Balance_4

CONTENIDO:EDITORIAL / REFLEXIONES ACADÉMICAS:El auditor investigador - Cambio integral del modelo contable - Principales problemáticas del sistema de control interno en las entidades distritales del estado colombiano / INVESTIGACIÓN: Consideraciones de técnicas para el tratamiento de la evidencia digital y la evidencia de auditoría - Rol del auditor de sistemas en la informática forense / EVENTOS ACADÉMICOS - Nuestra Facultad en imágenes

Boletín Vol. 4 No. 4ISSN: 2145-0927ISSN digital: 2422-4537

Santa MartaCartagenaQuibdó

Tunja Duitama

Bogotá Villavicencio

Manizales Neiva

Palmira

Pasto

FACULTAD DE CONTADURÍA PÚBLICA

2 -

Estimados lectores:En esta edición, la Facultad de Contaduría Pública presenta los trabajos realizados como parte del desarrollo profesional de sus estudiantes y sus docentes en temas de actualidad y de interés nacional. Esto se ha logrado con el apoyo, la experiencia y el conocimiento de los profesores tanto de pregrado como de las especializaciones, y decide compartir en sus páginas algunos artículos novedosos sobre temas como la Informática Forense; espero que generen en ustedes el interés por conocer y profun-dizar en ellos.

En Colombia la Informática Forense nace como una especialidad que integra todos los componentes necesarios que se re-quieren para que, de una manera objetiva, se pueda identificar, levantar, custodiar y aportar evidencias necesarias para diluci-dar casos que se presentan en cualquier rama del saber que se valga de las TICS para el desarrollo y cumplimiento de sus procesos administrativos y técnicos. Con el nacimiento de la Ingeniería Forense nace otra profesión, se trata dela Auditoría Forense, un tema de gran interés para los profesionales de la Auditoría, y por ende, de la Facultad de Contaduría Pública de la UAN. El vertiginoso avance de las TICS (Tecno-logías de la Información y las comunica-ciones) ha propiciado a su vez el uso, por parte de los delincuentes, de la tecnología para realizar actividades ilícitas y tratar de eludir a las autoridades. Esto ha obligado que las autoridades del Estado (Policía y Fiscalía) deban también especializarse y capacitarse en TICS, usándolas como he-

EDITORIALIng. MARIO F. MAYORGA G. - Ingeniero de Sistemas - Auditor de SistemasCoordinador Académico de la Especialización en Auditoría de SistemasFacultad de Contaduría Pública – UAN

rramientas para la investigación y persecución del delito y el delin-cuente.

La obtención de información (evidencias digitales) es de gran impor-tancia para el logro del éxito en una investigación criminal, aspecto que demanda de los investigadores encargados de la recolección, preservación, análisis y presentación de las evidencias digitales, una eficaz labor que garantice la autenticidad e integridad de dichas evi-dencias, a fin de ser utilizadas posteriormente ante las autoridades judiciales. A su vez, es necesario que existan profesionales que se especialicen en Auditoría Forense para que realicen labores de evaluación y aná-lisis de validez en la forma de obtención, tratamiento y custodia de las evidencias digitales. Jairo Andrés Casanova Caicedo, Ingeniero de Sistemas, Auditor de Sistemas, Tutor Virtual de la Especialización Auditoría de Sistemas plantea un tema de interés: CONSIDERACIONES DE TÉCNICAS PARA EL TRATAMIENTO DE LA EVIDENCIA DIGITAL Y LA EVIDENCIA DE AUDITORÍA, en el que plantea algunas formas sobre cómo tratar la evidencia digital, tema que debemos conocer todos los ciudadanos que, de una u otra forma, tengamos que ver con el uso, operación y evaluación de las TICS.

A su vez la Ingeniera Luz Edilsa Ortiz López, Especialista en Auditoría de Sistemas de la Especialización de Auditoría de Sistemas de la UAN, hace una reflexión del rol de los profesionales de la Auditoría en su desempeño como Auditores Forenses en su tema ROL DEL AUDI-TOR DE SISTEMAS EN LA INFORMÁTICA FORENSE, donde muestra la manera cómo debe afrontar un Auditor su labor, en lo relacionado con la Informática Forense donde uno de los roles del auditor es des-empeñarse como Perito Forense, también llamado Auditor Forense.

Reitero, son temas de actualidad y de importancia que nos llevan a pensar en estos nuevos roles y responsabilidades de los profesiona-les que estamos dedicados a los temas de la Contaduría Pública y la Auditaría. Espero que la lectura de este Boletín sea productiva y apor-te otro grano de arena a sus valiosos conocimientos profesionales.

unI V erS I dad antonI o narI Ñ o

Boletín Balance - Vol. 4 No. 4Enero - Diciembre de 2014ISSN: 2145-0927ISSN digital: 2422-4537

Rectora Marta Losada

Vicerrector Académico Víctor Hugo Prieto

Vicerrector de Ciencia Tecnología e Innovación Carlos Arroyave Posada

Secretaria General Martha Carvalho

Directora Fondo Editorial Lorena Ruiz Serna

Asistente EditorialAna Palomino

Decano Facultad de Contaduría

Directora UDCII y Editora Edel Rocío Lasso Silva

Corrector de Estilo

Diseñador GráficoCésar Bran ImpresiónDisonex

Publicación de la Facultad ContaduríaUniversidad Antonio NariñoCalle 58A No. 37-94Teléfono 221 [email protected]á D.C., Colombia

EDITORIALMario F. Mayorga .

REFLEXIONES ACADÉMICAS

El auditor investigadorC.P. Jenny Alexandra Fuentes Quintero

Cambio integral del modelo contable Mirey Yanira Garzón Pedraza

Principales problemáticas del sistema de control interno en las entidades distritales del estado colombianoC.P. Robert Fuentes Roa

INVESTIGACIÓN

Consideraciones de técnicas para el tratamiento de la evidencia digital y la evidencia de auditoríaJairo Andrés Casanova Caicedo

Rol del auditor de sistemas en la informática forenseLuz Edilsa Ortiz López

EVENTOS ACADÉMICOS

NUESTRA FACULTAD EN IMÁGENES

TABLA DE CONTENIDO

2

4

4

7

11

18

18

22

30

35

Diseño de Portada

César Buitrago Piñeros

n e an no a a

elly Johanna Narváez L.

4 -

REFLEXIONES ACADÉMICAS

EL AUDITOR INVESTIGADOR

C.P. JENNY ALEXANDRA FUENTES QUINTERODocente Facultad Contaduría Pública – Sede Bogotá

La auditoría usualmente hace referencia al examen de información, sin embargo, con el tiempo pasó a ser un programa sistemático que permite la realización de investigación y evaluación de información, con el objetivo de emitir una opinión técnica responsable a un tercero que lo solicita. El objetivo de la auditoría es detectar fallas, donde el auditor realiza las recomendaciones pertinentes para corregir lo en-contrado.

Inicialmente la auditoría se realizaba a nivel financiero, pero con el tiempo se ha visto la necesidad de aplicarla a otras operaciones y actividades de la empresa, tales como: auditoría de gestión, auditoría de cumplimiento, auditoría de control interno, auditoría de sistemas, auditoría económico-social y auditoría ambiental.

El auditor tiene que ser una persona preparada para la labor a la cual se va a enfrentar, porque su misión es no solo informar los resultados obtenidos, sino proponer soluciones cuando lo considere necesario.

De acuerdo con lo anterior, el trabajo del Auditor consiste en: “in-vestigar, revisar, analizar, evaluar, informar, comunicar y recomendar las acciones principales que debe tener en cuenta todo profesional al trabajar en cualquier campo de auditoría”. (Puerres I, 2010)

Boletín Balance - Facultad contaduría

- 5

Para empezar la labor, el Auditor debe tener en cuenta que es necesario una adecuada planeación y supervisión, por eso debe contar con una metodología adecuada para aplicar. El enfoque usual era la utilización de los papeles de trabajo, que constaba de documentos y cédulas elaboradas por el mismo auditor, sin embargo, los tiempos exigen el cambio de metodologías, y teniendo en cuenta que el auditor debe ser un investigador, existe la propuesta de aplicar el método científico.

Al comienzo, parecía una locura la aplicación de un método científico en una auditoría, sin embargo, ha de tenerse en cuenta que esta se va haciendo particular porque todas las organizaciones son diferentes y “el conocimiento se per-fecciona a medida que se avanza en una investigación y se trata de alcanzar su máximo desarrollo”. (Puerres I, 2010)

De acuerdo con el método científico Mautz y Sharaf sugirieron como metodología de auditoría los siguientes ocho pasos:

Tomado: Naturaleza de la auditoría, Iván Puerres,

Universidad Javeriana Cali. http://drupal.puj.edu.

co/files/OI023_Ivan%20Puerres_0.pdf

6 -

Teniendo en cuenta el anterior enfoque del Auditor Investigativo, es preciso anotar que en muchas ocasiones se aplica sin tener consciencia de su existencia, puesto que cuando se inicia la labor como Contador Pú-blico en cualquier empresa, lo primero que se hace es:

•Conocer la actividad económica a laque pertenece la empresa.

•VerificarqueelRUTconcuerdeconelregistro mercantil expedido por la Cá-mara de Comercio.

•Revisarqueexistanloslibrosdecon-tabilidad registrados ante la Cámara de Comercio.

De esta manera, empezamos a realizar una auditoría de cumplimiento y a reconocer qué problemas se pueden tener en esta etapa ini-cial cuando se es contratado como contador en una empresa. A medida que se va adqui-riendo experiencia en dicha labor, se realizan otras auditorías donde inconscientemente vamos aplicando estos conceptos. Las ta-reas diarias nos permiten ejecutar acciones como:

•Laverificacióndefechasypreparaciónpara la presentación de impuestos.

•La revisión previa de la informaciónantes de emitir estados financieros.

•La recolección de información parasolicitar créditos bancario y certifica-ciones como contador donde consta que la información es fidedigna.

•La creación de procesos y tareascuando la empresa desea certificarse en calidad.

Por tanto, siempre en la labor del Contador Público se realiza auditoría cuando se hace un examen de la información que se está ela-borando antes de emitir, no una opinión sino

un informe, la presentación de estados financieros o para terceros (solicitudes de crédito, emisión de información a terceros como DIAN y Supersociedades).

Aunque el Contador Público no sea un investigador puro, lo es en su área de conocimiento, pues identifica los problemas, muchas veces no tiene que emitir su opinión a la solución, sino tiene que corregir los problemas encontrados, detectando dónde fue el error para no volver a incurrir en este a futuro.

REFERENCIAS

Ivan Puerres . (2010). NATURALEZA DE LA AUDITORÍA. 17 de Septiembre de 2015, de Universidad Javeriana, Calí Sitio web: http://drupal.puj.edu.co/files/OI023_Ivan%20Puerres_0.pdf


- 7

CAMBIO INTEGRAL DEL MODELO CONTABLE MIREY YANIRA GARZÓN PEDRAZAEstudiante de décimo semestre de Contaduría Pública - Sede Duitama

RESUMEN

Este trabajo tiene como objetivo realizar una síntesis de los prin-cipales cambios que se han presentado a partir del proceso de adopción de las Normas Internacionales de Información Financiera (NIIF) que actualmente Colombia está adoptando, efectuando un paralelo entre el contenido de la información a revelar, los criterios de reconocimiento, medición, valuación y presentación de las par-tidas en los Estados Financieros de la contabilidad local y la norma internacional, y así determinar qué cambios son relevantes para la adecuada comprensión y posterior aplicación, ya que las NIIF constituyen una normativa sólida, compleja y de alta calidad, que a diferencia de la actual es mucho más financiera que contable.

Palabras clave: Normas Internacionales de Información Financie-ra, estandarización, adopción, reconocimiento, valuación.

