PHISHING

Definición:
Es una modalidad de estafa diseñada con la finalidad de obtener todos los datos
posibles del usuario, tales como números de tarjetas de crédito, contraseñas,
información de cuentas u otros datos personales por medio de engaños, para luego
ser usados de forma mal intencionadas. Este tipo de fraude se recibe habitualmente
a través de mensajes de correo electrónico o de ventanas emergentes.

Su funcionamiento:
El usuario malintencionado envía millones de mensajes falsos que parecen provenir
de sitios Web reconocidos o de su confianza, como su banco o la empresa de su
tarjeta de crédito. Estos mensajes logran engañar a muchas personas haciéndoles
creer que son legítimos. La gente confiada, normalmente responde a éstas
solicitudes de correo electrónico con sus números de tarjeta de crédito,
contraseñas, información de cuentas u otros datos personales.
Para que estos mensajes parezcan aun más reales, el estafador suele incluir un
vínculo falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio
falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto
que el sitio Web oficial. Una vez que el usuario está en uno de estos sitios Web,
introduce información personal sin saber que se transmitirá directamente al
delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de
crédito o robar su identidad
Los formatos mas comunes en los que suele darse el “phishing”:
- SMS; La recepción de un mensaje donde le solicitan sus datos personales.
- Llamada telefónica; Pueden recibir una llamada telefónica en la que el
emisor suplanta a una entidad privada o pública para que usted le facilite
datos privados.
- Página web o ventana emergente; es muy clásica y bastante usada. En ella
se simula suplantando visualmente la imagen de una entidad oficial

Para protegerse del "phishing":

1. Nunca responda a solicitudes de información personal a través de correo
electrónico llamada telefónica o mensaje corto (SMS).
2. Para visitar sitios Web, introduzca la dirección URL en la barra de
direcciones.
3. Asegúrese de que el sitio Web utiliza cifrado; dentro del Internet Explorer
puede comprobarlo con el icono de color amarillo situado en la barra de
estado. Éste símbolo significa que el sitio Web utiliza cifrado para proteger la
información personal que introduzca: números de tarjetas de crédito,
detalles de pagos.
4. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito.
5. Comunique los posibles delitos relacionados con su información personal a
las autoridades competentes.

AUDITORIA DE OFIMATICA
Definición:
Se considera Ofimática a todos aquellos sistemas que generan procesan,
almacenan, recuperan, comunican y presentan datos. Ejemplos: hojas de cálculos,
procesadores de texto, herramientas de gestión de documentos, agendas y bases
de datos personales, sistemas de trabajo en grupo (correo electrónico), etc.

Principales Factores de Riesgos:

- Distribución de las aplicaciones por los diferentes departamentos de la
organización, en lugar de encontrarse en una única ubicación centralizada.
- Traslado de la responsabilidad sobre ciertos controles del sistemas a
usuarios finales no dedicados profesionalmente a la informática, que

Página 1 de 14
 pueden no comprender de un modo adecuadla la importancia de los mismo
y la forma de realizarlos.
- Adquisición poco planificada.
- Desarrollos ineficaces e ineficientes.
- Falta de conciencia de los usuarios acerca de la seguridad informática.
- Utilización de copias ilegales.
- Falta de formación del personal.
- Ausencia de documentación suficiente.

Controles:
- Determina si el inventario ofimático refleja en las aplicaciones existentes en
los equipos.
- Determinar y evaluar el procedimiento para la adquisición de equipo y
aplicaciones.
- Determinar y evaluar la política de mantenimiento.
- Evaluar la calidad de las aplicaciones desarrolladas por el personal propio.
- Evaluar los cambios de versiones y aplicación.
- Determinar si los usuarios cuentan con suficiente formación y si la
documentación de apoyo necesaria para desarrollar sus tareas es suficiente.
- Determinar si los sistemas existentes se ajustan a las necesidades reales de
la organización.
- Establecer el acceso a información reservada y proteger su integridad.
- Determinar si el procedimiento de generación de copias de respaldo es fiable
y garantiza su la recuperación.
- Garantizar el funcionamiento de aquellas aplicaciones cuya caída podría
suponer perdidas de integridad.
- Evaluar el grado de exposición ante la posibilidad de intrusión de virus.
- Determinar si en el entorno ofimático se producen situación que puedan
suponer infracciones a lo dispuesto por la ley de protección de datos de
carácter personal o sobre la propiedad intelectual.

