SO

1. CLASE No. 3

2. CONTROL INTERNO Y
AUDITORIA INFORMÁTICA

3. Los efectos de la incorporación a nuestra Sociedad en un principio de la
informática. posteriormente de la Telemática y en la actualidad de lo que se
viene denominando Nuevas Tecnologías de la Información y las
Comunicaciones, han transformado ésta y el futuro que se vislumbra es que
el cambio ha de ser aún mayor.
INTRODUCCIÓN

4. Estas nuevas tecnologías han incidido en el Derecho desde dos perspectivas:
1. Contemplar estas nuevas tecnología, como una herramienta del operador
jurídico de forma parecida a como ayudan a otros profesionales: arquitectos,
médicos, etc., lo que da lugar a la Informática Jurídica.
2. Estudiar y analizar estas nuevas tecnologías como un objeto más del
Derecho, lo que hace emerger una rama nueva del mismo: el Derecho
Informático o Derecho de las Nuevas Tecnologías de la Información y la
Comunicaciones.
INTRODUCCIÓN

5. La Informática Jurídica la podemos contemplar desde tres categorías diferentes:
1. La Informática Jurídica de Gestión que se presenta como un eficiente instrumento en la
tramitación de los procedimientos judiciales, en la administración de los despachos de abogados,
procuradores, notarías, etc.
2. La Informática Jurídica Documental que es la utilización de la Informática para facilitar el
almacenamiento de enormes volúmenes de datos Jurisprudencia y Doctrina, con el fin de
permitir posteriormente el acceso a la misma de una forma fácil, rápida y segura.
3. La Informática Jurídica Decisional. por último, es la utilización de la Informática como un
instrumento para ayudar a la toma de decisiones. Tal es el caso de los jueces ante las
sentencias. Está basada, principalmente, a técnicas de la denominada "inteligencia artificial'* con
el empleo de sistema expertos y herramientas similares.
INTRODUCCIÓN

6. El auditor informático, si quiere realizar bien la labor y a la vez evitar situaciones
desagradables y un tanto peligrosas, está obligado a conocer esta rama, pues es la
que regula el objeto de su trabajo.
Desconocer las normas que regulan la protección de los datos personales, la piratería
de los programas de computador, obligaciones contractuales, los delitos informáticos,
las responsabilidades civiles y penales en que puede incurrir puede tener
consecuencias graves si, así como es fácil que ocurra, dichas circunstancias se
prevenían en el entorno en que trabaja.
La información ha sido un bien valioso en todas las ¿pocas, pero en ninguna había
alcanzado la importancia que tiene en el momento actual
INTRODUCCIÓN

7. 1* Se trata de un bien que no se agota con el consumo.
2* Es un bien que puede ser utilizado por numerosas personas a la vez.
3* Es la base del desarrollo de la nueva sociedad.
4* Es el vehículo que circula por las autopistas de la información.
Para DA VARA RODRÍGUEZ: “la información es un bien que tiene unas características
determinadas y determinantes, no cabe duda, un bien económico, pero diferentes a los
demás bienes económicos existentes en un mercado tradicional”
Justifica lo anterior en las siguientes afirmaciones:
INTRODUCCIÓN

8. LA PROTECCIÓN OE DATOS DE CARÁCTER PERSONAL
En el articulo 18.4 de la constitución política emplaza al legislador a limitar el uso de la
informática para garantizar el honor, la intimidad personal y familiar de sus ciudadanos y
el legítimo ejercicio de sus derechos.
Este mandato constitucional fue la promulgación de la Ley Orgánica 5/I992 de 29 de
octubre de Regulación del Tratamiento Automatizado de los Datos de carácter personal
(LORTAD ).
Se trata de una ley de las que en el Derecho Comparado se vienen denominando leyes
de protección de datos, aunque en realidad su objeto no sea la protección de tos datos
sino la protección de la intimidad y la privacidad de las personas titulares de esos datos.