INTRODUCCIÓN

Colombia ha empezado poco a poco a incursionar en el proceso de estandarización contable debido al crecimiento de la economía; a raíz de este proceso de globalización, cambia la forma de practi-car los negocios a nivel mundial y se crea la necesidad de aplicar normas internacionales lo cual requiere que todas las operaciones realizadas por las empresas sean contabilizadas y presentadas de forma similar. El principal motivo para que se implantara este pro-ceso fue la necesidad de manejar un conjunto único e integral de normas de contabilidad y de información financiera que pueda ser comparable así como la integración de informes estandarizados para su presentación en distintos escenarios. La presentación de estados financieros significa un cambio integral del modelo conta-ble que se venía manejando en el país ya que, la norma contable local está provista como un conjunto de reglas de uso legal y de carácter obligatorio, y las normas internacionales resultan ser nor-mas flexibles y permisivas que se acomodan a las necesidades de cada empresa, se les da un manejo según criterios particulares son permeables a la información manipulada.

EL PAPEL DE LA CONTABILIDAD DENTRO DE LA GLOBALIZACIÓN

La Norma Internacional de Información Financiera (NIIF) como su nombre lo indica; es una norma contable cuyo objetivo es estan-

darizar a nivel mundial los criterios con los que cada una de las empresas debe llevar y presentar la contabilidad. En 1973 algunos profesionales de contabilidad crearon un organismo llamado International Accoun-ting Standards Committee (IASC), que rea-lizó la emisión de estas normas contables las cuales se designaron con el nombre de Normas Internacionales de Contabilidad (NIC). Posteriormente en el año 2001 el IASC se fue reestructurado y se convir-tió en International Accounting Standards Board (IASB), donde se decidió que las normas emitidas hasta la fecha serían re-visadas y actualizadas por el IASB, conser-vando el nombre de NIC y las normas emi-tidas a partir de esa fecha se designarían por el nombre de NIIF (IFRS) y es así como hoy en día el IASB es el único organismo profesional que se encarga de emitir las (NIIF). (Méndez, 2011, p.13)

La gran mayoría de los países ha adoptado estándares internacionales de contabilidad frente a lo cual Colombia no podía ser in-diferente. Por esta razón, en 2009 se pro-mulgó la Ley 1314, por la cual se regulan los principios y normas de contabilidad e información financiera y de aseguramien-to de información aceptados en Colombia, los cuales establecieron los lineamientos para la implementación de estándares in-ternacionales de contabilidad en el país.

Con la adopción de estas normas, las empresas entran a un proceso de mayor transparencia en sus operaciones facilitan-do su comparación global. Los empresa-rios deben tener en cuenta que al realizar la aplicación de las Normas Internaciones de Información Financiera (NIIF) en sus empresas pueden tener una mayor opor-

8 -

tunidad para fortalecer sus economías, el beneficio de aumentar la competitividad en sus mercados y posibilitar el incremento de inversión extranjera. Esta adopción trae una serie de cambios y modificaciones en los procedimientos establecidos en la contabi-lidad, ya que varios conceptos que se uti-lizan en la normatividad colombiana cam-biaran y se deben ajustar a las necesidades de la empresa.

Los parámetros que se van a tener en cuenta para el manejo de algunas partidas son: 1. Reconocimiento de ingresos: según la nor-ma local, los ingresos se reconocen cuando se expide la factura de venta, pero bajo las normas internacionales cualquier cambio incremental en el patrimonio se reconoce y se registra cuando se entrega el bien, es decir, en el momento en que se transfiere el riesgo a un tercero. 2. Descuentos en compras y ventas: actualmente, se regis-tra por separado el costo de los descuentos ya que los descuentos condicionados son ingresos financieros, y los descuentos en ventas se tratan como gastos financieros. Ahora bajo las normas internacionales, los descuentos se deben registrar como menor valor del costo o gasto. 3. Valores de me-dición: actualmente se registra la compra de los activos fijos por el valor histórico, es decir, por el precio en que los compramos, pero si este valor va cambiando en el mer-cado, tenemos que realizar un registro por una valorización o desvalorización del bien. Según la normatividad colombiana vigente es obligatorio que mínimo cada tres años se realice un avaluó técnico a los activos con el fin de valorizarlos e identificar el valor actual en el mercado.

Con la aplicación de los nuevos estánda-res, se requerirá el uso de herramientas de medición financieras como:

• Valor razonable: el cual hace referencia al precio recibido por vender un activo,

o precio pagado por transferir un pasivo acordado entre dos personas a libre competencia de acuerdo con los parámetros de mercado o a la necesidad de cada persona.

• Valor presente neto: el cual nos sirve para la evaluación de proyectos de inversión, es decir, traer al presente lo que me costará invertir en periodos futuros.

Estos dos tipos de medición permiten identificar el valor de un be-neficio o de una obligación que se recibirá en una fecha determina-da, mostrando la realidad de la información financiera presentada, que en últimas, es el objetivo de la implementación de las normas internacionales. Para el caso de los activos fijos, también cambia la medición puesto que actualmente se registra una vida útil estan-darizada, que para el caso de edificios es 20 años, maquinaria y equipo 10 años, vehículos 5 años, equipo de cómputo y comunica-ción 3 años; pero con la aplicación de las normas internacionales, la vida útil de estos activos se determinará de acuerdo con el ava-luó técnico entregado por un profesional, entonces la depreciación puede ser mayor o menor según sea el caso, lo que terminaría afectando la utilidad de la empresa. (Barbosa, 2010, p. 1)

Actualmente, la depreciación de los activos se lleva como un gasto o costo deducible según sea el caso, para así disminuir la utilidad y la renta fiscal, originando que el valor a pagar por impuestos sea menor. Es necesario realizar un avalúo profesional a los activos para poderlos ingresar a los estados financieros con el valor que se encuentran en el mercado.

En los estados financieros se deben incluir las notas, las cuales son parte integral de los mismos, y su objetivo es presentar la información de una forma transparente para la comprensión de los usuarios, que reflejen las políticas contables significativas que fueron aplicadas, los cálculos de los valores de medición que se realizaron, además de proporcionar información adicional que no se hubiese presentado en ningún estado financiero y que pueda ser de carácter relevante. El papel de la contabilidad dentro de la globalización de la economía es presentar razonablemente el ren-dimiento financiero y los flujos de efectivo de las empresas, para lo cual se requiere de la presentación fiel de las transacciones, de acuerdo con los criterios de reconocimiento registrados en los estados financieros.

Con la aplicación de estándares internacionales se busca que la in-formación reflejada no sean solo cifras, sino que por el contrario, sea información útil y de fácil entendimiento que permita ser comparable puesto que la credibilidad de la información financiera podría cues-



- 9

tionarse si una empresa presenta diferencias en las transacciones. Debido a la expansión de los mercados internacionales, cambian las condiciones de negociación, al igual que la manera de registrar la contabilidad, pues se ven reflejados grandes cambios en diversos aspectos de la información financiera, los parámetros para el manejo de cada cuenta y las normas que se le aplican a cada una de ellas, en realidad la contabilidad como tal no cambia, lo que ha venido cambiando es la forma de presentación de la información financiera.

A continuación se hará un breve análisis sobre las normas que se van a aplicar a algunas cuentas específicas:

1. Inventarios: contablemente para la valoración de inventarios entre los diferentes métodos de valuación existentes se utiliza el método de costeo UEPS y PEPS, pero con la norma internacional solamente está permitido usar el método PEPS porque con él se re-gistra un deterioro, y con el UEPS se utilizan valores más altos. Para el caso del inventario de repuestos, se clasifica como inventario; normalmente a los inventarios de repuestos no se le hacen verifica-ciones de costo de mercado más bajo, por lo tanto ningún tipo de inventario se deprecia. A diferencia de las NIIF cuando se tenga la intención de mantener el inventario de repuestos más de un año se debe considerar como Propiedad, Planta y Equipo (activo), y esta clasificación hace que se deban depreciar y estar sujetos a prueba de deterioro, pero si se utiliza un repuesto ocasionalmente se tendrá que clasificar como inventario. (Webadmin, 2011)

2. Medición de inventarios: los inventarios se medirán al costo o al valor neto realizable, según cual sea menor, y se deben tener en cuenta los siguientes costos:

•Costosdeinventarios:laempresacomotaldebeincluirenelcosto de los inventarios todos aquellos costos en los que incu-rrió para darle al bien su condición y ubicación.

•Costosdeadquisición:abarcanelpreciode lacompra juntocon todos los impuestos y demás gastos que no sean recupe-rables. Los descuentos y rebajas tienen que ir descontados en el precio de adquisición.

•Costosdetransformación:incluyentodosloscostosrelacio-nados directamente con la producción. (Sastoque, 2014)

3. Deterioro del valor de los inventarios: la normatividad colom-biana señala que se debe hacer avalúos cada 3 años, entonces el deterioro de las inversiones permanentes se analiza con el valor intrínseco y este no es base de depreciación o amortización, ni tampoco son objeto de prueba de deterioro los intangibles. Bajo las NIIF cada año se debe realizar un análisis de los indicadores de de-

terioro, Propiedad, Planta y Equipo, intangi-bles e inversiones permanentes que están sujetos a pruebas de deterioro las cuales se miden por el valor razonable, si se utiliza el deterioro como base de depreciación y amortización.

4. Propiedad, Planta y Equipo: bajo las NIIF se consideran como activos los recursos de Propiedad, Planta y Equipo adquiridos por la empresa, además de los recursos controlados por ella, donde el método de valor razonable tiene un papel importante pues es la medida requerida para determi-nar las valoraciones. Contrariamente, está la actual forma de valoración en norma lo-cal, debido a que se utiliza el concepto de costo histórico, excepto en los instrumen-tos financieros.

5. Intangibles: para la norma local los in-tangibles se valoran a costo histórico, no se permite una vida útil indefinida, y habitual-mente no se capitalizan costos adicionales por colocar el intangible en condiciones de uso, sino que se llevan como cargos dife-ridos. En normas internacionales sí es per-mitida la vida útil indefinida y se especifica con base en la estimación de uso, su va-loración se realiza con base en su valor de mercado, y para su capitalización se hace necesario colocar el intangible en condicio-nes de uso. (Molina, 2013)

6. Arrendamientos: la norma internacio-nal dice que en el caso de arrendamiento se debe hacer un análisis sobre la esencia del contrato y no sobre la forma, recono-ce un arrendamiento financiero como un activo de Propiedad, Planta y Equipo, y la obligación financiera se reconoce según la tasa implícita, mientras que la norma local indica que para clasificar un arrendamiento prevalece la norma tributaria, el activo se presenta como un intangible y se reconoce la obligación según el costo histórico. (De-loitte, 2011)

10 -

CONCLUSIONES

La conversión a las NIIF es un gran reto para las empresas pues deben estar a la vanguardia de este proceso, para lo cual deben contar con profesionales en el tema, otorgándoles la información necesaria para que, de esta manera, se realice un proceso de adopción exitoso.

El profesional contable debe prepararse para los cambios que se presentan en el nuevo contexto internacional, pues es un tema cada vez más complejo y por lo tanto de su aplicación y desarrollo dependerá el grado de asertividad en el manejo y presen-tación de la información.

En razón a que la mayoría de los países ya implementaron el proceso de estandariza-ción contable-financiera, Colombia tiene la necesidad urgente de adoptar este proceso para lograr mayor competitividad y creci-miento económico.

Los diferentes cambios que se presentan al aplicar las NIIF, abarcan diversos aspectos

significativos en el manejo de la información financiera y presenta-ción en los estados financieros.

Debido a que las NIIF están orientadas hacia el campo financiero, no van a afectar la parte tributaria, por lo menos dentro de los cua-tro años siguientes a partir de la implementación de la norma. La DIAN debe realizar un análisis sobre el impacto que puede generar este proceso y debe señalar cuáles serían los posibles cambios a revelar en la información tributaria.

REFERENCIAS

Deloitte, T. (2011). La Introducción a las NIIF. En La Globalización Contable. Web: http://www.lamayorista.com.co/site/esp/archivos_subidos/introduccion_a_las_ifrs.pdf

Molina Llopis. (2013). NIIF para las PYMES: ¿la solución al problema para la aplicación de la normativa internacional? Revista Contabilidad y Negocios, 8, pp. 28-30.