AUDITORIA DE LA SEGURIDAD FÍSICA

Definición:
La seguridad física tiene como objeto garantizar la integridad de los activos
humanos, lógicos y materiales.

Medidas o Controles:
Estas se pueden aplicar:
- Antes: Para obtener un nivel adecuado de seguridad física de los activos.
Como un conjunto de acciones utilizadas para evitar el fallo o aminorar las
consecuencias. Como por ejemplo:
o Sistemas contra incendios.
o Control de accesos.
o Selección de personal.
o Seguridad de los medios informáticos
o Medidas de protección.
o Duplicación de los medios.
- Durante: Se aplican ni bien se inicia el “desastre”, entendiéndose como
aquel evento que cuando ocurre tiene la capacidad de interrumpir el normal
proceso de la empresa. Es la ejecución de un plan de contingencias
adecuado, debe incluir un plan de recuperación de desastres y un centro
alternativo para el proceso de datos. El plan de contingencia
inexcusablemente debe:
o Realizar un análisis de riesgos de sistemas críticos.
o Establecer un periodo critico de recuperación.
o Realizar un análisis de las aplicaciones criticas.

Página 2 de 14
 o Establecer prioridades de procesos.
o Establecer objetivos de recuperación.
o Asegurar la capacidad de las comunicaciones y los servicios de Back-
up.
- Despues: Los seguros pueden compensar en mayor o menor medida las
pérdidas, gastos o responsabilidades que se puedan derivar una vez
detectado el fallo.
Fuente de la Auditoria Física:
Se deberá disponer de:
- Políticas, normas y planes de seguridad.
- Auditorias anteriores, generales o parciales.
- Contratos de seguros, de proveedores y de mantenimiento.
- Actas de informes de técnicos y consultores.
- Informes de pruebas de evacuación.
- Políticas de personal.

Técnicas del auditor de la seguridad física:

- Observación de las instalaciones, sistemas, cumplimiento de las normas y
procesos.
- Revisión analítica de:
o Documentación sobres construcción y presintalación.
o Documentos de seguridad física.
o Política y normas de actividad de sala.
o Normas y procedimientos sobre la seguridad de los datos.
o Contratos de seguro.
- Entrevistas con directivos y personal.
- Consultas a técnicos y peritos.

VIRUS
Definición:
Es un programa informático que tiene por objeto alterar el normal funcionamiento
de la computadora, sin el permiso o el conocimiento del usuario. Los virus son
programas que se replican y ejecutan por sí mismos.
Los virus informáticos tienen la función de propagarse y replicarse con una carga
dañina (payload) con distintos objetivos, desde una simple broma hasta realizar
daños importantes en los sistemas, o bloquear las redes informáticas generando
tráfico inútil.
Existen dos clases de contagio, la primera, el usuario, en un momento dado, ejecuta
o acepta de forma inadvertida la instalación del virus. En la segunda, el programa
malicioso actúa replicándose a través de las redes (virus gusanos).

Un virus posee comúnmente las siguientes características:

- Se reproduce a si mismo.
- Es de tamaño pequeño.
- Toma el control o modifica programas.
- Es casi siempre ejecutable.
- los virus informáticos no dañan el hardware.

La mayoría de los autores reconocen que existen dos tipos de virus:

- Aquellos que infectan archivos. A su vez, se clasifican en:
o Virus de acción directa. En el momento en el que se ejecutan,
infectan a otros programas.
o Virus residentes. Al ser ejecutados, se instalan en la memoria de la
computadora. Infectan a los demás programas a medida que se
accede a ellos. Por ejemplo, al ser ejecutados.

Página 3 de 14
 - Los que infectan el sector de arranque , (virus de boot). Recordemos que el
sector de arranque es lo primero que lee el ordenador cuando es encendido.
Estos virus residen en la memoria.