9. Ley se hace una interesante distinción entre lo que el legislador entiende por intimidad y
por privacidad.
La Ley Orgánica 15/1999. de 13 de enero (LOPD) de Protección de Datos de Carácter
Personal, deroga la LORTAD. Tanto la LORTAD como la LOPD se inspira en los siguientes
principios:
 Principio de pertinencia (art. 4.1). Los datos deben ser pertinentes, es decir estar
relacionados con el fin perseguido al crearse el archivo.
 Principio d e utilización abusiva (art. 4.2). Los datos recogidos no deben ser
utilizados para otro fin distinto a aquel para el que fueron recabados.
 Principio de exactitud (art. 4 J y 4.4). El responsable del archivo debe poner los
medios necesarios para comprobar la exactitud de los datos registrados y asegurar su
puesta al día.
LA PROTECCIÓN OE DATOS DE CARÁCTER PERSONAL

10. Principio de derecho al olvido (art. 4.5). Los datos deberán desaparecer de archivo una vez se haya
cumplido el fin para el que fueron recatados.
Principio del consentimiento (art. 6). El tratamiento automatizado de los datos requerirá el
consentimiento del afectado, salvo que la ley disponga otra cosa, contemplándose algunas excepciones
y teniendo el carácter de revocable.
Principio de los datos especialmente protegido (art. 7). Se debe garantizar de forma especial el
tratamiento automatizado de los datos de carácter personal cuando ellos se refieran a ideología,
afiliación sindical, religión o creencias del afectado, así como los referentes a su origen racial, salud,
vida sexual o a la comisión de infracciones penales o administrativas.
LA PROTECCIÓN OE DATOS DE CARÁCTER PERSONAL

11. Principio de seguridad (art. 9). El responsable deberá adoptar las medidas necesarias de índole
física, organizativa o lógica con objeto de poder garantizar la seguridad de los datos de los archivos.
Principio de acceso individual (art. 14). Cualquier persona tendrá derecho a Saber si sus datos
son tratados de forma automatizada y a tener una copia de los mismos. En el caso de que éstos
sean inexactos o se hubiesen conseguido de forma ilegal tiene derecho a que sean corregidos o
destruidos.
Principio de publicidad (art. 38). Es preciso que exista un archivo público en el que figuren los
diseños de los archivos de datos de carácter personal, tanto los de titularidad pública como privada.
LA PROTECCIÓN OE DATOS DE CARÁCTER PERSONAL

12. De estos principios se derivan los siguientes derechos:
 derecho de oposición (art. 30).
 derecho de impugnación de valoraciones (art. 13).
 derecho de consulta al Registro General de Protección de Datos (art. 14).
 derecho de acceso (art. 15).
 derecho de rectificación y cancelación (art. 16).
 derecho de tutela (art. 18) y derecho de indemnización (art. 19).
Como órgano garante de estos derechos en la Ley figura la Agencia de Protección de Datos,
ente de derecho público con personalidad jurídica propia y plena capacidad publica y privada que
actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.
LA PROTECCIÓN OE DATOS DE CARÁCTER PERSONAL

13. LA PROTECCIÓN JURÍDICA DE LOS PROGRAMAS DE
COMPUTADOR
1. Un programa de computador se lo puede considerar como un conjunto de métodos
para la solución de un problema de una forma automatizada.
2. Un programa de computador es un bien inmaterial y en función de ello debemos
procurar su protección jurídica.
Un bien inmaterial es:
 Fruto o creación de la mente.
 Para que se haga perceptible para el mundo exterior es necesario plasmarlo en un
soporte.
 Puede ser disfrutado simultáneamente por una pluralidad de personas.

14. 4. La protección de los programas de computador se puede realizar utilizando las
siguientes instituciones jurídicas:
 secreto comercial
 derecho de patentes
 derecho de marcas
 derecho de autor.
5. EL derecho de autor tiene un alcance muy amplio siendo el más utilizado, por
considerarlo el más idóneo
LA PROTECCIÓN JURÍDICA DE LOS PROGRAMAS DE
COMPUTADOR

