (Zuccardi, 2006). De acuerdo con lo anterior, la ciencia forense permite identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal. 24 - “La evidencia digital es un dato en el que se puede determinar que se ha realizado un crimen y debe mostrar la relación entre su víctima y su autor” (Casey, 2004), esta evidencia digital, a diferencia de una documental, tiene la desventaja de ser frágil debido a que se puede realizar copias no autorizadas de archivos, sin dejar rastro de esto. Para realizar el estudio de estas evidencias se deben utilizar Checksums o hash MDS para crear copias idénticas del disco sospechoso sin alterar su tamaño o información. Al ocurrir un crimen los autores habitualmente intentan manipular y afectar la evidencia digital, como por ejemplo, tratar de borrar cualquier indicio. En este caso, es necesario que la evidencia tenga las siguientes características:
Debe ser duplicada exactamente a la original. Actualmente existen herramientas para determinar si la evidencia digital ha sido alterada. Es muy difícil de ser eliminada. Si el rastro es borrado, puede haber una copia en otro lugar o puede ser recuperada por medio de software especializado. La evidencia digital se clasifica en registros generados por computador. Estos son generados como resultado de una aplicación instalada en el computador, son por lo general, inalterables por otra persona, se conocen también como registro de eventos de seguridad (logs). Registros no generados sino simplemente almacenados por o en computadores. Los genera una persona y se almacenan en un computador, lo principal de estos archivos para que sean una evidencia, es demostrar la identidad del generador. Registros híbridos que incluyen registros generados por computador y almacenados en los mismos. Son la combinación de logs y archivos generados por personas. (Cano, 2005) En la actualidad, existen leyes, reglamentos y normativas que indican que es necesario que las organizaciones cuenten con profesionales que realicen auditoría a las tecnologías de información implementadas, con el fin de recopilar evidencias digitales, detectar vulnerabilidades de seguridad, y que ejecuten pruebas utilizando herramientas asistidas por computador. La Universidad Nacional de Colombia, sede Manizales, en el módulo 5 de la Especialización de Auditoría de Sistemas menciona: “En las normas internacionales de auditoría emitidas por IFAC (International Federation of Accountonts) en la NIA (Norma Internacional de Auditoría o International Standard Auditing, ISA) 15 y 16, se contempla la necesidad de utilizar otras técnicas además de las manuales como la Técnica de Auditoría por Computadora (TAAC). Norma ISA 401, sobre Sistemas de Información por Computadora. SAS N° 94 (The Effect of Information Technology on the Auditor´s Consideration of Internal Control in a Financial Statement audit) dice que en una organización que usa tecnologías de Información (IT), se puede ver afectada positivamente en uno de los siguientes cinco componentes del control interno; el ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitoreo, además de la forma en que se inicializan, registran, procesan y reportan las transacciones. Como por ejemplo, ante la imposibilidad de realizar pruebas manuales, debido a que dependen de un proceso complejo, que implica grandes cantidades de datos.
La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAAT) o Téecnicas de Auditoría Asistidas por Computador (TAAC), plantea la importancia del uso de los TAAC en auditorías en un entorno de sistemas de información por computadora (SAP 1009). Esta norma define las TAAC como aplicaciones que se utilizan en parte de los procedimientos de auditoría para procesar información significativa en un sistema de información, como es el caso de procedimientos de identificación de inconsistencias, configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos, pruebas de control en aplicaciones, etc. (Universidad Nacional de Colombia) ROL DEL AUDITOR DE SISTEMAS EN LA INFORMÁTICA FORENSE En la actualidad, las organizaciones operan bajo la utilización de tecnologías de la información, esto hace que sea necesario tener estructuras informáticas seguras, de tal manera que brinden protección y garanticen el desarrollo y productividad en las actividades, de acuerdo con su finalidad. La auditoría forense informática, proporciona la manera de salvaguardar la información y protegerla de los delitos informáticos, esto se logra por medio de la recopilación y análisis de las acciones que se realizan