Sastoque, C. (2014). Análisis crítico de la sección 13 “Inventarios” de la NIIF para PYMES. En Actualicese.com. Web: http://actualicese.com/opinion/analisis-critico-de-la-seccion-13- inventarios-de-la-niif-para-pymes-carlos-humberto-sastoque/.

Webadmin. (2011) ¿Cómo va la convergencia hacia estándares internaciona-les de contabilidad (Ley 1314 de 2009)?. Junio 13, 2011, de Instituto Nacio-nal de Contadores Públicos de Colombia Sitio web: http://www.incp.org.co/como-va-la-convergencia-hacia-estandaresinternacionales-de-contabilidad-ley-1314-de-2009/.

ww

w.pi

xaba

y.com

ger

alt


- 11

PRINCIPALES PROBLEMÁTICAS DEL SISTEMA DE CONTROL INTERNO EN LAS ENTIDADES DISTRITALES DEL ESTADO COLOMBIANO

C.P. ROBERT FUENTES ROACandidato a Especialista en Auditoría y Control Fiscal - Universidad Antonio Nariño

RESUMEN

Con el siguiente artículo se pretende establecer de manera clara, la distinción entre los fines y alcances del control interno de las entidades públicas y el control fiscal ejercido por las contralorías de Colombia; por otro lado, la responsabilidad que se debe tener sobre los actos de corrupción e irregularidades que encuentren en el ejercicio de sus funciones, el estado del control interno, así como el valor probatorio que adquieren los informes emitidos por los profesionales de la oficina de control interno en los procesos ad-ministrativos, judiciales y fiscales, además del fortalecimiento del Sistema de Control Interno (SCI) bajo un enfoque preventivo en el que muchas veces se asume su evaluación como un control fiscal.

Palabras clave: Eficiencia, eficacia, economía, equidad, valoración de costos ambientales

INTRODUCCIÓN

El propósito fundamental del presente documento consiste en dar una mirada al control interno y al fortalecimiento del SCI bajo un en-foque preventivo y determinar la manera cómo contribuye al control fiscal en Colombia a través del desempeño de la Contraloría General de la República, entidad que se encarga de vigilar la gestión fiscal de la administración, de los particulares y de las entidades que manejan recursos públicos y evitar actos de corrupción e irregu-laridades. Para tal fin, se presentan los elementos conceptuales y las herramientas que contribuyen al fortalecimiento del trabajo en desarrollo del proceso auditor.

La elaboración del presente documento surge del estudio de los di-ferentes informes que se vienen presentando por parte de las con-tralorías en diferentes tipos de auditoría que se desarrollan cada año y de aquellos hallazgos que siguen abiertos por la falta de ges-tión y compromiso de las entidades, desde la alta dirección como responsable de subsanar en forma eficaz y eficiente las diversas observaciones emitidas por las autoridades de control.

Este artículo se ha dividido en siete partes, la primera correspon-de al planteamiento del problema sobre los diferentes hallazgos de

las entidades del Estado, en la segunda se hace una descripción de la Auditoría Gene-ral de la Republica, la tercera correspon-de al desempeño de la Contraloría General de la República, la cuarta sobre el Control fiscal en Colombia, la quinta, el Control In-terno, la sexta describe las herramientas para el fortalecimiento del Sistema de Con-trol Interno (SCI) y la séptima contiene las conclusiones finales sobre los aspectos indicado

PLANTEAMIENTO DEL PROBLEMA

Bajo los fundamentos constitucionales y legales que demanda a las oficinas de Con-trol Interno y a las Contralorías en la práctica de auditorías orientadas por los principios de economía, eficiencia, eficacia, equidad y la valoración de los costos ambientales, se adquiere la responsabilidad de emitir in-formes integrales que contengan la gestión adelantada por la administración a los di-ferentes procesos de las entidades, desde el punto de vista administrativo, financiero y legal.

Una vez se detecten sus deficiencias, de-berán ser corregidas por la administración, lo que en cierta forma, contribuye al me-joramiento continuo de la organización, y conlleva a la eficiencia y efectiva pres-tación de los servicios en beneficio de la ciudadanía.

Es evidente encontrar, por parte de la con-traloría, informes donde se muestra que las entidades presentan deficiencia en sus manuales de procesos y procedimientos, o muchas veces no se cuenta con dichos

12 -

documentos, e incluso, que lo que se rea-liza en la práctica no corresponde a lo que indican los documentos mencionados.

Las deficiencias en las evaluaciones al Control Interno, lleva a que muchas veces la información registrada no sea confiable por la falta de un adecuado seguimiento. Desde el punto de vista contractual, se observan deficiencias en el control que se debe aplicar a los procedimientos e incum-plimientos de las normas correspondientes a los requisitos para el perfeccionamiento y ejecución de contratos, que posteriormente se traduce en pagos, sin la observancia de dichas obligaciones.

Otra de las deficiencias que se presenta, se debe a la falta de seguimiento a las cifras que se encuentran registradas en los esta-dos financieros de considerable valor, las cuales han permanecido por muchos años sin movimiento alguno, los que lleva a que se muestre información desactualizada. También se presentan deficiencias en la aplicación de la normatividad para el mane-jo y control de los bienes de las entidades que, en algunas ocasiones, se encuentran en estado de inservibles, no útiles u obso-letos y que al no estar en condiciones de uso, aún permanecen en los estados finan-cieros de las entidades, lo que conlleva a que se incurra en gastos como seguros o bodegajes, sobre bienes que en algún mo-mento ya debía haberse realizado su desti-nación final.

Para el caso de las obligaciones que tienen las entidades con terceros, es evidente que no se cuenta con una adecuada planea-ción, ya que los saldos de lo no ejecutado y lo no girado pasan para el año siguiente, lo que lleva a que las entidades cuenten con obligaciones por más de cinco años, sin que se tome decisión alguna sobre dichos valores.

La ausencia de procedimientos para el manejo de los documentos, el registro de la información, la desorganización que no permite clasi-ficarlos en los diferentes tipos como audios, fotos, etc., no determi-na los controles necesarios para la identificación, almacenamiento, protección y recuperación del tiempo de retención ni la disposición de los registros y documentos. Por otra parte, no se cuenta con políticas claras de operación para las entidades debidamente actua-lizadas, los controles establecidos en los diferentes procedimientos con los que cuentan, no corresponden con la realidad.

Falta de implementación de indicadores de gestión para los dife-rentes procesos de las entidades, de forma que le permita medir el comportamiento de la misionalidad de las instituciones y en con-secuencia, los fines del Estado. Las deficiencias en el seguimiento de acciones de mejora presen-tadas ante la Contraloría, son el resultado de los informes de Audi-toría gubernamental de las diferentes modalidades practicadas por el ente de control, cuyas consecuencias lleva a que se presenten planes de mejoramiento con hallazgos vencidos y que, posterior-mente se traducen en posibles sanciones administrativas, discipli-narias, e incluso, fiscales.

Se identifica, además, que muchas veces las evidencias presenta-das por las áreas responsables de subsanar los hallazgos, no son suficientes contra las acciones de mejora y actividades previstas en los planes de mejora que se suscriben y que se comprometen a dar cumplimiento.

Otras debilidades se manifiestan en la construcción de planes de mejoramiento, ya que no se hace de manera colectiva, muchas ve-ces las acciones que se plantean corresponde al alcance del área y no se involucra a las demás dependencias, de acuerdo con las res-ponsabilidades que les asiste en la formulación y ejecución de las acciones de mejora para que estas se generen de manera completa y efectiva, por otra parte, no se realizan los seguimientos a los ma-pas de riesgos, ni se cuenta con el personal que tenga la experticia.

Finalmente, el perfil de los servidores públicos que desempeñan funciones dentro de las oficinas de Control Interno, muchas veces no es el idóneo, no han tenido formación de auditor, llegan a las ofi-cinas trasladados de otras dependencias donde realizaban labores diferentes a las que van a ejecutar; esto permite que se presente dificultad para ejercer las labores en trabajo de campo y por con-siguiente, que se pierda la credibilidad de las oficinas y el apoyo que realmente necesitan como asesores para entidades del Estado.


- 13

AUDITORÍA GENERAL DE LA REPÚBLICA

Con el Decreto 272 de 2000, se determina la organización y fun-cionamiento de la Auditoría General de la República, este es un or-ganismo de vigilancia y control de la gestión fiscal que está dotada de autonomía jurídica, administrativa, contractual y presupuestal.

Conforme lo establece la Constitución Política de Colombia, le co-rresponde a la Auditoría General de la República, ejercer la vigilan-cia de la gestión fiscal de la Contraloría General de la República y de las contralorías departamentales, distritales y municipales.

La Auditoría General de la República coadyuva a la transformación, depuración y modernización de los órganos institucionales para el control de la gestión fiscal, el fomento de la cultura del autocontrol y el estímulo de la participación ciudadana en la lucha para erradicar la corrupción, es por eso que una de sus funciones es la vigilancia de las 64 contralorías, incluida la Contraloría General de la Republi-ca, las Departamentales, Distritales y Municipales.

DESEMPEÑO DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA

La Contraloría General de la República de Colombia (CGR) es el máximo organismo de control fiscal del Estado. Su misión es la de garantizar el buen uso de los bienes públicos y contribuir a la modernización del Estado, mediante acciones de mejoramiento continuo en las distintas entidades públicas.

Como entidad de Control Fiscal se encuentra organizada en dos nive-les: La Contraloría General de la República y las Contralorías Territoria-les. Como se había indicado anteriormente, la vigilancia de la gestión de las contralorías está a cargo de la Auditoría General de la República.

Las Funciones de la Contraloría están encaminadas a:Los artículos 119 y 267 de la Constitución Política de Colombia señalan las funciones de la CGR, dentro de las cuales tiene a su cargo la vigilancia de la gestión fiscal y el control de resultado de la administración, así como de los particulares o entidades que manejen fondos o bienes de la Nación.

El control será ejercido de forma posterior y de manera selectiva de acuerdo con los procedimientos, sistemas y principios estableci-dos por la ley.

Ejerce control financiero, de gestión y de resultados, del Patrimonio Público, fundado en la eficiencia, la economía, la equidad y la valo-ración de los costos ambientales.

Ejerce la representación de la comunidad, la vigilancia de la gestión fiscal y la eva-luación de los resultados obtenidos por las diferentes entidades del Estado.

Con la Resolución Orgánica No. 5775 de 2006, proferida por el Contralor General de la República, se establece la sectorización de los sujetos de control fiscal, acorde para adelantar el programa de renovación de la administración pública.

Las Contralorías territoriales son aquellos entes institucionales que ejercen Control Fiscal a los fondos y bienes de origen lo-cal, como el Departamento, el Distrito o el Municipio. La Constitución Política de 1991, en el artículo 272 consagra que, “La vigilancia de la gestión fiscal de los de-partamentos, distritos y municipios donde haya Contralorías, corresponde a éstas y se ejercerá en forma posterior y selectiva. La de los municipios incumbe a las Contra-lorías Departamentales, salvo lo que la ley determine respecto de Contralorías Muni-cipales.”

Así mismo a través de la ley 330 de 1996, se asignan las competencias de las Con-tralorías Departamentales del ejercicio de la función pública del control fiscal en las respectivas jurisdicciones, estas Contra-lorías son de carácter técnico, dotadas de autonomía administrativa, presupuestal y contractual, adicionalmente al artículo 272 de la Constitución Política, establece que las Contralorías Departamentales deben ejercer entre otras funciones:

•Exigirinformessobresugestiónfiscala los servidores públicos del orden de-partamental, municipal.

•Establecer las responsabilidades quederiven de la gestión fiscal.

• Promover ante las autoridades com-petentes las investigaciones penales o

14 -

disciplinarias contra quienes hayan cau-sado perjuicio a los intereses patrimo-niales departamentales y municipales.