15. La protección de los programas de computador está regulada en el Texto de la Ley de la
Propiedad Intelectual (a partir de ahora TRFI).
El articulo 10 del TRPI al referirse al objeto de la propiedad intelectual dice:
"Son objeto de propiedad intelectual todas las creaciones originales literarias, artísticas o
científicas expresadas por cualquier medio o soparle tangible o intangible, actualmente
conocido o que se invente en el futuro y al enumerar las obras comprendidas incluye entre
ellas los programas de computador”.
LA PROTECCIÓN JURÍDICA DE LOS PROGRAMAS DE
COMPUTADOR

16. El autor por el solo hecho de crear una obra tiene una serie de derechos, que se dividen en:
morales y patrimoniales o de explotación.
 Los derechos morales, enumerados en el artículo 14. son irrenunciables e inalienables.
 Por contra los derechos patrimoniales o de explotación pueden ser transferidos libremente.
Las infracciones del derecho de autor pueden ser perseguidas por la vía civil y la vía penal.
LA PROTECCIÓN JURÍDICA DE LOS PROGRAMAS DE
COMPUTADOR

18. Las Bases de Datos y Multimedia
 Una base de datos es una colección de datos donde existe
información útil para muchos usuarios y diferentes
aplicaciones, y que permite la recuperación de los datos
necesarios para la resolución de un problema planteado.
 El contenido de una base de datos puede estar integrada por:
textos, gráficos, sonidos, imágenes, etc.

19.  El lenguaje informático denomina media al uso de las diferentes clases de
archivos que se pueden utilizar en un sistema:
1. Archivos de texto
2. Archivos Gráficos
3. Archivos de sonido
4. Archivos de imágenes fijas
5. Archivos de imágenes en movimiento
Estos archivos se pueden combinar lo que permite producir creaciones
multimedia.
Las Bases de Datos y Multimedia

20.  Entre las obras multimedia encontramos:
1. Videojuegos
2. Educación y entretenimiento
3. Revistas
4. Publicidad
5. Simuladores
Las obras multimedia son producto de un equipo, se trata de obras colectivas y su
titularidad suele tenerla una persona jurídica.
Las bases de datos y las obras multimedia estan protegidas por los derechos de autor.
Las Bases de Datos y Multimedia

21. LOS DELITOS INFORMÁTICOS
 Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud.
 La definición de delito puede ser más compleja. Muchos estudiosos del Derecho Penal
han intentado formular una noción de delito que sirviese para todos los tiempos y en todos
los países.
 Esto no ha sido posible dada la íntima conexión que existe entre la vida social y la jurídica
de cada pueblo y cada siglo.

22.  Según el ilustre penalista CUELLO CALÓN los elementos del delito son:
1. El delito es un acto humano, es una acción.
2. Dicho acto humano ha de ser antijurídico.
3. Debe corresponder a un tipo legal, definido por la ley, ha de ser un acto típico.
4. El acto ha de ser culpable, imputable a culpa.
5. La ejecución u omisión del acto debe estar sancionada con una pena.
LOS DELITOS INFORMÁTICOS

23.  Contemplando el delito informático, en un sentido amplio se pueden formar
varios grandes grupo:
1. Delitos contra la intimidad: se sanciona si los datos se difunden, revelan
o ceden, así mismo a quien sabiendo el origen ilícito de los mismos los
difunde, revela o cede, también si el responsable del archivo es quien
comete el delito, la condición de autoridad o funcionario público se sanciona
dada la situación de privilegio en que actúa.
LOS DELITOS INFORMÁTICOS

24. El hecho de que quien cometa el delito sea el encargado o el responsable del archivo agrava la pena.
Existen unas circunstancias agravantes que se dan en función de:
a) El carácter de los datos: ideología, religión, creencias, salud, origen racial y vida sexual.
b) Las circunstancias de la víctima: menor de edad o incapaz.
 El hecho de que se persiga un fin lucrativo igualmente eleva la pena
 La condición de autoridad o funcionario público agrava las penas dada la situación de privilegio en
que actúa
LOS DELITOS INFORMÁTICOS

25. 2. Delitos contra el patrimonio: entre los delitos contra el patrimonio se encuentran la estafa
informática, las defraudaciones, los daños informáticos y la propiedad intelectual.
 Estafas Informáticas: La estafa se puede definir como el perjuicio patrimonial realizado con
ánimo de lucro mediante engaño.
El engaño es elemento necesario de este delito. Consiste en aprovecharse del error
provocado o mantenido por el agente en la persona engañada.
 Defraudaciones (art. 256) Se considera defraudación el uso, sin consentimiento de su
titular, de cualquier equipo terminal de telecomunicación.
LOS DELITOS INFORMÁTICOS