Ejemplos de virus típicos Ejemplos de virus:

- Worms o gusanos: se registran para correr cuando inicia el sistema operativo
ocupando la memoria y volviendo lento al ordenador. Utilizan medios
masivos como el correo electrónico para esparcirse de manera global.
- Troyanos: suelen ser los más peligrosos, ya que no hay muchas maneras de
eliminarlos. Funcionan de modo similar al caballo de Troya; ayudan al
atacante a entrar al sistema infectado, haciéndose pasar como contenido
genuino (salva pantallas, juegos). En ocasiones descargan otros virus para
agravar la condición del equipo.
- Jokes o virus de broma: no son realmente virus, sino programas con distintas
funciones, pero todas con un fin de diversión, nunca de destrucción.
- Hoaxes o falsos virus: son mensajes con una información falsa; normalmente
son difundidos mediante el correo electrónico, a veces con fin de crear
confusión entre la gente que recibe este tipo de mensajes.
- Virus de macros: residen en la macro de los archivos, tales como
procesadores de texto, presentaciones, hojas de cálculo, etc. Las macros son
pequeños programas, los cuales ayudan a realizar complejas operaciones,
los cuales están asociados a un archivo. Los virus de macros afectan a
archivos y plantillas que los contienen, haciéndose pasar por una macro y
actuarán hasta que el archivo se abra o utilice.

Su funcionamiento:
El usuario ejecuta un programa que está infectado, el código del virus queda
residente (alojado) en la memoria RAM de la computadora, aun cuando el programa
que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de
los servicios básicos del sistema operativo, infectando, de manera posterior,
archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el
código del virus al del programa infectado y se graba en disco, con lo cual el
proceso de replicado se completa.

Técnicas de propagación:
1. Disquetes y otros medios removibles: A la posibilidad de que un disquete
contenga un archivo infectado se une el peligro de que integre un virus de
sector de arranque (Boot). En este segundo caso, y si el usuario lo deja en la
disquetera, infectará el ordenador cuando lo encienda, ya que el sistema
intentará arrancar desde el disquete.
2. Correo electrónico: En las últimas generaciones de virus se envían e-mails
sin mensajes pero con archivos adjuntos (virus) que al abrirlos proceden a su
ejecución y posterior infección del sistema atacado. Estos virus poseen una
gran velocidad de propagación ya que se envían automáticamente a los
contactos de la libreta de direcciones del sistema infectado.
3. IRC o Chat: Las aplicaciones de mensajería instantánea proporcionan un
medio de comunicación anónimo, rápido, eficiente, cómodo y barato. Sin
embargo, también son peligrosas, ya que los entornos de chat ofrecen, por
regla general, facilidades para la transmisión de archivos, que conllevan un
gran riesgo en un entorno de red.
4. Páginas web y transferencia de archivos vía FTP: Los archivos que se
descargan de Internet pueden estar infectados, y pueden provocar acciones
dañinas en el sistema en el que se ejecutan.
5. Grupos de noticias (foros): Sus mensajes e información (archivos) pueden
estar infectados y, por lo tanto, contagiar al equipo del usuario que participe
en ellos.

Página 4 de 14
Método de protección:
Los mecanismos para disminuir o reducir los riesgos asociados a los virus pueden
ser los denominados activos o pasivos.
1. Activos:
o Instalar un software Antivirus. No hay software antivirus capaz de
protegerle al 100% contra todos los virus, pero es una gran ayuda al
poder explorar archivos entrantes y le mantendrá protegido de los
virus mas recientes. Actualizar su software Antivirus constantemente,
si fuera posible diariamente.
o Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el
ordenador está conectado a una red. En general, este sistema
proporciona una seguridad donde no se requiere la intervención del
usuario, puede ser muy eficaz, y permitir emplear únicamente
recursos de forma más selectiva.
2. Pasivos:
o Descargar Archivos con Cuidado.
o Explorar los Archivos Adjuntos antes de leerlo o abrirlo.
o Guardar archivos en rtf o ascii, ayudan a prevenir los virus macro.
o Respaldar los datos (Backup).
o No usar Software Ilegal o Pirateado.
o Utilizar los programas Shareware con mucha precaución.
o Desconfiar: Si no conocemos algo o no sabemos lo que hace.
o En caso de infección con virus limpiar y eliminar el ordenador.

METODOLOGÍA DE CÁLCULO Y EVALUACIÓN DEL RIESGO

Definición:
Se denomina de análisis mixto, porque combina el método cualitativo (análisis de
las amenazas existentes) y cuantitativo que consiste no solo en el aspecto
descriptivo del riesgo, sino también en la cuantificación de los mismos, posibilitando
el conocimiento de la magnitud, del nivel que posee y del costo que representa en
el caso de que se manifieste (relación costo – beneficio).