premeditadamente, reuniendo la mayor cantidad de evidencias digitales; utilizando herramientas, técnicas y personal capacitado para detectar y prevenir los eventos delictivos que atentan contra la privacidad y el buen uso de la información en el entorno tecnológico en que se desenvuelve. En este contexto el auditor de sistemas en la informática forense tiene campo de acción como Perito Forense, también llamado Auditor Forense. El Perito Forense reconstruye los sucesos, tras ocurrido un evento delictivo, este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. Basado en esta información investiga, analiza en forma exhaustiva, evalúa, interpreta, y con base en ello, emite su opinión ante un proceso judicial y persuade a jueces y jurados acerca de la información sobre la cual pesa una presunción del delito. Es por ello que, la informática forense se convierte en una herramienta primordial de la justicia moderna, para detectar a los delincuentes informáticos, y como garante en los procesos judiciales en los que interviene la evidencia digital; en ésta se aplican conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, para dar apoyo a los procesos
judiciales, para que, de esta manera, se puedan esclarecer los incidentes, fraudes o usos indebidos. Por otra parte el Auditor Forense, es contratado por una empresa con el fin de verificar, recopilar y analizar evidencias digitales del sistema de información computacional que maneja y los recursos informáticos que están vinculados a él, de tal manera que se puedan detectar vulneraciones. La importancia de realizar auditoría forense se ve claramente definida en las siguientes actividades que contiene: - Ayudan a las organizaciones a detectar y combatir los delitos cometidos en las tecnologías de la información. - El Auditor Forense debe detectar errores, irregularidades o actos ilícitos que atenten contra la organización; debe tener profundo conocimiento en las leyes del país donde se realiza la auditoría; la naturaleza y alcance de la auditoría, se ven afectados por esta legislación, por ejemplo debe conocer la penalización en caso de delito. - Se apoya en herramientas y normas legales para el hallazgo y evaluación de los posibles infractores, en el uso - 25 de internet, acceso remoto, accesos a sitios no autorizados, aplicaciones que contaminan o desencadenan desastres tecnológicos y, en general, cualquier actividad no autorizada a la información. - Debe entregar un informe final sobre los resultados de la auditoría, la base de su juicio profesional, recomendaciones con sustento legal y técnico, detallando las acciones pertinentes y el tiempo para cada una, con el propósito de salvaguardar la información. Previo a esta presentación formal, se deben someter a discusión y consideración de los responsables de las áreas involucradas para asegurar que Boletín Balance - Facultad contaduría
las evidencias y las conclusiones sean sólidas, se pueda dar pertinencia a las recomendaciones y la objetividad del informe de la auditoría anterior en caso de haberla. - Al presentarse el caso que en la auditoría se determinan indicios de presuntas irregularidades o delitos informáticos con responsabilidad civil, penal o administrativa, el auditor debe identificar el riesgo y efecto sobre las operaciones del área auditada, luego debe informar al directivo encargado, a las autoridades de la entidad, con el propósito de adoptar medidas correctivas y se dispongan las demás acciones a que haya lugar. Si la auditoría es externa el auditor debe indicar al organismo de control responsable. Ahora bien, es necesario hablar de las técnicas de auditoría, estas son utilizadas por el auditor para investigar y probar que las actividades y procesos auditados cumplen con los estándares, normas y políticas adoptadas por la empresa; a partir de ellas, el auditor emite su opinión profesional. En la auditoría forense o peritaje forense, se utilizan herramientas de análisis forense 26 - que permiten extraer evidencias digitales las cuales son utilizadas como evidencia de auditoría, esta evidencia puede ser encontrada en la información almacenada en log´s de actividad de los sistemas informáticos y log’s de actividad de aplicaciones informáticas que se ejecutan en cada servidor y en cada equipo de cómputo; estos se pueden catalogar como evidencia de autoría debido a que es competente y suficiente puesto que tiene las siguientes características: - Autenticidad, quiere decir que la evidencia fue obtenida en la escena del acontecimiento sin alterar los medios originales.