•Participación ciudadana, como partedel control social.

Es importante mencionar que la Cons-titución y la ley facultan a los órganos de control para que vinculen a la comunidad en cuanto a la participación ciudadana que permita vigilar la gestión en los diversos ni-veles administrativos de las entidades y la generación de información, es por eso que la Contraloría ha implementado una nueva concepción del control ciudadano a lo pú-blico, en la cual el ciudadano es actor y par-tícipe directo en la vigilancia de los recursos públicos y de la gestión pública.

Con el control social se contribuye a la de-bida gestión de los recursos públicos y es una herramienta de lucha contra la corrup-ción. Los ciudadanos tiene la posibilidad de fiscalizar los recursos públicos a través del conocimiento, la discusión, el análisis y la verificación de la información, deben tener acceso a la información para ejercer el con-trol social, pueden conocer sobre los pre-supuestos, el avance en políticas públicas y contratos, entre otros, lo cual les permite hacer seguimiento y, en el caso de encontrar inconsistencias, tienen la posibilidad de ade-lantar denuncias sobre lo que se encontró.

Los ciudadanos cuentan con tres instrumen-tos para solicitar y obtener información oficial por parte de las entidades, que son: el De-recho de petición, el Derecho de petición de información y el Derecho de petición de acce-so a los documentos públicos. Ahora bien, si el ciudadano encuentra que un servidor o un particular que presta un servicio público no procedieron adecuadamente, cuenta con las herramientas de Queja, Reclamo o Denuncia.

En conclusión, la Constitución y la ley es-tablecieron que las organizaciones civiles

y comunitarias pueden constituir veedurías o juntas con el fin de vigilar la gestión pública, los resultados de la misma y la prestación de los servicios públicos.

CONTROL FISCAL EN COLOMBIA

Es una función pública, que ejercen las Contralorías tanto la Gene-ral de la República, desde el ámbito nacional, como desde lo local por las contralorías distritales, municipales y departamentales para vigilar la gestión fiscal de la administración y de los particulares que manejen fondos y bienes del Estado.

Este control se realiza de manera posterior y selectiva, implica no solo un control numérico legal, sino también económico, contable, financiero, físico y jurídico. Dicho control es ejercido por la Con-traloría General de la República, las contralorías territoriales y la Auditoría General de la República.

Características del control fiscal:

•Esunafunciónpública.•Es autónomo e independiente: el control es ejercido de una for-

ma independiente de inspección y de vigilancia administrativa.•Seejerceenformaposterior:unaveziniciadalaactividadenla

ejecución de los procesos y procedimientos realizados por los sujetos que van a ser objeto de control.

•Seejercedeformaselectiva:serealizasobreunamuestrare-presentativa correspondiente a los recursos, cuentas y ope-raciones o a las actividades ejercidas por el sujeto objeto del control.

SISTEMAS PARA EL EJERCICIO DEL CONTROL FISCAL

Conforme lo establece el Artículo 9 de la Ley 42 de 1993, para el ejercicio del control fiscal, se pueden aplicar los principios de:LegalidadGestiónResultadosFinanzasRevisión de cuentasRendición de cuentasControl AmbientalEvaluación del Sistema de Control Interno

Con respecto a lo anterior se puede mencionar que los sistemas de control están basados en los principios de eficiencia, economía, equidad y la valoración de los costos ambientales, esto con el fin


- 15

de que todos los sujetos de control cumplan con su gestión en beneficio de la sociedad.

ROL DE LA OFICINA DE CONTROL INTERNO

La Constitución de 1991, en su Artículo 209, menciona la impor-tancia que en la administración pública tendrá un Control Interno, el cual será ejercido de acuerdo a la ley, por otra parte, en el Artí-culo 269, establece que al interior de todas las entidades públicas debe existir un control de primer grado, pues debe propender por asegurar que la gestión institucional de los órganos del Estado, se orienten hacia el adecuado cumplimiento de los fines del mismo, es por ello que: “En las entidades públicas, las autoridades corres-pondientes están obligadas a diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de control interno, de conformidad con lo que disponga la ley….” (Artículo 269).

Conforme a lo anterior, debemos tener claro qué es el Control In-terno; según el Artículo 1°, de la Ley 87 de 1993, “Se entiende por Control Interno el sistema integrado por el esquema de organiza-ción y el conjunto de los planes, métodos, principios, normas, pro-cedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la in-formación y los recursos, se realicen de acuerdo con las normas constitucionales y legales, vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos.”

Los principios del control interno están enfocados en:La igualdadLa moralidadLa eficienciaLa economíaLa celeridadLa imparcialidadLa publicidadLa valoración de costos ambientales

Ahora bien, teniendo claro los que es el Control Interno y sus prin-cipios, podemos identificar la naturaleza y el rol de las oficinas de Control Interno, de acuerdo con el artículo 9° de la Ley 87 de 1993, donde se definió la naturaleza de la Oficina de Control Inter-no, para todas la entidades y organismos de las ramas del poder público en sus diferente niveles, y conforme al artículo 5° de dicha ley en el que: “es uno de los componentes del Sistema de Control Interno, de nivel gerencial o directivo, encargada de evaluar la efi-

ciencia, eficacia y economía de los demás controles y de asesorar a la dirección en la continuidad del proceso administrativo, la revaluación de los planes establecidos y en la introducción de los correctivos necesa-rios para el cumplimiento de las metas u objetivos previstos…”

Es importante establecer que el rol de la Ofi-cina de Control Interno para los diferentes procesos de una entidad, debe ser consi-derado como un proceso retroalimentador que debe contribuir al mejoramiento conti-nuo en la Administración Pública. Por eso, es necesario que quienes hacen parte del proceso evaluador puedan precisar cuáles son los roles generales que enmarcan la función de dichas oficinas, y en los cuales debe enfocar sus esfuerzos para desarro-llar una actividad independiente y objetiva de evaluación y asesoría, que contribuya de manera efectiva al mejoramiento con-tinuo de los procesos de la Administración del Riesgo, Control y Gestión de la Entidad; si tenemos en cuenta que dentro del plan-teamiento del problema se tiene deficiencia en quienes evalúan los diferentes procesos de las entidades, por desconocimiento e inexperiencia, es por eso, que presenta-mos las cinco funciones esenciales a car-go de las Oficinas de Control Interno así:

Valoración del riesgoAcompañamiento y asesoríaEvaluación y seguimientoFomento a la cultura de controlRelación con entes externos

Así mismo, con la Ley 489 de 1998, el ar-tículo 28, busca profundizar en el Sistema Nacional de Control Interno con el objeto de “integrar en forma armónica, dinámica, efectiva, flexible y suficiente, el funciona-miento del control interno de las institucio-nes públicas, para que, mediante la aplica-ción de instrumentos idóneos de gerencia,

16 -

fortalezcan el cumplimiento cabal y oportu-no de las funciones del Estado.”

En conclusión, lo que se pretende, es que quien haga parte del Sistema de Control In-terno, cumpla con los objetivos de la Ley 87 de 1993, que entre otros, es el compromiso de proteger los recursos de la administra-ción, cumplir con los objetivos de la institu-ción, que se realicen y se garanticen las eva-luaciones y seguimientos de los diferentes procesos de la entidad, debe definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos de la entidad.

Igualmente, debe existir permanente inte-racción y compromiso por parte del máxi-mo directivo o representante legal del nivel central o descentralizado, en los ámbitos nacional y territorial, junto con el jefe de la oficina asesora de control interno para que se pueda asegurar el cumplimiento de la misión de la institución; pero esto, no solo es responsabilidad del representante legal y la alta dirección, también será de los jefes de cada una de las distintas dependencias de las entidades y organismos del Estado.

HERRAMIENTAS PARA EL FORTALECIIEN EL I E A E N R L IN

ERN I ¿Qué es el Sistema de Control Interno? Conforme lo define la Administración Pú-blica, el Sistema de Control Interno “tiene como propósito fundamental lograr la efi-ciencia, eficacia y transparencia en el ejer-cicio de las funciones de las entidades que conforman el Estado colombiano y cualifi-car a los servidores públicos desarrollando sus competencias con el fin de acercarse al ciudadano y cumplir con los fines cons-titucionales para los que fueron creadas”.

Es así, como el Modelo Estándar de Control Interno – MECI, es una herramienta que tiene

como propósito fundamental servir de instrumento gerencial para el control de la gestión pública, la cual está fundamentada en la cultura del control, y bajo la responsabilidad y compromiso de la alta dirección de las entidades del Estado, para su implementación y fortalecimiento.

De un adecuado funcionamiento, se pueden identificar los posibles actos de corrupción en una entidad, pero este no es el objetivo, ya que lo que se propone son elementos de control para todas las entidades del Estado. Para una adecuada implementación de la herramienta, se debe contar con los elementos básicos, como los tres pilares sobre los que se apoya el MECI: autocontrol, autoges-tión y autorregulación, los cuales siguen siendo las bases para una adecuada aplicación de las herramientas de control.

El sistema de Control interno se conforma de dos módulos, seis com-ponentes, trece elementos y un eje que es transversal así:

1. Módulo de control de planeación y gestión

Talento humanoAcuerdos, compromisos o protocolos éticosDesarrollo del talento humanoDireccionamiento estratégicoPlanes y programasModelo de operación por procesosEstructura organizacionalIndicadores de gestiónPolíticas de operaciónAdministración del riesgo de los procesosPolíticas de administración del riesgoIdentificación del riesgoAnálisis y valoración del riesgo

2. Módulo de evaluación y seguimiento

Autoevaluación institucionalAutoevaluación del control y gestiónAuditoría internaPlanes de mejoramiento

3. Eje transversal: información y comunicación

El Sistema de Control Interno y el Control Fiscal

Es importante mencionar que de acuerdo a la expedición de la ley para la lucha contra la corrupción, se puede decir que existe una clara distinción entre el Control Interno y el Control Fiscal.


- 17

La Ley 1474 de 2012, dictó normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública, donde menciona que los directores de control interno están en la obliga-ción de reportar al Director del Departamento Administrativo de la Presidencia de la República, así como a los Organismos de Control, los posibles actos de corrupción e irregularidades que haya encon-trado en el ejercicio de sus funciones.

El jefe de la Oficina de Control Interno deberá publicar cada cuatro (4) meses en la página web de la entidad, un informe pormenori-zado del estado del Control Interno de la entidad. Los informes de los funcionarios tendrán valor probatorio en los procesos discipli-narios, administrativos, judiciales y fiscales cuando las autoridades pertinentes así lo soliciten.

CONCLUSIONES

Insistir en dar la importancia del Control Interno, ya que se debe considerar como un tipo de instrumento gerencial, que busca me-jorar el desempeño institucional en términos de calidad y eficiencia de la gestión, y que se complementa con el Control Fiscal que ejer-ce la Contraloría a nivel nacional, departamental y municipal.

Es importante que las oficinas de control interno, en la realización de auditorías de su Plan de Auditorías Internas, den prioridad a los procesos a evaluar correspondiente a los procesos de contrata-ción, conforme lo establece el Artículo 65 de la ley 80 de 1993: “…El control previo administrativo de la actividad contractual co-rresponde a las oficinas de Control Interno.”

Por otra parte, el Sistema de Control Interno se debe fortalecer bajo un esquema preventivo y no debe tomarse como evaluación de control fiscal, ya que, lo que se busca es minimizar el riesgo en los diferentes procesos que van a ser evaluados por los entes de control.

Que el perfil de los funcionarios de las oficinas de Control Interno, estén acorde a los manuales de funciones de las entidades para di-chos cargos, asimismo se debe propender por su desarrollo profe-sional continuado, con el fin de mantener actualizados los conoci-mientos, las aptitudes y las competencias necesarias para cumplir con sus responsabilidades, lo cual puede contribuir eficazmente al cumplimiento de las responsabilidades colectivas de las oficinas.

Debe existir una articulación entre el control interno y el control fiscal, con ella se logra que exista credibilidad de los informes tanto

internos como externos que presentan las oficinas de control interno y los entes de control.