26.  Daños informáticos (art. 264.2): Según el articulo 264.2 se sanciona "al que por cualquier medio
destruya, altere. inutilice o de cualquier otro modo dañe los datos, programas o documentos
electrónicos ajenos contenidos en redes, sopones o sistemas informáticos. Entre esas situaciones
se pueden incluir tos famosos virus informáticos, bombas logicas y hacker.
LOS DELITOS INFORMÁTICOS
 Delitos de falsedades
La la falsificación de los documentos públicos oficiales y mercantiles y de los despachos
transmitidos por los servicios de telecomunicación.

27.  Propiedad intelectual (art*. 270, 271 y 272) los delitos relativos a la propiedad intelectual e industrial, al
mercado y a los consumidores se contemplan en el Capítulo IX.
La misma pena se impondrá a quien intencionadamente importe, exporte o almacene ejemplares de
dichas obras o producciones o ejecuciones sin la referida.
Es interesante advertir que no sólo se sanciona la fabricación o puesta en circuición, sino la simple
tenencia de un dispositivo
Se elevan las penas si el beneficio obtenido es cuantioso o el daño causado es grave, y además se
inhabilita al autor del delito para el ejercicio de la profesión relacionada con el delito cometido (art. 271).
LOS DELITOS INFORMÁTICOS

28. Los Contratos Informáticos
 EL contrato informático es aquel cuyo objetivo es un bien o servicio informático.
Se dividen en:
1. Contratación del hardware.
2. Contratación del software.
3. Contratación de datos.
4. Contratación de servicios.
5. Contratos complejos.

29. 1. Contratación del Hardware: El objeto de la contratación en esta clase de contratos es el hardware,
ósea, la pira física del computador y de sus equipos auxiliares.
Los contratos más usuales son:
 compraventa
 arrendamiento
 arrendamiento financiero
 Mantenimiento
2. Contratación del Software: los contratos más corrientes son los siguientes:
 desarrollo del software
 licencia de uso
 adaptación de un software producto
 mantenimiento
 garantía de acceso al código fuente
Los Contratos Informáticos

30. 1. Desarrollo de software: Se trata del caso en que una persona física, un colectivo o una empresa
crean un software específico, a medida para otro. El tipo de contrato puede ser:
• arrendamiento de servicios o de obra
• mercantil o laboral.
2. Licencia de uso: Es el contrato en virtud del cual el titular de los derechos de explotación de un
programa de computador autoriza a otro a utilizar el programa, conservando el cedente la propiedad
del mismo.
3. Adaptación de un software producto
Se trata de la contratación de una licencia de uso de un producto estándar que habrá que adaptar a
las necesidades del usuario.
Los Contratos Informáticos

31. 4. Mantenimiento
El contrato de mantenimiento, en principio, tiene por objeto corregir cualquier error detectado en los
programas fuera del periodo de garantía. Se consideran varios tipos de mantenimiento:
 correctivo
 de adaptación
 perfectivo
 preventivo.
5. Garantía de acceso a l código fuente:
Es aquel que tiene por objeto garantizar al usuario el acceso a un programa fuente en el caso de que
desaparezca la empresa titular de los derechos de propiedad intelectual.
Consiste en el depósito del programa fuente en un fedatario público, que lo custodia, por si en el
futuro es preciso acceder al mismo.
Los Contratos Informáticos

32. 3. Contratación de datos
El valor de la información aumenta cada día. La comercialización de las bases de datos es ya muy
importante, y la apertura de esas autopistas de la información, de las que tanto se escribe, hace crecer
exponencialmente ese mercado.
Los principales contratos son los siguientes:
 distribución de la información
 suministro de información
 compra
 cesión
 compra de etiquetas
Los Contratos Informáticos