Descripción de la metodología:
Variables:
1. Probabilidad: de ocurrencia del suceso, es el grado de exposición ante una
determinada amenaza, nunca podrá ser cero, ya que siempre existirá
probabilidad de ocurrencia. Coeficientes:
o Alta probabilidad de ocurrencia – coeficiente: 10
o Es muy posible que ocurra (50% de probabilidad) – coeficiente: 6
o Poco usual, pero posible – coeficiente: 3
o Muy poco usual: coeficiente: 1
o Prácticamente imposible: coeficiente: 0.2
2. Exposición: tiempo de exposición a la amenaza (tiempo en horas) o la
frecuencia de ocurrencia de este (estadísticas). Coeficientes:
o Comúnmente (permanente): Coeficiente: 10
o Frecuentemente: 6
o Ocasionalmente: 3
o Infrecuentemente: 3
o Eventualmente: 1
o Remotamente posible: 0.5

3. Consecuencias: potenciales daños o efectos, valorizados en algún tipo de

unidad monetaria. Coeficientes:

Página 5 de 14
 o Catástrofe (numerosas fatalidades o daños de interrupción): Pérdidas
mayores a $10.000.000. Coeficiente: 100
o Desastre – Algunos daños – Interrupción limitada del servicio:
Pérdidas mayores a $1.000.000. Coeficiente: 40
o Serias – Algunos daños – Leve interrupción del servicio: Pérdidas
$10.000. Coeficiente: 7.
o Perceptibles – daños menores: Pérdidas mayores a $100. Coeficiente:
1

Fórmula: RIESGO = P x E x C

Clasificación del riesgo:

1. Mayor a 400 puntos: MUY ALTO / Medida: considerar su eliminación.
2. Entre 200 y 400 puntos: ALTO / Medida: requiere su corrección inmediata.
3. Entre 70 y 200: MODERADO / Medida: requiere su corrección.
4. Entre 20 y 70: BAJO / Medida: debe reducirse, pero no es urgente.
5. Menor a 20 puntos: ACEPTABLE / Medida: se mantiene como está concebida
Justificación de la recomendación:
El auditor, para determinar si se justifican las recomendaciones que piensa detallar
en el informe, posee un segundo algoritmo para establecer el costo de la acción
correctiva (relación costo – Beneficio). Se agregan dos variables:

1. Factor de costo (FC): costo estimado de la acción correctiva. Coeficientes:

o Por encima de $100.000: 10
o Entre $40.000 y $100.000: 6
o Entre $15.000 y $40.000: 4
o Entre $1.000 y $15.000: 3
o Entre $100 y $1.000: 1

2. Grado de Corrección (GC): Grado estimado de reducción del riesgo

detectado. Coeficientes:
o Se elimina el riesgo / amenaza: 1
o Reducción del riesgo al 75%: 2
o Reducción entre 50 y 75%: 3
o Entre 25 y 50%: 4
o Menos de 25%: 6

Fórmula: JUSTIICACIÓN (J) = C x E x P

FC x GC

PLAN DE CONTINGENCIAS
Desastre:
Es cualquier evento que, cuando ocurre tiene capacidad de interrumpir la operación
normal de una organización. Tipos de desastre:
1. Causados por un evento natural: inundaciones, huracanes, incendios.
2. Por problemas ambientales: derrame de material, contaminación, pérdida
del servicio telefónico.
3. Autoprovocados: sabotaje, vandalismo, provocación de incendio.
“Los que sobreviven a los desastres, tal vez no sean los más fuertes sino los que
tengan mayor conocimiento y estén preparados” (Stoffle).

Plan de contingencias:
Estrategia constituida por un conjunto de recursos cuyo propósito es de servir de
respaldo, contar con una organización de emergencia y procedimientos de

Página 6 de 14
actuación, dirigidos a conseguir una restauración progresiva y ágil de los servicios
de negocio afectados por una paralización total o parcial de la capacidad operativa
de la empresa.
Tener un plan de contingencia, implica tener la manera documentada en que las
funciones esenciales del negocio continuarán, hasta que la capacidad de
procesamiento normal sea restaurada y los medios vitales sean accesibles.
El plan de contingencia debe ser claro, completo y conciso.