REFERENCIAS

Artículo 65, Ley 80 de 1993. Por la cual se expide el Estatuto General de Contratación de la Adminis-tración Pública.

Cartilla de Administración Pública. (2009). Depar-tamento Administrativo de la función pública. Constitucion Politica de Colombia 1991. Articulos, 209, 267 a 274.

Decreto 267 de 2000. Por el cual se dictan normas sobre organzación y funcionamiento de la Contralo-ria General de la República.

Decreto 1537 de 2001. Artículo 4º. Rol de las Ofi-cinas de Control Interno frente a la Administración del Riesgo.

Ley 87 de 1993. Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del estado y se dictan otras disposi-ciones.

Ley 42 de 1993. Sobre la organización del sistema de control fiscal financiero y los organismos que lo ejercen.

Ley 106 de 1993. Por la cual se dictan normas so-bre organización y funcionamiento de la Contraloría General de la República, se establece su estructura orgánica, se determina la organización y funciona-miento de la Auditoría Externa.

Ley 134 de 1993. Por la cual se dictan normas co-bre mecanismos de participación. Ley 489 de 1998. Sistema nacional de control inter-no. Artículos 27 a 29.

Ley 272 de 2000. Por el cual se determina la or-ganización y funcionamiento de la Auditoría General de la República.

Resolución Orgánica No. 5775 del 31 de agosto de 2006. Por la cual se sectorizan los sujetos de con-trol fiscal y se asigna la competencia para la vigilan-cia de su gestión fiscal a las Contralorías Delegadas Sectoriales.

18 -

RESUMEN

La legislación colombiana ha venido madurando respecto a la admisibilidad legal de la evidencia digital frente a situaciones de fraude informático. En Colombia el Código Penal expedido en la Ley 599 de 2000 hace referencia a los delitos informáticos; sin embargo, el concepto de delito informático o crimen informático (cyber crimen o cyber terrorismo) puede tener connotaciones muy diferentes dependiendo de la interpretación a la ley de cada país, lo que a su vez puede convertirse en una paradoja materia de seguri-dad informática.

En un proceso penal, la validez jurídica de una prueba se constituye en un elemento de juicio como parte del acervo probatorio ante un jurado o ante un juez, sin embargo, la connotación de prueba válida debe cumplir con unos requerimientos mínimos tales como: auten-ticidad, precisión y suficiencia. Además, las pruebas deben cum-plir con un procedimiento válido de levantamiento y/o tratamiento, lo que se conoce como cadena de custodia segura. La cadena de custodia debe garantiza que la prueba no ha violado los principios de autenticidad, precisión y suficiencia mencionados anteriormente.

No existe un procedimiento estándar, ni técnicas para el tratamiento de la evidencia digital (procedimiento forense), que soporten las investigaciones legales. Dado que no existen investigaciones igua-les, no es posible definir un procedimiento único para adelantar un análisis en Informática forense. La evidencia de auditoría tiene connotaciones de evidencia digital. Como se verá en este artículo, el tratamiento de la evidencia digital está alineado al tratamiento de la evidencia de auditoría.

Palabras clave: Evidencia digital, evidencia de auditoría, IT Securi-ty, computo forense.

CONSIDERACIONES DE TÉCNICAS PARA EL TRATAMIENTO DE LA EVIDENCIA DIGITAL Y LA EVIDENCIA DE AUDITORÍA

MSC. JAIRO ANDRÉS CASANOVA CAICEDODocente Especialización Auditoría de Sistemas. Universidad Antonio Nariño – Sede Virtual

INVESTIGACIÓN


- 19

INTRODUCCIÓN

La legislación colombiana cuenta con la Ley 527 de 1999, por me-dio de la cual se define y reglamenta el acceso y uso de los mensa-jes de datos del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación entre otras disposiciones. La ley 527 tiene equivalentes en otras legislaciones internacionales tales como en España el Real Decreto 14 de 1999, en Perú con la ley 27269 de 2000, por mencionar algunos casos en países his-panoamericanos. Esta leyes se basan en la “ley de comercio elec-trónico” y la “ley modelo de firma electrónica” de la comisión de la Naciones Unidas para el derecho mercantil internacional (CNUDMI) promulgadas en 1996 y 2001 respectivamente, las cuales tienen el fin de garantizar uniformidad en los conceptos y un desarrollo homogéneo de la normatividad a nivel global.

La evolución de la “www” llevó consigo el amplio despliegue de tecnologías en materia de seguridad informática con el fin de ga-rantizar transacciones seguras en la web. Estas leyes en realidad no están atadas a una tecnología en particular, simplemente se apoyan en conceptos y estándares existentes y maduros, como adminis-tración de claves públicas o asimétricas (PKI) y la administración de llaves simétricas para definir una estructura general de cómo la norma se debe aplicar.

Mensajes de datos definición de la CNUDMI: “Información generada, enviada, recibida, archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser entre otros, el intercambio electrónico de datos EDI, el correo electrónico, el telegrama, el télex y el telefax”.

El mensaje de datos implica elementos físicos o inmateriales que llevan información, que se puede interpretar entre un origen y un destino. Esta definición aplicó a los canales tradicionales de comu-nicación como la radio, la TV, la voz, el teléfono, el telegrama, las cartas, los documentos en papel, etc.,, sin embargo, con el adve-nimiento del comercio electrónico, los registros electrónicos toman fuerza por cuanto se constituyen en los soportes de una transacción comercial. Por tanto, el registro electrónico se constituye como una evidencia que tiene equivalencia a los medios tradicionales, tales como las facturas, los pagarés, las promesas de compra, etc.

Requerimientos legales de la evidencia digital

En el caso Colombiano, la Ley 527 de 1999, reglamenta la admi-sibilidad y fuerza probatoria de los mensajes de datos, e indica los criterios para valorar probatoriamente un mensaje de datos.

Ley 527. ART. 10. Admisibilidad y fuerza probatoria de los mensajes de datos. “Los mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Ca-pítulo VIII del Título XIII, Sección tercera, Libro segundo del Código de Procedimien-to Civil. En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original”.

Ley 527. ART. 11. Criterio para valorar pro-batoriamente un mensaje de datos. “Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legal-mente para la apreciación de las pruebas. Por consiguiente, habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identi-fique a su iniciador y cualquier otro factor pertinente”.

Es decir, para que en Colombia un mensaje de datos tenga valor probatorio debe ase-gurarse: la confiabilidad en la forma en la que se generó; la confiabilidad en la forma en la que se conservó; y, la confiabilidad en la forma en la que se identifica al autor.

Además, la Corte Constitucional en la Sen-tencia No. C-662 de junio 8 de 2000, con-sideró: “El proyecto de ley establece que los mensajes de datos se deben considerar como medios de prueba, equiparando los mensajes de datos a los otros medios de prueba originalmente escritos en papel. Al hacer referencia a la definición de docu-

20 -

mentos del Código de Procedimiento Civil, le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el sistema telemático con el sistema manual o docu-mentario, encontrándose en igualdad de condiciones en un litigio o discusión jurí-dica, teniendo en cuenta para su valoración algunos criterios como: confiabilidad, inte-gridad de la información e identificación del autor”.

DEFINICIÓN DEL PROBLEMA

Es necesario definir una metodología lo su-ficientemente robusta para el tratamiento de la evidencia digital, que esté respalda-da por el apoyo científico e investigativo. De esta manera, la academia aportaría a la rama judicial los mecanismos necesarios y suficientes para el tratamiento del acer-vo probatorio. La metodología propuesta, debe cumplir con todos los protocolos que permitan homologar el análisis y tratamien-to de la evidencia digital con su interpreta-ción en el lenguaje jurídico.

Como primera medida, la evidencia digital requiere un riguroso proceso de levanta-miento o captura, identificación, extracción, análisis, documentación y preparación de la evidencia relacionada con el caso. Capturar es el primer paso y este se constituye en una parte clave del proceso. Si se comente un error en este punto es posible no obtener un resultado exitoso. Una vez la evidencia se captura, la preservación de la misma es igualmente elemento vital dentro de un proceso, puesto que la cadena de custodia debe garantizar la veracidad de la evidencia.

Caracterización de la solución

Una investigación cyberforensics exitosa requiere el apoyo de tecnologías adecua-das, ya sea en hardware y software y el co-nocimiento del marco legal que involucra la investigación del caso. Además, la acade-

mia investigativa se constituye en una fuente confiable como perito experto por su estatus y naturaleza imparcial e investigativa. Es de aclarar, que esta ciencia, es más que la investigación de fraudes, ya que la metodología requiere de conocimientos y fuerte experiencia en asuntos como:

- Adquisición de la evidencia digital sin alterarla o dañar el original.- Preservación y aseguramiento de la evidencia.- Análisis de la evidencia digital tomando una copia del

original – imagen.- Análisis de la evidencia digital sin modificarla.- Preparación de resultados.- Conclusiones del perito experto.

La evidencia de la auditoría

La información que soporta la evidencia del auditor, tiene caracte-rísticas de evidencia digital por tener consistencia de prueba ante una corte o en un proceso civil. Las características de la evidencia de auditoría están fundamentadas en la suficiencia, relevancia y competencia de los papeles de trabajo del auditor, que hoy en su mayoría son documentos electrónicos.

La confiabilidad de la evidencia del auditor estará enmarcada en los siguientes principios:

- Independencia = acceso a la fuente que provee la evidencia.- Objetividad de la evidencia = interpretación de la evidencia.- Tiempo de disponibilidad de la evidencia = cuánto tiempo hay

que mantenerla y para quién debe estar disponible.- Integridad de la data.- No debe ser contaminada.- Exactitud de la información.

Todas la evidencias del auditor están soportadas en papeles de tra-bajo que han venido evolucionando de papeles físicos a papeles electrónicos, y es así como la evidencia de auditoría cada vez toma más fuerza como evidencia electrónica, con total validez de acervo probatorio ante una corte; sin embargo, para que la evidencia elec-trónica de auditoría tenga el mismo valor probatorio que la evidencia física, debe tener en cuenta los siguientes elementos:

No repudio = el papel de trabajo debe ser preparado y revisado por que dice ser. No debe ser suplantado de manera electrónica.

El papel de trabajo de auditoría no debe ser modificable ni modifica-do una vez esté cerrado.


- 21

Los papeles de trabajo electrónico requieren una traza (log) para casos de modificación, cuando están en proceso de elaboración de los mismos y para consulta, cuando están cerrados.

El papel de trabajo electrónico de auditoría, debe ser confidencial y debe estar protegido de manera segura en el sitio donde se custodie.

El papel de trabajo debe permitir amarrarse con otros papeles y marcas o referencias cruzadas.

Los papeles de trabajo electrónicos deben permitir adjuntar sopor-tes y evidencias, que permitan determinar la fuente de donde fue recibida la información.

Todos los papales de trabajo deben ser plenamente auditables, por parte de un perito experto, como parte de un proceso de cómputo forense, si se llegase a requerir, ya sea por parte de una corte o estamento judicial.

Todas las condiciones de la evidencia electrónica de los papeles de auditoría, se deben fortalecer con la combinación de las siguientes herramientas:

- Herramientas de cifrado de datos con algoritmos seguros, que garanticen que los papales sean cifrados y mantengan las con-diciones de información confidencial de los mismos.

- Certificados digitales, que garanticen que los documentos no han sido modificados y que eviten el riesgo de no repudio.

- Configuración y custodia segura de los logs o trazas, todos los logs se constituyen en evidencia que los documentos han sido debidamente tratados y custodiados. Los logs deben ser inalterables, almacenados y sincronizados con la hora legal, que para el caso particular corresponde a la hora legal de la Superintendencia de Industria y Comercio.