33. 1. Distribución de la información
Consiste en le comercialización de la base de datos, durante un cierto período de tiempo a cambio de un
precio, lo que origina la obligación por parte del titular de DB a aportar la información.
2. Suministro de información
Mediante este contrato el usuario puede acceder, siempre que lo precise, a las bases de datos del
distribuidor.
3. Compra
Es contrato por el que el titular propietario de una base de datos vende a otro una copia de ésta con la
posibilidad de que el adquirente, a su vez, pueda no sólo usarla, sino mezclarla con otras propias.
Los Contratos Informáticos

34. 4. Cesión:
Es un caso parecido al anterior salvo que sólo se permite el uso por el cesionario de la base sin que se
le permita la transmisión posterior.
5. Compra de etiquetas:
En este caso no se permite al comprador la reproducción de las etiquetas y sí su empleo para envíos
por correo.
Los Contratos Informáticos

35. 4. Contratación de servicios:
Los contratos de servicios informáticos más importantes son los siguientes:
- Consultaría informática.
- Auditoria informática.
- Formación.
- Seguridad informática.
- Contratación de personal informática.
- Instalación. - Comunicaciones.
- Seguros.
- Responsabilidad civil
Los Contratos Informáticos

36. 5. Contratos complejos
Los contratos complejos son aquellos que contemplan los sistemas informaticos como un todo
incorporando al objeto del mismo, tanto el hardware como el software y algunos servicios determinados.
Los mas usuales son los siguientes:
 Contratación global o parcial servicios informáticos (outsourcing)
Se trata de la subcontratackSn de lodo o de parte del trabajo informático
 Contrato de respaldo (back-up)
asegurar el mantenimiento de la actividad empresarial en el caso de que circunstancias
previstas pero inevitables impidan que siga funcionando el sistema informático.
Los Contratos Informáticos

37.  Contrato de llave en mano (turn-key-package)
el proveedor se compromete a entregar el sistema creado donde el cliente le indique y asume
la responsabilidad total de diseño, realización, pruebas, integración y adaptación al enlomo
informático del cítenle uro lógico como físico.
 Contrato de suministro de energía informática
suministrador poseedor de una unidad central que permite el acceso al sistema de
información a cambio de un precio ".
Los Contratos Informáticos

38. El Intercambio Electrónico de datos
 De la necesidad de comunicarse con mayor rapidez y seguridad nace el Intecambio Electrónico
de datos EDI (Electronic Data Interchange), que es un sistema informático que permite
transacciones comerciales y administrativas directas a través del computador.
 Un sistema de este tipo debe cumplir tres requisitos:
1. El intercambio se ha de realizar por medios electrónicos
2. EL formato tiene que estar formalizado
3. La conexión ha de ser de computador a computador.
Los derechos y obligaciones se plasman en los contratos de intercambio de información, y el contrato
con las compañías de comunicaciones

39. Las razones que se pueden emplear para la implantación del EDI son:
- Precisión.
- Velocidad.
- Ahorro.
- Beneficios tangibles.
- Satisfacción del diente.
El Intercambio Electrónico de datos

40. La transferencia electrónica de
fondos
 Es la que se ejecuta de forma inmediata y simultáneamente a la orden dada por el titular
de la cuenta bancaria por medio de un sistema electrónico.
 Existen cuatro tipos principales:
1. Transferencia de entidades financieras
2. Transferencia entre otras organizaciones y las entidades financieras
3. El usuario colabora y mediante el uso de las tarjetas de plástico y los cajeros automáticos
obtiene una serie de servicios bancarios.
4. Se potencia el sistema con terminales en los puntos de venta y el banco en casa.

41. La contratación electrónica
 Se puede entender como contratación electrónica a todo intercambio
electrónico de datos o documentos cuyo objeto sea la contratación.
 Los problemas que se pueden presentar en la contratación son: identidad de
los contratantes, extensión o no de este tipo de contratación a todos los
contratos, ¿Cuándo y dónde se concluye el contrato?, autenticación, factor
tiempo y confidencialidad.
 Los avances tecnológicos y la adaptación del Derecho a estas nuevas
situaciones deben superar los obstáculos que la generalización de una forma
de contratación presenta.