Áreas de acción:
1. Pérdida de capacidad de comunicación (voz – datos): los teléfonos por lo
regular están a cargo de una concesión, rara vez falla a excepción en breves
periodos (tormenta inesperada – sismos). Es apropiado tener una plan de
contingencias que nos provea la capacidad de comunicación de voz mínima
durante el periodo de recuperación del desastre. Se pueden utilizar medios
alternativos como Internet. Ejemplos: Banco sin mesa de dinero, para otras
cías. sin call center, etc.
2. Pérdida de capacidad de procesamiento: se debe valorar y evaluar cuánto
tiempo una cía. puede estar sin procesamiento de computación. Varios
negocios dependen de este medio para poder existir. Ejemplos: empresas
sin facturar, bancos sin pagar.
3. Pérdida de espacio de trabajo (Medios Vitales): pérdidas de inmuebles
resultantes de siniestros. Ejemplos: Hotel sin su edificio, hospital sin
quirófano, radio sin antena, etc.

Ciclo del desastre:

1. Antes: Prevención – Mitigación - Preparativos – Alerta
2. Durante: Respuesta
3. Después: Rehabilitación – Reconstrucción

Periodos de tiempo:
1. Operaciones normales: antes de que ocurra el desastre. El plan debe incluir
la práctica de las operaciones que pretenden prevenir un desastre desde el
principio, y de aquellas que ayudan a mitigar el impacto del mismo.
2. Respuesta de emergencia: ocurre durante las pocas horas que siguen al
desastre. Se debe identificar las actividades que pueden necesitar mayor
atención en ese periodo, cuya finalidad es de asegurar una respuesta a la
organización y emitir una lista de cosas importantes que pueden pasar
inadvertidas durante la confusión que acompaña a los desastres.
3. Procesamiento interno: procedimiento alternativo que representa el tiempo
de duración de la contingencia en relación con el soporte de las funciones
esenciales de la empresa hasta que la capacidad de procesamiento normal
sea restaurada.
4. Restauración: periodo de tiempo destinado a aquellas actividades que se
necesitan realizar para recuperar una condición o capacidad de
procesamiento operacional normal.

Fases de un plan:
1. Análisis y diseño: estudio de la problemática, necesidades de recursos,
alternativas de respaldo y se analiza el costo-beneficio de las mismas. Es la
etapa más importante, pudiendo llegar al final de la misma a la conclusión
de que no es viable o es muy costoso su seguimiento.
o Risk Analysis: estudio de los posibles riesgos desde el punto de vista
de probabilidad de que los mismos sucedan. Tareas: Identificación de
amenazas, análisis de la probabilidad de ocurrencia de las mismas,
selección de amenazas, identificación de servicios afectados,
estimación económica de la paralización, selección de los servicios a

Página 7 de 14
 cubrir, selección final del ámbito del plan, identificación de
alternativa, selección de alternativas, diseño de estrategia de
respaldo y selección de las estrategias de respaldo.
o Business Impact: estudio del impacto económico o de imagen que
ocasiona la falta de algún recurso de los que soporta la actividad del
negocio. Tareas: Identificación de servicios, análisis de impacto,
selección de servicios críticos, determinación de recursos de
soportes, identificación de alternativas, diseños de estrategias de
respaldo, selección de estrategias.
o Time Farm: es el tiempo que la organización puede asumir con la
paralización de la actividad operativa antes de incurrir en pérdidas
significativas.
2. Desarrollo: Se definen las distintas organizaciones de emergencia y se
desarrollan los procedimientos de actuación generando así la documentación
del plan.
3. Pruebas y mantenimiento: se definen las pruebas, sus características y sus
ciclos y se realiza la primera prueba como comprobación de todo el trabajo,
así como concientizar al personal implicado. Se define la estrategia de
mantenimiento, la organización destinada a ello y las normas y
procedimientos necesarios para llevarlo a cabo.

Página 8 de 14
Características de un buen plan de contingencia:
1. Funcional: desarrollado por los supervisores de primera línea.
2. Costo-efectividad: en relación con baja probabilidad.
3. Flexibilidad: puede ser utilizado para cualquier desastre.
4. Fácil de mantener

El plan de contingencia debe:

1. Realizar un análisis de riesgos de sistemas críticos (identificar y evaluar).
2. Establecer periodo de recuperación para evitar pérdidas significativas.
3. Realizar un análisis de recuperaciones críticas por el que se establezcan las
prioridades de procesos.
4. Determinar las prioridades de procesos, indicando las aplicaciones y
sistemas críticos en momentos de ocurrir los desastres.
5. Establecer objetivos de recuperación.
6. Asegurar la capacidad de comunicaciones.
7. Asegurar la capacidad de servicios de respaldo.
8. Elaborar la documentación
9. Verificar e implementar el plan
10. Distribuir y mantener el plan.