CONCLUSIONES

La información que soporta la evidencia de auditoría cada vez más tiende a convertirse en evidencia digital, es así como el archivo de auditoría se ha convertido en un repositorio electrónico, donde re-posan papeles de trabajo electrónicos, soportes y desarrollo de pla-nes de auditoría, entre otros. En razón, a que la evidencia del auditor tiene validez de acervo probatorio ante una corte, es necesario, que las prácticas de elaboración, protección y custodia de dichos repo-sitorios, cumpla con condiciones técnicas de seguridad apropiadas, como por ejemplo; ciframiento, logs de acceso, firmados digitales o certificados digitales, etc.

Cada elemento de seguridad permitirá sal-vaguardar la evidencia digital y permitirá darle la validez por parte de un perito, al momento de presentarla ante un juez. De lo contrario, si se demuestra que la evi-dencia pudo ser contaminada, modificada o alterada, el juez dará por desechada la prueba y la evidencia de auditoría puede no tener ningún efecto probatorio, implicando responsabilidad civil y consecuencias le-gales para el auditor.

REFERENCIAS

Cano J. (2009), Computación Forensics. Ed Alfao-mega. ISBN 978-958-682-767-6

Cano J. (2010), Peritaje informático y la evidencia digital en Colombia. Editorial Universidad de los An-des. ISBN 978-958-695-492-1

Herrerías J, Gómez R, (2010), Log Analysis towards an Automated Forensic. Diagnosis System. 978-0-7695-3965-2/10 ©

INSTITUTO DE AUDITORES INTERNOS. Marco in-ternacional para la práctica profesional de la audito-ría Interna. ISBN 978-958-99195-2-1

Lin, Zhitang, Cuixia, (2009), Automated Analysis of Multi-source Logs for Network Forensics. 978-0-7695-3557-9/09 ©

Nisimblat N. (2010), El manejo de la prueba electró-nica en el proceso civil colombiano. Universidad de los Andes. ISS 1909-7786

22 -

RESUMEN

La tecnología de la información ha cambia-do la manera en la que actualmente las em-presas operan, debido a las ventajas que proporciona para compartir y procesar in-formación y difundir con rapidez su imagen corporativa. Sin embargo, las empresas se hacen vulnerables a innumerables delitos informáticos; es por ello, que es necesario reconocer al auditor de sistemas no solo como perito informático, en su papel de profesional experto para intervenir en un proceso judicial, sino que también debe ser reconocido en las organizaciones como un experto en informática forense que reúna pruebas, las analice y emita un juicio, para prevenir, detectar y determinar complejos esquemas de delito y acciones premedita-das que puedan afectarlas.

Palabras clave: Derecho informático, audi-toría forense, delito informático, tecnología de la información.

INTRODUCCIÓN

En la actualidad conocemos la auditoría de sistemas como el análisis y evaluación de normas, procedimientos, procesos para de-terminar las vulnerabilidades, debilidades y fortalezas con que cuenta el aspecto o área informática a auditar, esta con el paso del tiempo y los avances tecnológicos ha ido cobrando valor y ampliando su campo de acción. Alonso Tamayo Álzate en su libro Auditoría de sistemas. Una visión práctica, menciona “La auditoría informática debe-ría comprender no solo la evaluación de los equipos de cómputo o de un sistema o procedimiento específico, sino que además

ROL DEL AUDITOR DE SISTEMAS EN LA INFORMÁTICA FORENSE

ING. LUZ EDILSA ORTIZ LÓPEZCandidata a Especialista en Auditoría de Sistemas. Universidad Antonio Nariño

habrá que evaluar los sistemas de información, en general, desde sus entradas, procedimientos, controles, archivos, seguridad, y obtención de información. Ello debe incluir los equipos de cómputo como la herramienta que permite obtener la información adecuada y la organización específica que hará posible el uso de los equipos de cómputo”. (Alzate, 2001)

De acuerdo con lo anterior, el propósito de este artículo es reflexio-nar sobre el papel del Auditor de Sistemas contemporáneo en casos procesales de justicia y como agente que previene a las organiza-ciones de posibles delitos informáticos. Por ello, se abordarán los conceptos más relevantes sobre derecho informático, informática forense, el rol del auditor de sistemas en la informática forense y la nuevas Normas Internacionales de Auditoría, junto con algunos eventos que han sucedido, en los que intervienen los temas rela-cionados anteriormente.

PROBLEMA DE INVESTIGACIÓN Y MÉTODO

Planteamiento del problema

En 1950 aún no se hablaba de auditoría de sistemas, puesto que la informática era una herramienta para otros tipos de auditoría como por ejemplo la financiera, y esta se llamó auditoría con el computador. Años más tarde entre 1970 y 1980 pasa de ser la au-ditoría alrededor del computador a ser la auditoría del computador; se comienza a mencionar la necesidad de auditar las actividades formales de la información, debido a que los procesos se hacían dependientes de los sistemas de información, y porque se descu-bren intentos de fraude cometidos desde un computador. A partir de 1990, la información pasa a ser uno de los activos principales de la empresa y también representa una ventajosa estrategia de productividad y calidad, es allí donde cobra mayor importancia la Auditoría de sistemas y se empieza a adoptar e implementar en grandes organizaciones que buscan conocer y controlar los recur-sos informáticos. (Piattini, 2001)

Es importante destacar también, los acontecimientos en la línea del tiempo en el que el Derecho y la informática, siendo dos materias distintas, han ido unificándose para ofrecer al mundo contempo-ráneo mejoras en su calidad de vida. Por una parte, el derecho


- 23

estudia las normas que rigen la conducta humana, mientras que la informática, estudia sistemas, procesos, técnicas y herramientas para procesar, almacenar y transmitir información. En la historia, el cruce de estas dos se realiza entre los años 1960 y 1970, cuando la informática era una herramienta que permitía desarrollar aplica-ciones para el registro de la información jurídica de la administra-ción pública. Entre los años 1980 y 1990, se utilizó la informáti-ca para la recolección y redacción de textos jurídicos. A partir de 1990, hasta la actualidad, la informática hace parte importante de

la justicia, con la utilización del comercio electrónico, firmas digitales y, en general, el uso de las tecnologías de la información, debido al surgimiento de los delitos infor-máticos. (Higueras, 2002) Hoy en día, en cuanto a estas dos disciplinas, se conoce el término de informática forense, que es la encargada de estudiar evidencias digitales en un proceso judicial.

Entonces, ¿Qué función cumple el auditor de sistemas en la cam-biante pero transformadora ciencia de la informática forense?

METODOLOGÍA Y TIPO DE INVESTIGACIÓN

En este artículo se aplicó la investigación documental, en la que se llevó a cabo la selección y recopilación de documentación y revi-sión bibliográfica para ahondar en el tema de investigación, conocer el estado actual y los aspectos a investigar; dentro de esta revisión se incluyeron libros, artículos, tesis y leyes, que luego fueron unifi-cados de acuerdo con el tema; se evaluó la información recopilada para verificar la pertinencia con respecto a la finalidad del artículo. RESULTADOS DE LA INVESTIGACIÓN

Para comprender mejor el tema, es necesario empezar por cono-cer los conceptos básicos a tratar. El derecho informático es un conjunto de normas, aplicaciones, procesos y relaciones jurídicas resultantes de la utilización de la tecnología y la informática, en cualquier actividad realizada por el hombre. De tal manera que, el derecho informático viene a ser la base legislativa en la que el Audi-tor de sistemas se debe mover en cuanto a la realización de buenas prácticas con respecto a temas como firmas y comercio electró-

Evolución de la auditoría forense, diseñada por la autora del artículo

nico, gobierno electrónico y transparencia, delitos informáticos y la e-justicia o aplica-ción de las TICS a los sistemas judiciales. Es por ello, que las Naciones Unidas, junto con la United Nations Conference on Tra-de and Development (UNCTAD) (Naciones Unidas, 2010), implantaron algunas Mo-del Laws o temáticas para que todos los países tengan una referencia o analogía a normativas estándar.

La informática forense es la ciencia que se encargada de recopilar, preservar y analizar la información digital contenida en disposi-tivos digitales, servidores, bases de datos, y en general, en sistemas de información (Cano, 2011), y presentar un informe so-bre los resultados de dicho estudio.

De acuerdo con lo anterior, hay una rela-ción estrecha entre derecho informático e informática forense, puesto que se com-plementan y con la implementación de

24 -

tecnologías de la información, se vuelven dependientes uno del otro, convirtiéndose casi que en una sola disciplina.

Los objetivos de la informática forense son:

- La compensación de los daños causa-dos por los criminales o intrusos.

- La persecución y procesamiento judi-cial de los criminales.

- La creación y aplicación de medidas para prevenir casos similares.

Para lograr los anteriores objetivos se debe contar con una excelente recolección de evidencia digital.

La ciencia forense facilita las herramientas, técnicas y métodos sistemáticos que pue-den ser usados para analizar una evidencia digital y usar dicha evidencia para recons-truir lo ocurrido en la realización del crimen con el último propósito de relacionar al au-tor, a la víctima y la escena del crimen (Zuc-cardi, 2006). De acuerdo con lo anterior, la ciencia forense permite identificar, recupe-rar, reconstruir o analizar la evidencia du-rante una investigación criminal.

“La evidencia digital es un dato en el que se puede determinar que se ha realizado un crimen y debe mostrar la relación en-tre su víctima y su autor” (Casey, 2004), esta evidencia digital, a diferencia de una documental, tiene la desventaja de ser frá-gil debido a que se puede realizar copias no autorizadas de archivos, sin dejar rastro de esto. Para realizar el estudio de estas evidencias se deben utilizar Checksums o hash MDS para crear copias idénticas del disco sospechoso sin alterar su tamaño o información. Al ocurrir un crimen los au-tores habitualmente intentan manipular y afectar la evidencia digital, como por ejem-plo, tratar de borrar cualquier indicio. En este caso, es necesario que la evidencia tenga las siguientes características:

Debe ser duplicada exactamente a la original. Actualmente existen herramientas para determinar si la evidencia digital ha sido alterada.

Es muy difícil de ser eliminada. Si el rastro es borrado, puede haber una copia en otro lugar o puede ser recuperada por medio de soft-ware especializado.

La evidencia digital se clasifica en registros generados por com-putador. Estos son generados como resultado de una aplicación instalada en el computador, son por lo general, inalterables por otra persona, se conocen también como registro de eventos de seguridad (logs). Registros no generados sino simplemente alma-cenados por o en computadores. Los genera una persona y se almacenan en un computador, lo principal de estos archivos para que sean una evidencia, es demostrar la identidad del generador. Registros híbridos que incluyen registros generados por computa-dor y almacenados en los mismos. Son la combinación de logs y archivos generados por personas. (Cano, 2005)

En la actualidad, existen leyes, reglamentos y normativas que in-dican que es necesario que las organizaciones cuenten con pro-fesionales que realicen auditoría a las tecnologías de información implementadas, con el fin de recopilar evidencias digitales, detectar vulnerabilidades de seguridad, y que ejecuten pruebas utilizando herramientas asistidas por computador.

La Universidad Nacional de Colombia, sede Manizales, en el módu-lo 5 de la Especialización de Auditoría de Sistemas menciona: “En las normas internacionales de auditoría emitidas por IFAC (Interna-tional Federation of Accountonts) en la NIA (Norma Internacional de Auditoría o International Standard Auditing, ISA) 15 y 16, se contempla la necesidad de utilizar otras técnicas además de las manuales como la Técnica de Auditoría por Computadora (TAAC).

Norma ISA 401, sobre Sistemas de Información por Computadora. SAS N° 94 (The Effect of Information Technology on the Auditor´s Consideration of Internal Control in a Financial Statement audit) dice que en una organización que usa tecnologías de Información (IT), se puede ver afectada positivamente en uno de los siguientes cinco componentes del control interno; el ambiente de control, evalua-ción de riesgos, actividades de control, información, comunicación y monitoreo, además de la forma en que se inicializan, registran, procesan y reportan las transacciones. Como por ejemplo, ante la imposibilidad de realizar pruebas manuales, debido a que depen-den de un proceso complejo, que implica grandes cantidades de datos.