- Confiabilidad, la evidencia obtenida proviene de una fuente verificable y creíble. - Relevancia, es base firme para que el auditor pueda llegar a una conclusión respecto a los objetivos de la auditoría. - Verificabilidad, que la evidencia obtenida proviene de una fuente verificable y creíble; es decir, asegurar que los registros y log´s del sistema del equipo utilizado para la recolección de la evidencia estén sincronizados y puedan ser verificados e identificados, y se pueda crear una línea de tiempo. - Neutralidad, la evidencia debe estar libre de prejuicios, sin intereses especiales. El Auditor de Sistemas utiliza ésta evidencia de acuerdo al requerimiento que se le realice, este puede ser para probar, es decir, probática, o para conocer e indagar, que se conoce como investigativa. La diferencia entre las dos, es el tratamiento que se le da a la evidencia. La función del Auditor de Sistemas en el ámbito forense en la actualidad, se basa en la experiencia y está relacionada al campo de acción a estudiar y el resultado que se requiere de él, este puede ser en procesos judiciales o en el ámbito empresarial. Como se explica a continuación: El Auditor de Sistemas como perito es requerido en un proceso judicial, es allí donde debe utilizar la evidencia para probar, allí se deben extremar las precauciones de extracción de la evidencia y su tratamiento para evitar cualquier contaminación o variación. También es importante documentar cada procedimiento para minimizar la posibilidad de repudio. La función del Auditor de Sistemas también es la de investigar, utilizando la metodología de la auditoría y técnicas forenses para evaluar la seguridad informática con que cuenta la organización en cuanto a delitos informáticos, para garantizar su integridad y protección a cualquier intrusión. Sin embargo, en caso de hallar un caso de delito o fraude, el auditor puede actuar como garante de la prueba. EL AUDITOR DE SISTEMAS FORENSE EN EL ÁMBITO EMPRESARIAL En una encuesta realizada (KPMG Colombia, 2013), a 197 directivos de empresas que operan en Colombia para “conocer la incidencia y el impacto que tienen los crímenes económicos, en sus modalidades de malversación de activos, fraude financiero, corrupción y cibercrimen,”, titulado como Encuesta de fraude en Colombia 2013, solamente el 28% de las empresas cuentan con
administración de riesgos de fraude, 6% no están informadas sobre el tema, y 71% no cuentan con este tipo de precauciones (Ver imagen). En complemento con lo anterior, la incidencia de crímenes económicos en las empresas colombianas es de 69%, de este porcentaje el 70% es fraude interno (realizados por personal de la empresa) y el 30% es fraude externo (ejecutados por personas ajenas a la empresa).
Empresas que cuentan con administración de riesgos de fraude.
Por consiguiente, es de vital importancia para las organizaciones contar con un equipo de auditoría de sistemas, para que éste realice un estudio entre lo que se tiene y lo que se desea y comunique las variaciones, detecte las vulnerabilidades y riesgos para llegar a establecer controles, de tal manera, que el sistema de información cuente con la efectividad que la organización necesita para cumplir con sus objetivos. El Auditor de Sistemas, en su preparación, debe incluir conocimientos sobre este tema, puesto que en una organización es muy importante cuidar uno de los activos más valiosos, la información. En la actualidad las organizaciones deben buscar el crecimiento sostenido y posicionamiento en el mercado, es por ello, que utilizan nuevas tecnologías, y junto con la implementación de ellas también crece la amenaza de ser víctimas de un delito informático. Teniendo en cuenta que los delitos informáticos en la mayoría de los casos se detectan después de ocurridos, es necesario que el Auditor de Sistemas, pueda prevenir las posibles actividades ilíci-
tas que puedan realizarse en el sistema de información desde dentro o fuera, basado - 27 en las evidencias digitales, y de esta manera, la organización pueda tomar decisiones con base en una información oportuna y confiable. El Auditor de Sistemas debe planear y ejecutar un programa para la gestión de riesgos de delitos informáticos, en el que debe tener en cuenta recursos tecnológicos, humanos y conocimientos basados en la experiencia, con el propósito de minimizar los riesgos a los que se encuentra expuesto. La gestión de riesgos debe cumplir con la finalidad de mitigar los riesgos, a través de controles que garanticen la seguridad de los activos de la empresa en un evento de frauBoletín Balance - Facultad contaduría
de, robo o cualquier otra forma de conductas inapropiadas, y que a su vez, permitan detectar a tiempo estos eventos antes de que ocurran. De acuerdo con lo anterior, la función de Auditor de Sistemas en el ámbito forense se hace basada en lo expuesto en la siguiente imagen. Y se explica a continuación: Detecta: para ello debe realizar una evaluación de riesgos y conductas irregulares, partiendo del reconocimiento del entorno y contexto en que se desenvuelve la organización. Junto con esto, aumentar la percepción de la amenaza que representan las actividades ilícitas en los sistemas de información como alterar, borrar, robar, manipular, enajenar información confidencial de la empresa. Identificar: por medio de un análisis forense minucioso del flujo de la información de la empresa, en los diferentes enfoques como las redes de datos, bases de datos, comportamiento de las aplicaciones dentro y fuera (Nube). Basado en la evidencia digital: proveer y dar recomendaciones que lleven a la organización a establecer controles efectivos para mitigar las amenazas que trae implícita la 28 - utilización de la tecnología de la información; y brindar el seguimiento en cuanto a la forma de aplicar las recomendaciones dadas. (KPMG Colombia, 2013) Todas las empresas están expuestas a una eventualidad de delito informático interno o externo, pero este se puede mitigar cuando se detecta, se identifica y se toman decisiones con la finalidad de establecer, supervisar y monitorear controles, su correcta aplicación y ejecución. De esta manera, el auditor de sistemas previene a la organización que tenga graves consecuencias como una pérdida económica, cancelar planes de expansión del negocio, pérdida de la información confidencial, extorsión o chantaje, mala reputación o daño de ima-
Funciones del auditor en la informática forense, diseñado por la autora del artículo.