Auditoria del plan de contingencia:

En la auditoria es necesario revisar si existe un plan, si es completo y actualizado, si
cubre los diferentes procesos, áreas y plataformas o bien si existen planes
diferentes según entornos, evaluar en todo caso su idoneidad así como los
resultados de las pruebas que se hayan realizado y si permite garantizar que en
caso necesario y a través de los medios alternativos propios o contratados, podría
permitir la reanudación de las operaciones en un tiempo inferior al fijado por los
responsables del uso de las aplicaciones.
Si las revisiones no aportan garantías suficientes se deben sugerir pruebas
complementarias.
Verificar que la solución adoptada es adecuada: instalaciones propias, ajenas,
compartidas.

BCRA 4609
La 4609 es una comunicación publicada por el BCRA y esta referida a exigencias y
recomendaciones técnicas, cuya finalidad es asegurar un estándar minino de
calidad de gestión en las áreas de sistemas y tecnología para entidades financieras
y cámaras electrónicas.
Las posibles consecuencias por incumplimiento pueden ser sanciones del BCRA
(multas, inhabilitaciones), disminución de la calificación del Banco e impacto
patrimonial, publicidad de las sanciones.
El Directorio es el responsable de la existencia de un Comité de tecnología
Informática, cuyas reuniones tendrán periodicidad trimestral y deberá estar
conformado por el máximo responsable del área de tecnología informática y por un
mimbro del Directorio. Las funciones del comité serán las siguientes:
- Gestionar la administración y procesamiento de datos, sistemas o
tecnologías -por los que las entidades financieras ofrecen sus productos y
servicios.
- Existencia de políticas generales y planes estratégicos de corto y mediano
plazo.
- Asignación de recursos necesarios para el área de sistemas.
- Vigilar el funcionamiento correcto de tecnología informática.
- Contribuir a la mejora de la efectividad del mismo.
- Conocer el Plan de Tecnología Informática,
- Evaluar dicho Plan.
- Revisar informes emitidos por las auditorias.

Página 9 de 14
 - Mantener una comunicación oportuna con los funcionarios de la Gerencia de
Auditoria Externa de Sistemas de la Superintendencia de Entidades
Financieras y Cambiarias.
Las entidades deben definir una estrategia de protección de activos de información
y deben establecer adecuados derechos de acceso a los datos administrados en sus
sistemas de información.

Se debe evidenciar la existencia de un procedimiento escrito, aprobado

formalmente, para atender a la continuidad del procesamiento de datos y
actividades vinculadas, en el caso que se presenten contingencias o emergencias.

La banca electrónica:
Es la entrega de los productos y servicios de las entidades financieras, a través de
medios electrónicos, a los usuarios internos o externos (clientes) de la entidad. Ésta
área debe evidenciar la existencia y cumplimiento de las medidas de seguridad y la
aplicación de controles específicos sobre los cajeros automáticos y las
transacciones que con ellos se realizan.
Controles de cumplimiento obligatorio:
- Los cajeros automáticos (ATM) que conformen una red administrada por una
entidad y/o por terceros, deben funcionar en un esquema de proceso en
tiempo real y conexión en línea directa (on-line), con el computador que
administra la red y la base de datos que opera.
- En caso de interrupción del vínculo entre un cajero automático y el
computador que lo opera, el cajero deberá quedar fuera de servicio para
todo tipo de transacciones monetarias hasta la normalización del proceso, no
debiendo operar un ningún caso en modalidad fuera de línea.
- La apertura de los cajeros automáticos debe ser realizada por dos personas,
dejando constancia escrita en un acta de su participación y del resultado de
la conciliación, balanceo de billetes, conformidad de depósitos, tarjetas
retenidas, totales, diferencias si las hubiera, etc. Este requerimiento se
aplica de igual forma cuando esta actividad sea terciarizada, y al menos uno
de los responsables firmantes deberá ser un funcionario de la entidad
financiera.