- 25

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAAT) o Téecnicas de Audi-toría Asistidas por Computador (TAAC), plantea la importancia del uso de los TAAC en auditorías en un entorno de sistemas de infor-mación por computadora (SAP 1009). Esta norma define las TAAC como aplicaciones que se utilizan en parte de los procedimientos de auditoría para procesar información significativa en un sistema de información, como es el caso de procedimientos de identifica-ción de inconsistencias, configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos, pruebas de control en aplicaciones, etc. (Universidad Nacional de Colombia)

ROL DEL AUDITOR DE SISTEMAS EN LA INFORMÁTICA FORENSE

En la actualidad, las organizaciones operan bajo la utilización de tecnologías de la información, esto hace que sea necesario tener estructuras informáticas seguras, de tal manera que brinden pro-tección y garanticen el desarrollo y productividad en las activida-des, de acuerdo con su finalidad. La auditoría forense informática, proporciona la manera de salvaguardar la información y protegerla de los delitos informáticos, esto se logra por medio de la recopila-ción y análisis de las acciones que se realizan premeditadamente, reuniendo la mayor cantidad de evidencias digitales; utilizando he-rramientas, técnicas y personal capacitado para detectar y prevenir los eventos delictivos que atentan contra la privacidad y el buen uso de la información en el entorno tecnológico en que se desenvuelve.

En este contexto el auditor de sistemas en la informática forense tiene campo de acción como Perito Forense, también llamado Au-ditor Forense.

El Perito Forense reconstruye los sucesos, tras ocurrido un even-to delictivo, este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. Basado en esta información investiga, analiza en forma exhaustiva, evalúa, inter-preta, y con base en ello, emite su opinión ante un proceso judicial y persuade a jueces y jurados acerca de la información sobre la cual pesa una presunción del delito.

Es por ello que, la informática forense se convierte en una herra-mienta primordial de la justicia moderna, para detectar a los delin-cuentes informáticos, y como garante en los procesos judiciales en los que interviene la evidencia digital; en ésta se aplican conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, para dar apoyo a los procesos

judiciales, para que, de esta manera, se puedan esclarecer los incidentes, fraudes o usos indebidos.

Por otra parte el Auditor Forense, es con-tratado por una empresa con el fin de verifi-car, recopilar y analizar evidencias digitales del sistema de información computacional que maneja y los recursos informáticos que están vinculados a él, de tal manera que se puedan detectar vulneraciones. La importancia de realizar auditoría forense se ve claramente definida en las siguientes actividades que contiene:

- Ayudan a las organizaciones a detec-tar y combatir los delitos cometidos en las tecnologías de la información.

- El Auditor Forense debe detectar erro-res, irregularidades o actos ilícitos que atenten contra la organización; debe tener profundo conocimiento en las leyes del país donde se realiza la auditoría; la naturaleza y alcance de la auditoría, se ven afectados por esta legislación, por ejemplo debe conocer la penalización en caso de delito.

- Se apoya en herramientas y normas legales para el hallazgo y evaluación de los posibles infractores, en el uso de internet, acceso remoto, accesos a sitios no autorizados, aplicaciones que contaminan o desencadenan de-sastres tecnológicos y, en general, cualquier actividad no autorizada a la información.

- Debe entregar un informe final sobre los resultados de la auditoría, la base de su juicio profesional, recomenda-ciones con sustento legal y técnico, detallando las acciones pertinentes y el tiempo para cada una, con el pro-pósito de salvaguardar la información. Previo a esta presentación formal, se deben someter a discusión y consi-deración de los responsables de las áreas involucradas para asegurar que

26 -

las evidencias y las conclusiones sean sólidas, se pueda dar pertinencia a las recomendaciones y la objetividad del informe de la auditoría anterior en caso de haberla.

- Al presentarse el caso que en la audi-toría se determinan indicios de presun-tas irregularidades o delitos informáti-cos con responsabilidad civil, penal o administrativa, el auditor debe identifi-car el riesgo y efecto sobre las opera-ciones del área auditada, luego debe informar al directivo encargado, a las autoridades de la entidad, con el pro-pósito de adoptar medidas correctivas y se dispongan las demás acciones a que haya lugar. Si la auditoría es exter-na el auditor debe indicar al organismo de control responsable.

Ahora bien, es necesario hablar de las téc-nicas de auditoría, estas son utilizadas por el auditor para investigar y probar que las actividades y procesos auditados cumplen con los estándares, normas y políticas adoptadas por la empresa; a partir de ellas, el auditor emite su opinión profesional. En la auditoría forense o peritaje forense, se utilizan herramientas de análisis forense que permiten extraer evidencias digitales las cuales son utilizadas como evidencia de auditoría, esta evidencia puede ser en-contrada en la información almacenada en log´s de actividad de los sistemas infor-máticos y log’s de actividad de aplicacio-nes informáticas que se ejecutan en cada servidor y en cada equipo de cómputo; estos se pueden catalogar como evidencia de autoría debido a que es competente y suficiente puesto que tiene las siguientes características:

- Autenticidad, quiere decir que la evi-dencia fue obtenida en la escena del acontecimiento sin alterar los medios originales.

- Confiabilidad, la evidencia obtenida proviene de una fuente ve-rificable y creíble.

- Relevancia, es base firme para que el auditor pueda llegar a una conclusión respecto a los objetivos de la auditoría.

- Verificabilidad, que la evidencia obtenida proviene de una fuen-te verificable y creíble; es decir, asegurar que los registros y log´s del sistema del equipo utilizado para la recolección de la evidencia estén sincronizados y puedan ser verificados e identificados, y se pueda crear una línea de tiempo.

- Neutralidad, la evidencia debe estar libre de prejuicios, sin in-tereses especiales.

El Auditor de Sistemas utiliza ésta evidencia de acuerdo al requeri-miento que se le realice, este puede ser para probar, es decir, probá-tica, o para conocer e indagar, que se conoce como investigativa. La diferencia entre las dos, es el tratamiento que se le da a la evidencia.

La función del Auditor de Sistemas en el ámbito forense en la ac-tualidad, se basa en la experiencia y está relacionada al campo de acción a estudiar y el resultado que se requiere de él, este puede ser en procesos judiciales o en el ámbito empresarial. Como se explica a continuación:

El Auditor de Sistemas como perito es requerido en un proceso judicial, es allí donde debe utilizar la evidencia para probar, allí se deben extremar las precauciones de extracción de la evidencia y su tratamiento para evitar cualquier contaminación o variación. Tam-bién es importante documentar cada procedimiento para minimizar la posibilidad de repudio.

La función del Auditor de Sistemas también es la de investigar, utilizando la metodología de la auditoría y técnicas forenses para evaluar la seguridad informática con que cuenta la organización en cuanto a delitos informáticos, para garantizar su integridad y protección a cualquier intrusión. Sin embargo, en caso de hallar un caso de delito o fraude, el auditor puede actuar como garante de la prueba.

EL AUDITOR DE SISTEMAS FORENSE EN EL ÁMBITO EMPRESA-RIAL

En una encuesta realizada (KPMG Colombia, 2013), a 197 di-rectivos de empresas que operan en Colombia para “conocer la incidencia y el impacto que tienen los crímenes económicos, en sus modalidades de malversación de activos, fraude financiero, corrupción y cibercrimen,”, titulado como Encuesta de fraude en Colombia 2013, solamente el 28% de las empresas cuentan con


- 27

administración de riesgos de fraude, 6% no están informadas so-bre el tema, y 71% no cuentan con este tipo de precauciones (Ver imagen). En complemento con lo anterior, la incidencia de críme-nes económicos en las empresas colombianas es de 69%, de este porcentaje el 70% es fraude interno (realizados por personal de la empresa) y el 30% es fraude externo (ejecutados por personas aje-nas a la empresa).

Por consiguiente, es de vital importancia para las organizaciones contar con un equipo de auditoría de sistemas, para que éste reali-ce un estudio entre lo que se tiene y lo que se desea y comunique las variaciones, detecte las vulnerabilidades y riesgos para llegar a establecer controles, de tal manera, que el sistema de información cuente con la efectividad que la organización necesita para cumplir con sus objetivos. El Auditor de Sistemas, en su preparación, debe incluir conocimientos sobre este tema, puesto que en una organi-zación es muy importante cuidar uno de los activos más valiosos, la información.

En la actualidad las organizaciones deben buscar el crecimiento sostenido y posicionamiento en el mercado, es por ello, que utilizan nuevas tecnologías, y junto con la implementación de ellas también crece la amenaza de ser víctimas de un delito informático.

Teniendo en cuenta que los delitos informáticos en la mayoría de los casos se detectan después de ocurridos, es necesario que el Auditor de Sistemas, pueda prevenir las posibles actividades ilíci-

tas que puedan realizarse en el sistema de información desde dentro o fuera, basado en las evidencias digitales, y de esta mane-ra, la organización pueda tomar decisiones con base en una información oportuna y confiable.

El Auditor de Sistemas debe planear y eje-cutar un programa para la gestión de ries-gos de delitos informáticos, en el que debe tener en cuenta recursos tecnológicos, hu-manos y conocimientos basados en la ex-periencia, con el propósito de minimizar los riesgos a los que se encuentra expuesto. La gestión de riesgos debe cumplir con la finalidad de mitigar los riesgos, a través de controles que garanticen la seguridad de los activos de la empresa en un evento de frau-

Empresas que cuentan con administración de riesgos de fraude.

28 -

de, robo o cualquier otra forma de conductas inapropiadas, y que a su vez, permitan detec-tar a tiempo estos eventos antes de que ocu-rran. De acuerdo con lo anterior, la función de Auditor de Sistemas en el ámbito forense se hace basada en lo expuesto en la siguiente imagen. Y se explica a continuación: Detecta: para ello debe realizar una evalua-ción de riesgos y conductas irregulares, par-tiendo del reconocimiento del entorno y con-texto en que se desenvuelve la organización. Junto con esto, aumentar la percepción de la amenaza que representan las actividades ilícitas en los sistemas de información como alterar, borrar, robar, manipular, enajenar in-formación confidencial de la empresa.

Identificar: por medio de un análisis forense minucioso del flujo de la información de la empresa, en los diferentes enfoques como las redes de datos, bases de datos, com-portamiento de las aplicaciones dentro y fuera (Nube).

Basado en la evidencia digital: proveer y dar recomendaciones que lleven a la organiza-ción a establecer controles efectivos para mitigar las amenazas que trae implícita la utilización de la tecnología de la informa-ción; y brindar el seguimiento en cuanto a la forma de aplicar las recomendaciones dadas. (KPMG Colombia, 2013)

Todas las empresas están expuestas a una eventualidad de delito informático interno o externo, pero este se puede mitigar cuando se detecta, se identifica y se toman decisio-nes con la finalidad de establecer, super-visar y monitorear controles, su correcta aplicación y ejecución. De esta manera, el auditor de sistemas previene a la orga-nización que tenga graves consecuencias como una pérdida económica, cancelar planes de expansión del negocio, pérdida de la información confidencial, extorsión o chantaje, mala reputación o daño de ima-

gen corporativa, piratería de activos de la compañía, demandas laborales o comerciales, e incurrir en multas y sanciones.

Partiendo de la premisa que la auditoría de sistemas debe tener como fin evaluar la forma como se realiza la gestión del riesgo (identifica-ción, análisis, evaluación y tratamiento de los riesgos), debemos en-tender entonces que la función del Auditor de Sistemas puede tener diferentes alcances de acuerdo con el rol que desempeñe:

Asesor: su función es asesorar procesos para reducir riesgos y dar a conocer recomendaciones y sugerencias en cuanto a la gestión del riesgo y evaluación de los controles.

Consultor: este orienta, acompaña y aconseja sobre la manera de implementar estrategias y sistemas que garanticen la seguridad de la información y la forma como reacciona cada una de sus partes (procesos y personal) ante un eventual ataque delictivo interno o externo. Orientar hacia la correcta gestión del riesgo, en este caso, en cuanto a delitos informáticos.