gen corporativa, piratería de activos de la compañía, demandas laborales o comerciales, e incurrir en multas y sanciones. Partiendo de la premisa que la auditoría de sistemas debe tener como fin evaluar la forma como se realiza la gestión del riesgo (identificación, análisis, evaluación y tratamiento de los riesgos), debemos entender entonces que la función del Auditor de Sistemas puede tener diferentes alcances de acuerdo con el rol que desempeñe: Asesor: su función es asesorar procesos para reducir riesgos y dar a conocer recomendaciones y sugerencias en cuanto a la gestión del riesgo y evaluación de los controles. Consultor: este orienta, acompaña y aconseja sobre la manera de implementar estrategias y sistemas que garanticen la seguridad de la información y la forma como reacciona cada una de sus partes (procesos y personal) ante un eventual ataque delictivo interno o externo. Orientar hacia la correcta gestión del riesgo, en este caso, en cuanto a delitos informáticos. Evaluador: conoce las auditorías realizadas anteriormente en la empresa y evalúa las actividades y pruebas realizadas; evalúa el desempeño de los controles establecidos en auditorías pasadas. Coaching forense: desde la sólida formación y experiencia profesional observa cómo se llevan los procesos y los dispositivos tecnológicos utilizados, así aumenta la percepción y mejora la actuación ante posibles ataques, determina objetivos en el grupo de trabajo, actúa y motiva hacia buenas prácticas basadas en estándares o modelos de calidad. (Rojas, 2014) CONCLUSIONES En los últimos años se ha hecho muy importante contar con un Auditor Forense que cumpla con la función de prevenir, detectar y de-
terminar complejos delitos informáticos que se realizan en las organizaciones; para esto, el auditor se basa en el levantamiento de evidencias digitales, utilizando técnicas avanzadas de investigación, que abarcan todos los recursos de tecnología de la información, los procesos que están involucrados en el área a auditar o que interactúan con ella.
Debido a que la informática forense es una ciencia relativamente nueva, es necesario profundizar en este tema y orientar a los auditores en el conocimiento de las metodologías, procedimientos y técnicas de investigación que esta requiere, de tal manera que la auditoría forense sea un aspecto a tener en cuenta en la temática de formación del auditor, en razón a que la tecnología es una herramienta importante dentro de las distintas profesiones, e igualmente en cualquier tipo de entidad sea cual sea su labor.
Anteriormente se pensaba que la función del Auditor de Sistemas en el campo forense solamente se relacionaba con el rol de perito, que se desempeña analizando evidencias digitales para determinar si existen eventos relacionados con delitos informáticos, presuntos autores, cómplices y encubridores, y ponerlos a disposición de la justicia que se encarga de analizar, juzgar y dar la sentencia respectiva.
REFERENCIAS
Actualmente, el alcance de la función del auditor forense tiene un amplio espectro de funciones dependiendo del rol que el auditor desempeñe en la organización, sin embargo, debe cumplir con funciones básicas, como detectar, identificar y recomendar buenas prácticas para el manejo de tecnologías informáticas seguras ante eventuales delitos informáticos. La auditoría forense trae muchos beneficios a las organizaciones, como la detección oportuna, seguimiento y respuesta de hallazgos encontrados de un acto delictivo, que en la mayoría de los casos son ocasionados por parte de integrantes de la misma empresa. Por otra parte, también han sido de ayuda para resarcir el daño ocasionado por un delito informático que se haya realizado. En cuanto a la experiencia del auditor, debe tener amplios conocimientos sobre el análisis e investigación de la evidencia, debe estar certificado por una entidad competente en el área, y debe tener la habilidad de identificar el rastro del delito, por su propia intuición y experiencia en los eventos delictivos.