42. El documento electrónico
 El documento es donde se representan las ideas con letras u otros signos, por lo tanto no
siempre será en papel, sino que puede ser otro objeto o materia, de todo ello podemos decir
que el documento electrónico pertenece a la categoría de los documentos en sentido jurídico.
 En el documento se encuentra la representación de un hecho y la firma.

43. La firma digital debe ser secreta, fácil de producir, y reconocer, y difícil
de falsificar.
 El Fedatario electrónico debe ser capaz de verificar la autenticidad de los
documentos que circulan por las redes de telecomunicaciones.
El documento electrónico

44. Riesgos para la
información
• Existen dos palabras muy importantes que son riesgo y seguridad:
• Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y
producir numerosas pérdidas para las empresas.
• Seguridad: Es una forma de protección contra los riesgos
• Los riesgos mas perjudiciales son a las tecnologías de información y comunicaciones.

45. Riesgos para la
información
• Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del
hombre, de las organizaciones y de los sistema tecnológicos que permitan resguardar y proteger la
información buscando mantener la confidencialidad, la autenticidad y Integridad de la misma.
• El concepto de seguridad de la información no debe ser confundido con el de seguridad informática,
ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar
información en diferentes medios o formas.

46. Riesgos para la
información
• Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a
su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.
• El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de
la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial.

47. Riesgos para la
información
• Importancia de la Información
Se suele pasar por alto la base que hace posible la existencia de los anteriores elementos. Esta base es
la información .
• La información:
• Esta almacenada y procesada en computadoras.
• Puede ser confidencial para algunas personas o a escala institucional
• Puede ser mal utilizada o divulgada.
• Puede estar sujeta a robos, sabotaje o fraudes.

48. Riesgos para
la información
En la actualidad gracias a la infinidad de posibilidades que se tiene para tener acceso a los
recursos de manera remota y al gran incremento en las conexiones a la internet los delitos
en el ámbito de TI se han visto incrementado, bajo estas circunstancias los riesgos
informáticos son más latentes.
• Fraudes.
• Falsificación.
• Venta de información.
• Destrucción de la información.

49. Riesgos para la
información
Principales atacantes:
• HACKER
• CRACKER
• LAMMER
• COPYHACKER

50. • BUCANEROS
• PHREAKER
• NEWBIE
• SCRIPT KIDDIE (“Skid kiddie”)
Riesgos para la
información

51. El manejo de riesgos dentro de
la seguridad en la información
• Evitar.
No se permite ningún tipo de exposición. Esto se logra simplemente con no comprometerse a
realizar la acción que origine el riesgo. Esta técnica tiene más desventajas que ventajas, ya que la
empresa podría abstenerse de aprovechar muchas oportunidades.
• Reducir.
Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa
puede ser su reducción hasta el nivel más bajo posible. Esta opción es la más económica y
sencilla. Se consigue optimizando los procedimientos ,la implementación controles y su monitoreo
constante.

52. • Retener, Asumir o Aceptar el riesgo.
• Aceptar las consecuencias de la ocurrencia del evento.
• Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la
existencia del riesgo y el acuerdo de asumir las perdidas involucradas, esta decisión se da por
falta de alternativas.
• La retención involuntaria se da cuando el riesgo es retenido inconscientemente.
• Transferir.
• Es buscar un respaldo y compartir el riego con otros controles o entidades. Esta técnica se usa ya
sea para eliminar un riegos de un lugar y transferirlo a otro, ó para minimizar el mismo,
compartiéndolo con otras entidades.
El manejo de riesgos dentro de
la seguridad en la información

53. RIESGOS EN EL CENTRO
DE CÓMPUTO
• Factores físicos.
• Factores ambientales
• Factores humanos

54. Factores físicos.
• Cableado.
• La iluminación
• El aire de renovación o ventilación
• Las fuentes de alimentación.
RIESGOS EN EL CENTRO
DE CÓMPUTO

55. Factores ambientales
• Incendios.
• Inundaciones.
• Sismos.
• Humedad.
RIESGOS EN EL CENTRO
DE CÓMPUTO

56. Factores humanos
• Robos.
• Actos vandálicos.
• Actos vandálicos contra el sistema de red
• Fraude.
• Sabotaje.
• Terrorismo.
RIESGOS EN EL CENTRO
DE CÓMPUTO

57. RIESGO, EVIDENCIA Y
PRUEBAS SUSTANTIVAS

58. Riesgo
Es la probabilidad de que suceda un evento, impacto o
consecuencia adversos. Se entiende también como la
medida de la posibilidad y magnitud de los impactos
adversos, siendo la consecuencia del peligro, y está
en relación con la frecuencia con que se presente el
evento.