TRANSFERENCIA ELECTRONICA DE FONDOS

El principal objeto es la compensación electrónica de transferencias que implica el
intercambio electrónico de los datos entre las distintas entidades financieras a
través de las Cámaras Electrónicas de Compensación (CEC). Típicos ejemplos de
TEF: Transferencias para Pago de Haberes, Sistema Medio Electrónico de Pago
(MEP), Pago mis cuentas, etc.
Al utilizar transferencias electrónicas se evita exponer a riesgos de robo, asalto o
pérdida de recursos y además se ahorra tiempo y dinero. Las transferencias
electrónicas son seguras, rápidas y fáciles de usar y están disponibles a los clientes
bancarios. Sirven para hacer pagos o transferir fondos en, dentro de una misma
plaza y a nivel nacional.
Para hacer una transferencia electrónica sólo necesita conocer el Código de Cuenta
Interbancario (CCI) del beneficiario. Este código lo brindan los propios bancos a sus
clientes en sus oficinas bancarias, por teléfono o a través de su portal de Internet.
Al ordenar una transferencia se puede elegir canalizarla por uno de los siguientes
sistemas de pagos: el Sistema de Liquidación Bruta en Tiempo Real (LBTR) o la
Cámara de Compensación Electrónica (CCE). Su elección dependerá del monto de la
transferencia y la rapidez que requiera para que el beneficiario disponga de los
fondos. Por el LBTR se canaliza transferencias de alto valor y los fondos están
disponibles el mismo día en que se ordenan. Por la CCE se canaliza transferencias
de bajo valor y los fondos están disponibles el mismo día o, a más tardar, el día
siguiente de ordenada la transferencia.

Página 10 de 14
Las normativas del BCRA establecen los requisitos que deben reunir las
transferencias:
1. Que conste obligatoriamente la siguiente información:
o Información cliente originante (Nombre-Razón Social-CUIT-CUIL-
documento).
o Información relativa a la cuenta a acreditar a partir de la Clave
Bancaria Uniforme (CBU).
o Información monetaria relativa al movimiento de fondos (importe y
moneda).
o Información relativa a la identificación del movimiento de fondos
(entidad origen).
2. Que sean en pesos o moneda extranjera autorizada por el BCRA.

Su funcionamiento:
Las entidades financieras participan en el sistema a través de la CEC. Será
responsabilidad de las entidades participantes operar conforme a los estándares y
formatos que definen las presentes instrucciones operativas a los efectos del
intercambio electrónico de la información de transferencias.
Las transferencias electrónicas permiten al cliente de un banco hacer pagos o
enviar fondos desde su cuenta a una cuenta en otro banco. Con ellas usted puede
efectuar las siguientes operaciones:
1. Pagar la cuenta de una tarjeta de crédito.
2. Pagar una obligación a un acreedor en su cuenta bancaria.
3. Pagar a los proveedores de su empresa en cuentas en distintos bancos.
4. Pagar los sueldos de sus empleados en las cuentas bancarias que ellos
designen.

Quienes pueden intervenir: Las entidades financieras que tengan cuenta corriente
y/o cajas de ahorro habilitadas y, además, posean una cuenta corriente abierta
en el BCRA.

Para quienes: Para los clientes de las entidades financieras autorizadas.

Actores: Los distintos actores participantes en el sistema son los siguientes:

1. El cliente originante: es el ordenante de la transferencia.
2. La entidad originante: es la entidad financiera que, por orden del cliente,
emite transferencias.
3. La entidad receptora: es la entidad que recibe las transferencias destinadas
a sus clientes.
4. El cliente receptor: es el titular de la cuenta en la que se efectúan las
acreditaciones de las transferencias enviadas a través del sistema.
5. El Centro de transmisión (CEC): Son los elementos de telecomunicaciones
con los que las distintas entidades efectúan la emisión y recepción de la
información electrónica hacia y desde la CEC.
6. Las Cámaras Electrónicas de Compensación: son las instituciones que
administran la compensación electrónica de los instrumentos de pago
originados por operaciones de clientes o terceros ajenos a las entidades
financieras.
7. El Banco Central de la Republica Argentina.