Altmark, D. R. (1987). Informática y Derecho. Vol I. Buenos Aires. Depalma. Alzate, A. T. (2001). Auditoría de sistemas una visión práctica. Manizales: Universidad Nacional de Colombia. Cano Martínez Jeimy José, M. G. (2005). Evidencia digital: contexto, situación e implicaciones nacionales. Bogotá D.C. Universidad de los Andes. Cano, D. (2011). Contra el fraude: Prevención e Investigación en América Latina. Buenos Aires. Ediciones Granica S.A. Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Maryland: ELSEVIER. Higueras, G. F. (2002). Código de derecho informático y de las Nuevas Tecnologías. Madrid. Civitas. KPMG Colombia. (2013). Encuesta del fraude en Colombia 2013. Obtenido de Forensic Services: http://www.kpmg.com/CO/es/IssuesAndInsights/ArticlesPublications/Documents/Encuesta%20de%20Fraude%20en%20Colombia%20 2013.pdf Martínez Villalba, J. (2002). La Pretendida Autonomía del Derecho Informático. Revista de derecho informatico. Naciones Unidas. (Marzo de 2010). Panorama del derecho informático en América Latina y Caribe. Obtenido de http://www.cepal.org/ddpe/publicaciones/ xml/8/38898/w302.pdf Rojas, J. (2014). Importancia y los roles del auditor de sistemas en las empresas de Colombia. Bogotá: Monografía para optar al título de Especialista en Auditoría de Sistemas. Piattini, M., E. d. (2001). Auditoría informática un enfoque práctico. Bogotá: ALFA Y OMEGA. Universidad Nacional de Colombia, S. M. (s.f.). Auditoría de Sistemas. Obtenido de Modulo 5: http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035b/ und_5/html/normas.html Zuccardi, G. (2006). Informática Forense.
Boletín Balance - Facultad contaduría
- 29
EVENTOS ACADÉMICOS SEDE PASTO Encuentro Ecológico "UAN LIBRE" La UAN, sede Pasto, propende por la formación integral de sus estudiantes para que contribuyan a mejorar el medio donde viven, es por ello que, a través del proyecto de aula “MI APORTE AL PLANETA EN LA UAN” los estudiantes de TERCER SEMESTRE DE CONTADURÍA PÚBLICA, lideraron una campaña buscando generar conciencia ambiental en la comunidad educativa, sobre cómo dar buen uso a las botellas plásticas construyendo ladrillos ecológicos y, de esta manera, ayudar a mitigar en parte, la problemática ambiental. Los estudiantes de Contaduría Pública de la UAN Sede Pasto dicen “Sabemos que no vamos a salvar el mundo, pero con pequeñas acciones podemos evitar efectos a futuro, contribuyendo así a un desarrollo sostenible y los eco-ladrillos son una idea creativa que va a generar un beneficio tanto ecológico como económico a todos nosotros,” invitando a toda la comunidad educativa a participar.
“REUTILIZAR UN PRODUCTO QUE NO SEA BIODEGRA DABLE ES UNO DE LOS PRINCIPIOS PARA REDUCIR LA 30 -
HUELLA ECOLÓGICA” El pasado 25 de abril, en el homenaje al Día de la Tierra, se realizó un encuentro Institucional con la participación de todos los estamentos de la UAN sede Pasto, para culminar la campaña ambiental donde se recolectaron botellas PET y eco-ladrillos, que serán utilizados en el proyecto CONSTRUCCIÓN DEL JARDÍN AMBIENTAL “UAN LIBRE” PARA LA RETROALIMENTACIÓN DEL MEDIO AMBIENTE Y CONVIVENCIA SOCIAL EN LA UAN SEDE PASTO”, proyecto de aula que realizan los estudiantes de contaduría pública en el área de ecología con su docente MGE. Carmen Helena Arturo Rodríguez. En el evento se socializó el proyecto ecológico, se presentaron videos de conciencia ambiental, se premió a los estudiantes que tuvieron mayor participación, y al curso que más botellas PET recolectó.
La campaña ambiental “UAN LIBRE”, centró sus esfuerzos en que la comunidad educativa de la sede Pasto tome conciencia de lo que significa el problema de la basura en el ambiente, promoviendo el reciclaje de botellas PET, enseñando cómo hacer buen uso de ellas y qué tipo de residuos pueden ir dentro de las mismas para elaborar eco-ladrillos .