59. Evidencia.
El auditor obtendrá certeza suficiente y
apropiada a través
comprobaciones de procedimientos
la
de la ejecución de sus
para
permitirle emitir las conclusiones sobre las que
fundamentara su opinión acerca del estado del
sistema de Informático.

60. La fiabilidad de la evidencia está en relación
con la fuente de la que se obtenga interna y
externa, y con su naturaleza, es decir, visual,
documental y oral.
Evidencia.

61. La Evidencia es la base razonable de la opinión del
auditor informático, es decir, el informe de Auditoria
Informática.
Evidencia.

62. Puntos para evaluar la fiabilidad de la
evidencia
1.La evidencia externa es más fiable que la interna.
2.La evidencia interna es más fiable cuando los controles internos relacionados con ellos son
satisfactorios.
3.La evidencia obtenida por el propio auditor es más fiable que la obtenida por la empresa.
4.La evidencia en forma de documentos y manifestaciones escritas es más fiable que la procedente
de declaraciones orales.
5.El auditor puede ver aumentada su seguridad como la evidencia obtenida de diferentes fuentes.
6.Debe existir una razonable relación entre el costo de obtener una evidencia y la utilidad de la
información que suministra.

63. La Evidencia tiene una serie de calificativos a saber:
La Evidencia Relevante, que tiene una relación lógica con los
objetivos de la auditoria.
Puntos para evaluar la fiabilidad de la
evidencia

64. La Evidencia Fiable, que es valida y objetiva aunque, con nivel de confianza.
La Evidencia Suficiente, que es de tipo cuantitativo para soportar la opinión profesional del
auditor.
La Evidencia Adecuada, que es de tipo cualitativo para afectar las conclusiones del auditor.
Puntos para evaluar la fiabilidad de la
evidencia

65. Métodos para la evidencia
de auditoría:
Inspección: consiste en la revisión de la coherencia y concordancia de los registros, así
como en el examen de los documentos y activos tangibles.
La observación: consiste en ver la ejecución de un proceso o procedimiento efectuado
por otros.

66. Las preguntas: obtienen información apropiada de las personas de dentro y fuera de la
entidad.
Las confirmaciones: mediante ellas se obtiene corroboración, normalmente por
escrito, de una información contenida en los registros
Métodos para la evidencia
de auditoría:

67. Los cálculos: comprueban la exactitud
aritmética de los registros y de los cálculos y
análisis realizados por la entidad o en la
realización de cálculos independientes.
En principio, las pruebas son de cumplimiento
o sustantivas.
Métodos para la evidencia
de auditoría:

68. CONTROL INTERNO Y AUDITORÍA INFORMÁTICA

69. • El grado de fortaleza del Control Interno determinará si existe seguridad
razonable de las operaciones, actividades y procedimientos informáticos
y si son confiables o no.
Control Interno

70. Control Interno
Control Interno como cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un
sistema para conseguir sus objetivos. (Auditoría Informática -
Un Enfoque Práctico - Mario G. Plattini)

71. Se define el Control Interno como “Las
normas, los procedimientos, las
organizativas diseñadas
estructuras
proporcionar seguridad razonable de que
prácticas y las
para
los
objetivos de la empresa se alcanzarán y que los
eventos no deseados se preverán, se detectarán y se
corregirán.
Control Interno

72. LAS FUNCIONES DEL CONTROL
INTERNO Y AUDITORIA INFORMÁTICA
El Control Interno Informático o CII controla diariamente que todas las actividades de sistemas
de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por
la dirección de la organización y/o la dirección informática, así como los requerimientos legales.
La función del CII es asegurarse de que las medidas que se obtienen de los mecanismos
implantados por cada responsable sean correctas y válidas.
El CII suele ser un órgano staff de la dirección del departamento de informática y está dotado
de las personas y recursos materiales proporcionados a los objetivos que se le encomienden.