Evaluador: conoce las auditorías realizadas anteriormente en la empresa y evalúa las actividades y pruebas realizadas; evalúa el desempeño de los controles establecidos en auditorías pasadas.

Coaching forense: desde la sólida formación y experiencia pro-fesional observa cómo se llevan los procesos y los dispositivos tecnológicos utilizados, así aumenta la percepción y mejora la ac-tuación ante posibles ataques, determina objetivos en el grupo de trabajo, actúa y motiva hacia buenas prácticas basadas en están-dares o modelos de calidad. (Rojas, 2014)

CONCLUSIONES

En los últimos años se ha hecho muy importante contar con un Au-ditor Forense que cumpla con la función de prevenir, detectar y de-

Funciones del auditor en la informática forense, diseñado por la autora del artículo.


- 29

terminar complejos delitos informáticos que se realizan en las organizaciones; para esto, el auditor se basa en el levantamiento de evi-dencias digitales, utilizando técnicas avanza-das de investigación, que abarcan todos los recursos de tecnología de la información, los procesos que están involucrados en el área a auditar o que interactúan con ella.

Anteriormente se pensaba que la función del Auditor de Sistemas en el campo foren-se solamente se relacionaba con el rol de perito, que se desempeña analizando evi-dencias digitales para determinar si existen eventos relacionados con delitos informá-ticos, presuntos autores, cómplices y en-cubridores, y ponerlos a disposición de la justicia que se encarga de analizar, juzgar y dar la sentencia respectiva.

Actualmente, el alcance de la función del auditor forense tiene un amplio espec-tro de funciones dependiendo del rol que el auditor desempeñe en la organización, sin embargo, debe cumplir con funciones básicas, como detectar, identificar y reco-mendar buenas prácticas para el manejo de tecnologías informáticas seguras ante eventuales delitos informáticos.

La auditoría forense trae muchos benefi-cios a las organizaciones, como la detec-ción oportuna, seguimiento y respuesta de hallazgos encontrados de un acto delictivo, que en la mayoría de los casos son ocasio-nados por parte de integrantes de la misma empresa. Por otra parte, también han sido de ayuda para resarcir el daño ocasionado por un delito informático que se haya realizado.

En cuanto a la experiencia del auditor, debe tener amplios conocimientos sobre el análi-sis e investigación de la evidencia, debe es-tar certificado por una entidad competente en el área, y debe tener la habilidad de iden-tificar el rastro del delito, por su propia intui-ción y experiencia en los eventos delictivos.

Debido a que la informática forense es una ciencia relativamente nueva, es necesario profundizar en este tema y orientar a los au-ditores en el conocimiento de las metodologías, procedimientos y técnicas de investigación que esta requiere, de tal manera que la auditoría forense sea un aspecto a tener en cuenta en la temática de formación del auditor, en razón a que la tecnología es una herra-mienta importante dentro de las distintas profesiones, e igualmente en cualquier tipo de entidad sea cual sea su labor.

REFERENCIAS

Altmark, D. R. (1987). Informática y Derecho. Vol I. Buenos Aires. Depalma.

Alzate, A. T. (2001). Auditoría de sistemas una visión práctica. Manizales: Uni-versidad Nacional de Colombia.

Cano Martínez Jeimy José, M. G. (2005). Evidencia digital: contexto, situación e implicaciones nacionales. Bogotá D.C. Universidad de los Andes.Cano, D. (2011). Contra el fraude: Prevención e Investigación en América Latina. Buenos Aires. Ediciones Granica S.A.

Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Com-puters, and the Internet. Maryland: ELSEVIER.

Higueras, G. F. (2002). Código de derecho informático y de las Nuevas Tecnolo-gías. Madrid. Civitas.

KPMG Colombia. (2013). Encuesta del fraude en Colombia 2013. Obtenido de Forensic Services: http://www.kpmg.com/CO/es/IssuesAndInsights/Article-sPublications/Documents/Encuesta%20de%20Fraude%20en%20Colombia%202013.pdf

Martínez Villalba, J. (2002). La Pretendida Autonomía del Derecho Informático. Revista de derecho informatico.

Naciones Unidas. (Marzo de 2010). Panorama del derecho informático en Amé-rica Latina y Caribe. Obtenido de http://www.cepal.org/ddpe/publicaciones/xml/8/38898/w302.pdf

Rojas, J. (2014). Importancia y los roles del auditor de sistemas en las em-presas de Colombia. Bogotá: Monografía para optar al título de Especialista en Auditoría de Sistemas.

Piattini, M., E. d. (2001). Auditoría informática un enfoque práctico. Bogotá: ALFA Y OMEGA.

Universidad Nacional de Colombia, S. M. (s.f.). Auditoría de Sistemas. Obtenido de Modulo 5: http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035b/und_5/html/normas.html

Zuccardi, G. (2006). Informática Forense.

30 -

EVENTOS ACADÉMICOS

SEDE PASTO Encuentro Ecológico "UAN LIBRE"

-La UAN, sede Pasto, propende por la formación integral de sus es-tudiantes para que contribuyan a mejorar el medio donde viven, es por ello que, a través del proyecto de aula “MI APORTE AL PLANE-TA EN LA UAN” los estudiantes de TERCER SEMESTRE DE CONTA-DURÍA PÚBLICA, lideraron una campaña buscando generar con-ciencia ambiental en la comunidad educativa, sobre cómo dar buen uso a las botellas plásticas construyendo ladrillos ecológicos y, de esta manera, ayudar a mitigar en parte, la problemática ambiental.

Los estudiantes de Contaduría Pública de la UAN Sede Pasto dicen “Sabemos que no vamos a salvar el mundo, pero con pequeñas acciones podemos evitar efectos a futuro, contribuyendo así a un desarrollo sostenible y los eco-ladrillos son una idea creativa que va a generar un beneficio tanto ecológico como económico a todos nosotros,” invitando a toda la comunidad educativa a participar.

El pasado 25 de abril, en el homenaje al Día de la Tierra, se realizó un encuentro Institucional con la participación de todos los esta-mentos de la UAN sede Pasto, para culminar la campaña ambien-tal donde se recolectaron botellas PET y eco-ladrillos, que serán utilizados en el proyecto CONSTRUCCIÓN DEL JARDÍN AMBIEN-TAL “UAN LIBRE” PARA LA RETROALIMENTACIÓN DEL MEDIO AMBIENTE Y CONVIVENCIA SOCIAL EN LA UAN SEDE PASTO”, proyecto de aula que realizan los estudiantes de contaduría pública en el área de ecología con su docente MGE. Carmen Helena Arturo Rodríguez.

En el evento se socializó el proyecto ecológico, se presentaron videos de conciencia ambiental, se premió a los estudiantes que tuvieron mayor participación, y al curso que más botellas PET re-colectó.

“REUTILIZAR UN PRODUCTO QUE NO SEA BIODEGRA

DABLE ES UNO DE LOS PRINCIPIOS PARA REDUCIR LA

HUELLA ECOLÓGICA”

- 31


La campaña ambiental “UAN LIBRE”, centró sus esfuerzos en que la comunidad educativa de la sede Pasto tome conciencia de lo que significa el problema de la basura en el ambiente, promoviendo el reciclaje de botellas PET, enseñando cómo hacer buen uso de ellas y qué tipo de residuos pueden ir dentro de las mismas para elaborareco-ladrillos .

SEDE DUITAMA

Seminario Internacional de Actualización ContableFecha 29 de mayo de 2014Conferencistas Invitados: Dr. Pedro Luis Bohórquez - Contador General de la NaciónDr. Jesús Martínez - Agregado Comercial de la Embajada de Venezuela en Colombia Dr. Enrique Sandino Vargas - Decano Nacional de Contaduría Pública

OR A A O I A A A A O OR AR A AI RRA O A A A A A I A A I R

G

GG

R

A

kElLYmArIa

Sticky Note

Marked set by kElLYmArIa

kElLYmArIa

Typewritten Text

kElLYmArIa

Typewritten Text

32 - 32 -

En esta imagen aparecen los estudiantes de Contaduría Pública, de las Sedes de Bogotá, Duitama y Tunja, que realizaron el diplomadoen NIIF que se desarrolló en la Sede Duitama, durante el segundo semestre de 2014

SEDE SANTA MARTA

-

-

Diplomado en Gestión de la Investigación e Inno-vación, a cargo de la Vicerrectoría de Ciencia, Tecnología, Investigación e Innovación (VCTII).Conferencia al Colegio de la Policía Nacional, Nuestra Señora de Fátima, sobre la “Investigación en la escuela”.

- Charla informativa acerca de investigación para futuras visitas a los coordinadores de la sede.

- Charla a los estudiantes de los programas de Con-taduría Pública, Comercio Internacional y Adminis-tración de Empresas, acerca de las pruebas saber.

Dictado por docentes Mexicanos que vinieron a compartir su experiencia de más de diez años en la implementa-ción de NIIF, con el fin de facilitar a la comunidad contable asumir este reto. En el Diplomado participaron estudian-tes de último semestre de las sedes Bogotá, Duitama y Tunja, Docentes y Contadores de la Región. Resultado de este proceso cada uno de los estudiantes participantes escribió un artículo relacionado con los temas desarrolla-dos en el diplomado, los cuales se relacionan a continuación.

Diplomado en Normas Internacionales de Información Financiera UAN-UNAM-ALAFECFecha del 10 de octubre AL 13 DE Diciembre de 2014.


kElLYmArIa

Typewritten Text

- 33


XIII Encuentro Nacional de Estudiantes de Contaduría Pública 201422 de noviembre de 2014

En este evento nuestra estudiante de la Sede Bogotá JENNI MILENA CASTILLO CORONEL, se presentó con la ponencia “El Contador Público y su nueva perspectiva profesional” en la Uniagustiana. Semillero EXDINCON – Sede Bogotá.

XIII Congreso Colombiano de Contaduría PúblicaNoviembre 13 y 14 de 2014

Participaron las docentes investigadoras Diana María Ayala y Diana Figueroa del Grupo de Investigación Con-sultorio Contable, con la Ponencia: Las instituciones privadas de educación superior: Las fallas del mercado y la importancia de la información transparente hacia la sociedad. Reflexión a propósito de convergencia a NIIF.

SEDE BOGOTÁ

A

34 -

34 -

“Novena Jornada de Sensibilización y Socialización UAN” Realizada en la “Fundación Eterna Juventud”

La UNAM otorga reconocimiento a la Universidad Antonio Nariño

Mayo 24 de 2014

Al igual que todas las jornadas de Sensibilización y Socialización UAN, ésta también fue todo un éxito, gracias a la acogida que se ha tenido por parte de los alumnos y adicionalmente por parte de egresados y profesores de la Universidad. Se logró llevar recreación, alegría, entrega, música, y lo más importante compromiso social a muchas personas.

El pasado 25 de noviembre de 2014, una delegación de la UNAM le otorgó un reconocimiento a la UAN por la labor desarrollada en la gestión y apoyo en el proceso de la difusión de las Normas Internacionales de Información Financiera NIIF. En el acto estuvieron presentes en representación de la UNAM, el Dr. Juan Alberto Adam Siade Director de la Facultad de Contaduría y Administración, Dr. Eric Manuel Rivera, jefe de la división de educación continua y por la UAN, la Dra. Marta Losada, Rectora y Dr. Enrique Sandino Vargas decano de la Facultad de Contaduría Pública.

En esta imagen aparece la Dra. Marta Losada Rectora de la UAN y el Dr. Eric Manuel Rivera, jefe de la división de educación continua de la UNAM

En esta imagen aparece el Dr. Enrique Sandino Vargas decano de la Facultad de Contaduría Pública UAN y Dr. Juan Alberto Adam Siade Dir. Facultad de Contaduría y Administración de la UNAM


NUESTRA FACULTAD EN IMÁGENES

EN ESTE NÚMERO LE HACEMOS HOMENAJE A LA PROMOCIÓN DE

CONTADORES 2012-I

www.uan.edu.co