Esquema de la transferencia electrónica de fondos:

Página 11 de 14
QUEMA DE LA TRANFERENCIA ELECTRONICA DE FONDOS

CAAT: AUDITORÍA ASISTIDA POR COMPUTADORAS

El uso de las CAATs proporciona un medio para mejorar el grado de análisis de la
información, a fin de cubrir los objetivos de las revisiones de auditoría, y reportar
los hallazgos con relevancia en el nivel de confiabilidad de los registros generados y
mantenidos en sistemas computadorizados. Se pueden utilizar para realizar varios
procedimientos de auditoria incluyendo:
- Prueba de los detalles de operaciones y saldos.
- Procedimientos de revisión analíticos.
- Pruebas de cumplimiento de los controles generales de sistemas de
información.
- Pruebas de cumplimiento de los controles de aplicación.
- Muestreo de programas para extraer datos para pruebas de auditoria.
- Rehacer cálculos realizados por los sistemas de contabilidad de la entidad.
Ventajas de su aplicación:
- Mejorar la eficiencia en la revisión: Menor esfuerzo de auditoria
RRHH/tiempo. Menor tiempo de prueba. Pruebas fácilmente replicables.
- Mayor cobertura en la auditoría: Pruebas se realizan sobre el total de datos/
transacciones no sobre muestras.
- Mayor espectro de pruebas: Identificación de excepciones como:
inconsistencias, saltos de secuencia, integridad.

1. Planificación: Factores a considerar:

o Conocimientos computacionales, pericia y experiencia del auditor de
sistemas de información.
o Disponibilidad de las CAATs y de los sistemas de información.
o Eficiencia y efectividad de utilizar las CAATs en lugar de las técnicas
manuales.
o Restricciones de tiempo.

2. Realización de la auditoria: El uso de las CAAT debe ser controlado por el

auditor de sistemas de información para asegurar razonablemente que se
cumple con los objetivos de la auditoría y las especificaciones detalladas de
las CAAT. El auditor debe:
o Realizar una conciliación de los totales de control.
o Realizar una revisión independiente de la lógica de las CAAT.

Página 12 de 14
 o Realizar una revisión de los controles generales de los sistemas de
información.

3. Documentación / PPTT: El proceso detallado de las CAATs debe estar

documentado adecuadamente para permitir que el proceso se mantenga y
se repita por otro auditor de sistemas de información. Los papeles de trabajo
deben contener:
o Los procedimientos de la preparación y la prueba de las CAAT y los
controles relacionados.
o Los detalles de las pruebas realizadas por las CAATs.
o Los detalles de los input, el procedimiento.
o El output producido.
o El resultado de la auditoría.
o Las conclusiones de la auditoría.
o Las recomendaciones de la auditoría.

4. Informe:
o Se tratan los objetivos, la extensión y metodología utilizada.
o Se debe incluir la descripción de las CAATs .

5. Algunos productos:
o IDEA: Con esta herramienta se puede leer, visualizar, analizar y
manipular datos; llevar a cabo muestreos y extraer archivos de datos
desde cualquier origen ordenadores centrales a PC, incluso reportes
impresos.
o ACL: Herramienta enfocada al acceso de datos, análisis y reportes
para auditores y profesionales financieros.
o AUTO AUDIT: Es un sistema completo para la automatización de la
función de Auditoria, soportando todo el proceso y flujo de trabajo,
desde la fase de planificación, pasando por el trabajo de campo,
hasta la preparación del informe final. Permite seguir la metodología
de evaluación de riesgos a nivel de entidad o de proceso, la
planificación de auditorias y recursos, seguimiento de hallazgos,
reportes de gastos y de tiempo, control de calidad, y cuenta con la
flexibilidad de un módulo de reportes “ad hoc”.

6. Las CAATS pueden usarse para desarrollar procedimientos de auditoría:

o Pruebas de detalles de transacciones y saldos.
o Procedimientos analíticos para identificar inconsistencias o
fluctuaciones importantes.
o Pruebas de controles generales (pruebas de la instalación o
configuración del sistema operativo)
o Muestreo de programas para extraer datos para pruebas de auditoría.
o Pruebas de controles de aplicación (pruebas del funcionamiento de
un control programado)
o Rehacer cálculos realizados por los sistemas de contabilidad de la
entidad.

7. Normas de auditoria:
o NIA 15/16: Se establece la necesidad de utilizar otras técnicas
además de las manuales.
o ISA 401: Dice que una organización que usa TI, se puede ver afectada
en uno de los siguientes 5 componentes del control interno: el
ambiente de control, evaluación de riesgos, actividades de control,
información, comunicación y monitoreo además de la forma en que
se inicializan, registran, procesan y reporta las transacciones

Página 13 de 14
o ISA 1009: Plantea la importancia del uso de CAAT en auditorías en un
entorno de sistemas de información por computadora

Página 14 de 14