73. Como principales objetivos podemos
indicar los siguientes:
 Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar
subondad y asegurarse del cumplimiento de las normas legales.
 Asesorarsobre el conocimiento de las normas.
 Colaborar y apoyar el trabajo de auditoria informática, así como de las auditorias externasal grupo.
 Definir,implantar y ejecutar mecanismos ycontroles para comprobar el logro de los
grados adecuados del servicio informático.
La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente
los objetivos de la organización y utiliza eficientemente losrecursos.

74. En el ambiente informático, el control interno se materializa fundamentalmente
en controles de dos tipos:
• Controles manuales: aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.
• Controles Automáticos: son generalmente los incorporados en el software, llámense estos
de operación, de comunicación, de gestión de base de datos, programas de aplicación,
etc.
Como principales objetivos podemos
indicar los siguientes:

75. Componentes
del Control
Interno
Entorno de
control
Evaluación de
los Riesgos
Actividades
de control
Información y
Comunicación
Supervisión
Componentes del Control Interno

76. Actividades de Control
Son las políticas y procedimientos que ayudan a
asegurar que se toman las medidas para limitar los
riesgos que pueden afectar que se alcancen los
objetivos organizacionales.

77. Información y Comunicación
Se debe identificar, ordenar y comunicar en forma oportuna la
información necesaria para que los empleados puedan cumplir
con sus obligaciones.
La información puede ser operativa o financiera, de origen interno
o externo.
Deben existir adecuados canales de comunicación.
El personal debe ser informado de la importancia de que participe
en el esfuerzo de aplicar el control interno.

78. Supervisión
Debe existir un proceso que compruebe que el sistema de control interno se mantiene en
funcionamiento a través del tiempo.
La misma tiene tareas permanentes y revisiones periodicas.
Estas últimas dependerán en cuanto a su frecuencia de la evaluación de la importancia de
los riesgos en juego.

79. Tipos de control
las actividades
• Controles de existencia.
– Aquellos que aseguran que
organizadas existan y sean validas.
• Controles de exactitud.
– Son los que permiten registrar las actividades y
operaciones por los montos y detalles que reflejan
los documentos.

80. • Controles de autorización
– Están orientados a permitir operaciones y/o
actividades que sean validas desde el punto de
vista interno.
• Controles de custodia
– Sirven para asegurar que los activos valioso
movibles, estén resguardados del riesgo de robo o
perdida.
Tipos de control

81. Control Interno Informático Auditoria Informática
SIMILITUDES
Conocimientos especializados en tecnologías de información.
Verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la dirección informática y la dirección
general para los sistemas de información.
DIFERENCIAS
Análisis de los controles en el día a
día
Análisis de un momento
informático determinado
Informa a la dirección del
departamento de informática
Informa a la dirección general de la
organización
Sólo personal interno Personal interno y/o externo
El enlace de sus funciones
únicamente sobre el
departamento de informática
Tiene cobertura sobre todos los
componentes de los sistemas
de información de la
organización

82. Clasificación:
Controles Preventivos.- Para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
Controles de Detección.- Cuando fallan los preventivos, para tratar de
conocer cuanto antes el evento. Por ejemplo, el registro de intentos de
acceso no autorizados, el registro de la actividad diaria para detectar
errores u omisiones, etc.
Controles Correctivos.- Facilitan la vuelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperación de un fichero dañado
a partir de las copias de seguridad.

83. IMPLANTACIÓN DE UN SISTEMA DE
CONTROLESINTERNOSINFORMÁTICOS
Criterio Básico:
• Los controles pueden implantarse a varios niveles.
• La evaluación de controles de tecnología de la Información exige analizar
diversos elementos interdependientes. Por ello es importante conocer bien la
configuración del sistema, para poder identificar los elementos, productos y
herramientas que existen para saber donde pueden implantarse los
controles, así como para identificar los posibles riesgos.