OR I RRA
A
A O A A A AA
O
I A A A I A A I R
A O OR
AR
A
A
SEDE DUITAMA
Seminario Internacional de Actualización Contable Fecha 29 de mayo de 2014 Conferencistas Invitados: Dr. Pedro Luis Bohórquez - Contador General de la Nación Dr. Jesús Martínez - Agregado Comercial de la Embajada de Venezuela en Colombia Dr. Enrique Sandino Vargas - Decano Nacional de Contaduría Pública
A
G
G
G R
Boletín Balance - Facultad contaduría
- 31
Diplomado en Normas Internacionales de Información Financiera UAN-UNAM-ALAFEC Fecha del 10 de octubre AL 13 DE Diciembre de 2014. Dictado por docentes Mexicanos que vinieron a compartir su experiencia de más de diez años en la implementación de NIIF, con el fin de facilitar a la comunidad contable asumir este reto. En el Diplomado participaron estudiantes de último semestre de las sedes Bogotá, Duitama y Tunja, Docentes y Contadores de la Región. Resultado de este proceso cada uno de los estudiantes participantes escribió un artículo relacionado con los temas desarrollados en el diplomado, los cuales se relacionan a continuación.
32 En esta imagen aparecen los estudiantes de Contaduría Pública, de las Sedes de Bogotá, Duitama y Tunja, que realizaron el diplomado en NIIF que se desarrolló en la Sede Duitama, durante el segundo semestre de 2014
SEDE SANTA MARTA - Diplomado en Gestión de la Investigación e Innovación, a cargo de la Vicerrectoría de Ciencia, Tecnología, Investigación e Innovación (VCTII). Conferencia al Colegio de la Policía Nacional, - Nuestra Señora de Fátima, sobre la “Investigación en la escuela”.
unI V
erS I dad antonI o
narI Ñ
o
- Charla informativa acerca de investigación para futuras visitas a los coordinadores de la sede. - Charla a los estudiantes de los programas de Contaduría Pública, Comercio Internacional y Administración de Empresas, acerca de las pruebas saber.
SEDE BOGOTÁ
XIII Congreso Colombiano de Contaduría Pública Noviembre 13 y 14 de 2014
XIII Encuentro Nacional de Estudiantes de Contaduría Pública 2014 22 de noviembre de 2014
Participaron las docentes investigadoras Diana María Ayala y Diana Figueroa del Grupo de Investigación Consultorio Contable, con la Ponencia: Las instituciones privadas de educación superior: Las fallas del mercado y la importancia de la información transparente hacia la sociedad. Reflexión a propósito de convergencia a NIIF.
En este evento nuestra estudiante de la Sede Bogotá JENNI MILENA CASTILLO CORONEL, se presentó con la ponencia “El Contador Público y su nueva perspectiva profesional” en la Uniagustiana. Semillero EXDINCON – Sede Bogotá.
- 33
A
Boletín Balance - Facultad contaduría
“Novena Jornada de Sensibilización y Socialización UAN” Realizada en la “Fundación Eterna Juventud” Mayo 24 de 2014 Al igual que todas las jornadas de Sensibilización y Socialización UAN, ésta también fue todo un éxito, gracias a la acogida que se ha tenido por parte de los alumnos y adicionalmente por parte de egresados y profesores de la Universidad. Se logró llevar recreación, alegría, entrega, música, y lo más importante compromiso social a muchas personas.
34 - La UNAM otorga reconocimiento a la Universidad Antonio Nariño El pasado 25 de noviembre de 2014, una delegación de la UNAM le otorgó un reconocimiento a la UAN por la labor desarrollada en la gestión y apoyo en el proceso de la difusión de las Normas Internacionales de Información Financiera NIIF. En el acto estuvieron presentes en representación de la UNAM, el Dr. Juan Alberto Adam Siade Director de la Facultad de Contaduría y Administración, Dr. Eric Manuel Rivera, jefe de la división de educación continua y por la UAN, la Dra. Marta Losada, Rectora y Dr. Enrique Sandino Vargas decano de la Facultad de Contaduría Pública.
En esta imagen aparece el Dr. Enrique Sandino Vargas decano de la Facultad de Contaduría Pública UAN y Dr. Juan Alberto Adam Siade Dir. Facultad de Contaduría y Administración de la UNAM
unI V
erS I dad antonI o
narI Ñ
o
En esta imagen aparece la Dra. Marta Losada Rectora de la UAN y el Dr. Eric Manuel Rivera, jefe de la división de educación continua de la UNAM
NUESTRA FACULTAD EN IMÁGENES
EN ESTE NÚMERO LE HACEMOS HOMENAJE A LA PROMOCIÓN DE CONTADORES 2012-I
www.uan.edu.co